Modificare le autorizzazioni per un utente IAM - AWS Identity and Access Management
Visualizzazione dell'accesso utenteGenerazione di una policy basata sull'attività di accesso di un utenteAggiunta di autorizzazioni a un utente (console)Modifica delle autorizzazioni per un utente (console)Per rimuovere una policy delle autorizzazioni da un utente (console)Per rimuovere il limite delle autorizzazioni da un utente (console)Aggiungere e rimuovere le autorizzazioni (AWS CLI o AWS API) di un utente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Modificare le autorizzazioni per un utente IAM

Puoi modificare le autorizzazioni per un utente IAM del tuo paese Account AWS modificando l'appartenenza ai gruppi, copiando le autorizzazioni da un utente esistente, allegando le policy direttamente a un utente o impostando un limite di autorizzazioni. Il limite delle autorizzazioni controlla il numero massimo di autorizzazioni che è possibile concedere a un utente. I limiti delle autorizzazioni sono una funzionalità avanzata. AWS

Per informazioni sulle autorizzazioni necessarie per modificare le autorizzazioni per un utente, consulta la pagina Autorizzazioni necessarie per accedere alle risorse IAM.

Visualizzazione dell'accesso utente

Prima di modificare le autorizzazioni per un utente, è opportuno esaminare la sua attività recente a livello di servizio. È un'opzione importante per non rimuovere l'accesso da parte di un principale (persona o applicazione) che la sta utilizzando. Per ulteriori informazioni sulla visualizzazione delle ultime informazioni di accesso, vedere Perfezionamento delle autorizzazioni in AWS utilizzando le informazioni sull'ultimo accesso.

Generazione di una policy basata sull'attività di accesso di un utente

Talvolta, è possibile concedere autorizzazioni a un'entità IAM (utente o ruolo) oltre a quelle richieste. Per ottimizzare le autorizzazioni concesse, puoi generare una policy IAM basata sull'attività di accesso per un'entità. IAM Access Analyzer esamina AWS CloudTrail i log e genera un modello di policy che contiene le autorizzazioni utilizzate dall'entità nell'intervallo di date specificato. È possibile utilizzare il modello per creare una policy gestita con autorizzazioni granulari e quindi collegarla al ruolo IAM. In questo modo, concedi solo le autorizzazioni necessarie all'utente o al ruolo per interagire con le AWS risorse per il tuo caso d'uso specifico. Per ulteriori informazioni, consulta Generazione di policy per Sistema di analisi degli accessi IAM.

Aggiunta di autorizzazioni a un utente (console)

Per aggiungere policy di autorizzazione a un utente, IAM offre tre diverse possibilità:

  • Aggiungi l'utente IAM a un gruppo IAM: rende l'utente membro di un gruppo. Le policy del gruppo vengono collegate all'utente.

  • Copia le autorizzazioni da un utente IAM esistente: copia tutte le appartenenze ai gruppi, le policy gestite collegate, le policy in linea e tutti i limiti delle autorizzazioni esistenti dall'utente di origine.

  • Collega direttamente le policy all'utente IAM: collega una policy gestita direttamente all'utente. Per una gestione più semplice delle autorizzazioni, collega le policy a un gruppo e rendi quindi gli utenti membri dei gruppi appropriati.

Importante

Se l'utente ha un limite delle autorizzazioni, non sarà possibile aggiungere più autorizzazioni di quante ne consenta il limite delle autorizzazioni.

Per aggiungere le autorizzazioni aggiungendo l'utente IAM a un gruppo

L'aggiunta di un utente IAM a un gruppo IAM aggiorna immediatamente le autorizzazioni dell'utente con le autorizzazioni definite per il gruppo.

IAM console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il servizio IAM.

  3. Nel pannello di navigazione, seleziona Utenti.

  4. Nell'elenco degli Utenti, seleziona il nome dell'utente IAM.

  5. Seleziona la scheda Gruppi per visualizzare l'elenco dei gruppi IAM che includono l'utente corrente.

  6. Scegli Aggiungi utente ai gruppi.

  7. Seleziona la casella di controllo per ciascun gruppo in cui si desidera includere l'utente. L'elenco mostra il nome di ciascun gruppo e le policy che l'utente riceve se diventa un membro di tale gruppo.

  8. (Facoltativo) Puoi scegliere Crea gruppo per definire un nuovo gruppo. Ciò è utile se desideri aggiungere l'utente a un gruppo con policy collegate diverse rispetto ai gruppi esistenti:

    1. Nella nuova scheda, per User group name (Nome gruppo di utenti), digita un nome per il nuovo gruppo.

      Nota

      Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta IAMe AWS STS quote. I nomi dei gruppi possono essere una combinazione di un massimo di 128 lettere, cifre e dei seguenti caratteri: più (+), uguale (=), virgola (,), punto (.), chiocciola (@) e trattino (-). I nomi devono essere univoci nell'account. Non fanno distinzione tra maiuscole e minuscole. Ad esempio, non è possibile creare due gruppi chiamati TESTGROUP e testgroup.

    2. Seleziona una o più caselle di controllo per le policy gestite da collegare al gruppo. È inoltre possibile creare una nuova policy gestita selezionando Create policy (Crea policy). In questo caso, tornare a questa scheda o finestra del browser quando la nuova policy è stata completata, selezionare Refresh (Aggiorna) e quindi selezionare la nuova policy da collegare al gruppo. Per ulteriori informazioni, consulta Definire le autorizzazioni IAM personalizzate con policy gestite dal cliente.

    3. Scegli Create user group (Crea gruppo di utenti).

    4. Tornare alla scheda originale e aggiornare l'elenco di gruppi. Quindi seleziona la casella di controllo del nuovo gruppo.

  9. Scegli Aggiungi utente ai gruppi.

La console visualizza un messaggio di stato che informa che l'utente è stato aggiunto ai gruppi specificati.

Per aggiungere le autorizzazioni tramite copia da un altro utente IAM

Se scegli di aggiungere autorizzazioni a un utente IAM copiando le autorizzazioni, IAM copia tutte le appartenenze ai gruppi, le policy gestite collegate, le policy in linea e tutti i limiti delle autorizzazioni esistenti dall'utente specificato e li applica immediatamente all'utente correntemente selezionato.

IAM console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il servizio IAM.

  3. Nel pannello di navigazione, seleziona Utenti.

  4. Nell'elenco degli Utenti, seleziona il nome dell'utente IAM.

  5. Nella scheda Autorizzazioni, scegli Aggiungi autorizzazioni.

  6. Nella pagina Aggiungi autorizzazioni, scegli Copia autorizzazioni. L'elenco mostra gli utenti IAM disponibili con le relative appartenenze ai gruppi e le policy collegate.

  7. Selezionare il pulsante di opzione accanto all'utente che dispone delle autorizzazioni che si desidera copiare.

  8. Seleziona Next (Successivo) per visualizzare l'elenco delle modifiche che devono essere apportate all'utente. Selezionare quindi Add permissions (Aggiungi autorizzazioni).

La console visualizza un messaggio di stato che ti informa che le autorizzazioni sono state copiate dall'utente IAM che hai specificato.

Per aggiungere le autorizzazioni collegando le policy direttamente all'utente IAM

Puoi collegare una policy gestita direttamente a un utente IAM. Le autorizzazioni aggiornate vengono applicate immediatamente.

IAM console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il servizio IAM.

  3. Nel pannello di navigazione, seleziona Utenti.

  4. Nell'elenco degli Utenti, seleziona il nome dell'utente IAM.

  5. Nella scheda Autorizzazioni, scegli Aggiungi autorizzazioni.

  6. Nella pagina Aggiungi autorizzazioni, seleziona Collega direttamente le policy. L'elenco Policy di autorizzazione mostra le policy disponibili insieme ai relativi tipi di policy e alle entità collegate.

  7. Seleziona il pulsante di opzione accanto al nome della policy che desideri collegare.

  8. Seleziona Next (Successivo) per visualizzare l'elenco delle modifiche che devono essere apportate all'utente. Selezionare quindi Add permissions (Aggiungi autorizzazioni).

La console visualizza un messaggio di stato che informa che la policy è stata aggiunta all'utente IAM specificato.

Per impostare il limite delle autorizzazioni per un utente IAM

Un limite di autorizzazioni è una funzionalità avanzata per la gestione delle autorizzazioni AWS che viene utilizzata per impostare le autorizzazioni massime che un utente IAM può avere. L'impostazione di un limite delle autorizzazioni limita immediatamente le autorizzazioni degli utenti IAM al limite, indipendentemente dalle altre autorizzazioni concesse.

IAM console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il servizio IAM.

  3. Nel pannello di navigazione, seleziona Utenti.

  4. Nell'elenco Utenti, scegli il nome dell'utente IAM di cui si desidera modificare il limite delle autorizzazioni.

  5. Scegli la scheda Autorizzazioni. Se necessario, apri la sezione Permissions boundary (Limite delle autorizzazioni), quindi seleziona Set permissions boundary (Imposta limite delle autorizzazioni).

  6. Nella pagina Imposta il limite delle autorizzazioni, in Policy delle autorizzazioni, seleziona la policy da utilizzare per il limite delle autorizzazioni.

  7. Scegliere Set boundary (Imposta limite).

La console visualizza un messaggio di stato che informa che il limite delle autorizzazioni è stato aggiunto.

Modifica delle autorizzazioni per un utente (console)

IAM consente di modificare le autorizzazioni associate a un utente nei modi seguenti:

  • Modifica una policy di autorizzazione: è possibile modificare la policy in linea di un utente, la policy in linea del gruppo dell'utente o la policy gestita collegato all'utente direttamente o da un gruppo. Se l'utente ha un limite delle autorizzazioni, non è possibile fornire più autorizzazioni di quante ne consenta la policy utilizzata come limite delle autorizzazioni dell'utente.

  • Modifica del limite delle autorizzazioni: modifica la policy utilizzata come limite delle autorizzazioni per l'utente. In questo modo è possibile ampliare o limitare il numero massimo di autorizzazioni che un utente può avere.

Modifica di una policy di autorizzazione collegata a un utente

La modifica delle autorizzazioni aggiorna immediatamente l'accesso dell'utente.

IAM console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il servizio IAM.

  3. Nel pannello di navigazione, seleziona Utenti.

  4. Nell'elenco Utenti, scegli il nome dell'utente IAM di cui si desidera modificare il limite delle autorizzazioni.

  5. Scegli la scheda Autorizzazioni. Se necessario, apri la sezione Limite delle autorizzazioni.

  6. Selezionare il nome della policy da modificare per visualizzare i relativi dettagli. Seleziona la scheda Entità collegate per visualizzare le altre entità (utenti, gruppi e ruoli IAM) che potrebbero essere interessate dalla modifica della policy.

  7. Selezionare la scheda Permissions (Autorizzazioni) e rivedere le autorizzazioni concesse dalla policy. Per apportare modifiche alle autorizzazioni, scegli Modifica.

  8. Modifica la policy e risolvi eventuali suggerimenti di convalida della policy. Per ulteriori informazioni, consulta Modificare le policy IAM.

  9. Seleziona Successivo, esamina il riepilogo della policy, quindi scegli Salva le modifiche.

La console visualizza un messaggio di stato che informa che la policy è stata aggiornata.

Per modificare il limite delle autorizzazioni per un utente

La modifica del limite delle autorizzazioni aggiorna immediatamente l'accesso dell'utente.

IAM console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il servizio IAM.

  3. Nel pannello di navigazione, seleziona Utenti.

  4. Nell'elenco Utenti, scegli il nome dell'utente IAM di cui si desidera modificare il limite delle autorizzazioni.

  5. Scegli la scheda Autorizzazioni. Se necessario, aprire la sezione Permissions boundary (Limite delle autorizzazioni) e selezionare Change boundary (Modifica limite).

  6. Selezionare la policy da utilizzare per il limite delle autorizzazioni.

  7. Scegliere Set boundary (Imposta limite).

La console visualizza un messaggio di stato che informa che il limite delle autorizzazioni è stato modificato.

Per rimuovere una policy delle autorizzazioni da un utente (console)

La rimozione di una policy di autorizzazioni aggiorna immediatamente l'accesso dell'utente.

IAM console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il servizio IAM.

  3. Nel pannello di navigazione, seleziona Utenti.

  4. Selezionare il nome dell'utente per cui rimuovere le policy di autorizzazioni.

  5. Scegli la scheda Autorizzazioni.

  6. Se desideri rimuovere le autorizzazioni rimuovendo una policy esistente, visualizza la colonna Collegato tramite per comprendere il modo in cui l'utente riceve la policy prima di selezionare Rimuovi per rimuoverla:

    • Se la policy è applicata tramite l'appartenenza a un gruppo, seleziona X per rimuovere l'utente dal gruppo. Ricordare che potrebbero essere presenti più policy associate a un singolo gruppo. Se si rimuove un utente da un gruppo, l'utente perde l'accesso a tutte le policy che ricevute tramite l'appartenenza a tale gruppo.

    • Se la policy è una policy gestita collegata direttamente all'utente, scegliendo Remove (Rimuovi) questa sarà scollegata dall'utente. Ciò non influisce sulla policy stessa o su qualsiasi altra entità a cui la policy potrebbe essere collegata.

    • Se la policy è una policy in linea integrata, scegliendo Rimuovi la policy verrà rimossa da IAM. Le policy inline collegate direttamente a un utente sono presenti solo in tale utente.

Se la policy è stata concessa all'utente tramite l'appartenenza a un gruppo, la console visualizza un messaggio di stato che informa che l'utente IAM è stato rimosso dal gruppo IAM. Se la policy è collegata direttamente o in linea, il messaggio di stato informa che la policy è stata rimossa.

Per rimuovere il limite delle autorizzazioni da un utente (console)

La rimozione del limite delle autorizzazioni aggiorna immediatamente l'accesso dell'utente.

IAM console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il servizio IAM.

  3. Nel pannello di navigazione, seleziona Utenti.

  4. Nell'elenco Utenti, scegli il nome dell'utente IAM di cui si desidera rimuovere il limite delle autorizzazioni.

  5. Scegli la scheda Autorizzazioni. Se necessario, apri la sezione Limite delle autorizzazioni.

  6. Selezionare Change boundary (Modifica limite). Nella finestra di dialogo di conferma, scegli Rimuovi limite per confermare la rimozione del limite delle autorizzazioni.

La console visualizza un messaggio di stato che informa che il limite delle autorizzazioni è stato rimosso.

Aggiungere e rimuovere le autorizzazioni (AWS CLI o AWS API) di un utente

Per aggiungere o rimuovere le autorizzazioni a livello di codice, è necessario aggiungere o rimuovere i gruppi di appartenenza, collegare o distaccare le appartenenze ai gruppi, collegare o distaccare le policy gestite oppure aggiungere o eliminare le policy inline. Per ulteriori informazioni, consulta i seguenti argomenti: