Funzionamento di IAM - AWS Identity and Access Management
Componenti di una richiestaCome vengono autenticati i principaliNozioni di base sulle autorizzazioni e sulla policy di autorizzazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Funzionamento di IAM

AWS Identity and Access Management offre l'infrastruttura necessaria per gestire l'autenticazione e l'autorizzazione per il tuo Account AWS.

Innanzitutto, per autenticarsi con AWS, un utente umano o un'applicazione utilizza le proprie credenziali di accesso. IAM associa le credenziali di accesso a un principale (un utente IAM, un utente federato, un ruolo IAM o un'applicazione) considerato attendibile dall'Account AWS e autentica l'autorizzazione per accedere a AWS.

Successivamente, IAM effettua una richiesta per concedere al principale l'accesso alle risorse. IAM concede o nega l'accesso in risposta a una richiesta di autorizzazione. Ad esempio, quando accedi per la prima volta alla console e ti trovi nella home page, non stai accedendo a un servizio specifico. Quando selezioni un servizio, invii una richiesta di autorizzazione a IAM per tale servizio. IAM verifica che la tua identità sia nell'elenco degli utenti autorizzati, determina quali policy controllano il livello di accesso concesso e valuta qualsiasi altra policy che potrebbe essere in vigore. I principali all'interno dell'Account AWS o da un altro Account AWS considerato attendibile possono effettuare richieste di autorizzazione.

Una volta autorizzato, il principale può eseguire azioni o operazioni sulle risorse del tuo Account AWS. Ad esempio, il principale potrebbe avviare una nuova istanza Amazon Elastic Compute Cloud, modificare l'appartenenza al gruppo IAM o eliminare i bucket Amazon Simple Storage Service. Il diagramma seguente illustra questo processo nell'infrastruttura IAM:

Questo diagramma mostra come un principale viene autenticato e autorizzato dal servizio IAM a eseguire azioni o operazioni su altri servizi o risorse AWS.

Componenti di una richiesta

Quando un'entità principale cerca di utilizzare la AWS Management Console, l'API AWS o l'AWS CLI, invia una richiesta ad AWS. La richiesta include le informazioni seguenti:

  • Azioni o operazioni: le azioni o le operazioni che il principale desidera eseguire, ad esempio un'azione nell'AWS Management Console o un'operazione nella AWS CLI o l'API AWS.

  • Risorse: l'oggetto della risorsa AWS su cui il principale richiede di eseguire le azioni o le operazioni.

  • Principale – Persona o applicazione che utilizza un'entità (utente o ruolo) per inviare la richiesta. Le informazioni sul principale includono le policy di autorizzazione.

  • Dati di ambiente: le informazioni sull'indirizzo IP, l'agente utente, lo stato abilitato per SSL e il timestamp.

  • Dati delle risorse: i dati relativi alla risorsa richiesta, ad esempio un nome di tabella DynamoDB o un tag su un'istanza Amazon EC2.

AWS raccoglie le informazioni di una richiesta in un contesto della richiesta, che IAM valuta per autorizzare la richiesta.

Come vengono autenticati i principali

Un principale accede a AWS utilizzando le proprie credenziali che IAM autentica per consentire al principale di inviare una richiesta a AWS. Alcuni servizi, ad esempio Amazon S3 e AWS STS, consentono richieste specifiche da parte di utenti anonimi. Tuttavia, si tratta di un'eccezione alla regola. Ogni tipo di utente viene sottoposto all'autenticazione.

  • Utente root: le credenziali di accesso utilizzate per l'autenticazione sono l'indirizzo e-mail utilizzato per creare l'Account AWS e la password specificata in quel momento.

  • Utente federato: il tuo provider di identità ti autentica e trasmette le tue credenziali a AWS, senza che tu debba accedere direttamente a AWS. Sia il Centro identità IAM che IAM supportano gli utenti federati.

  • Utenti in Elenco AWS IAM Identity Center (non federati): gli utenti creati direttamente nella directory predefinita del Centro identità IAM accedono utilizzando il portale di accesso AWS e forniscono nome utente e password.

  • Utente IAM: accedi fornendo il tuo ID account o alias, il nome utente e la password. Per autenticare i carichi di lavoro dall'API oppure dalla AWS CLI, potresti utilizzare credenziali temporanee assumendo un ruolo oppure potresti utilizzare credenziali a lungo termine fornendo la tua chiave di accesso e la chiave segreta.

    Per ulteriori informazioni sulle entità IAM, consulta Utenti IAM e Ruoli IAM.

AWS consiglia di utilizzare l'autenticazione a più fattori (MFA) con tutti gli utenti per aumentare la sicurezza del tuo account. Per ulteriori informazioni su MFA, consulta AWS Autenticazione a più fattori in IAM.

Nozioni di base sulle autorizzazioni e sulla policy di autorizzazione

L'autorizzazione si riferisce al principale che dispone delle autorizzazioni necessarie per completare la richiesta. Durante l'autorizzazione, IAM identifica le policy che si applicano alla richiesta utilizzando i valori dal contesto della richiesta. Quindi, utilizza le policy per determinare se accettare o rifiutare la richiesta. IAM memorizza la maggior parte delle policy di autorizzazione sotto forma di documenti JSON che specificano le autorizzazioni per le entità principali.

Vi sono diversi tipi di policy che possono influire su una richiesta di autorizzazione. Per fornire ai tuoi utenti l'autorizzazione ad accedere alle risorse AWS nel proprio account, è possibile utilizzare le policy basate su identità. Le policy basate sulle risorse possono concedere l'accesso multi-account. Se devi effettuare una richiesta in un account differente, una policy nell'altro account deve consentirti di accedere alla risorsa e l'entità IAM che utilizzi per effettuare la richiesta deve avere una policy basata su un'identità che consenta la richiesta.

IAM controlla ogni policy applicabile al contesto della richiesta. La valutazione della policy IAM utilizza una negazione esplicita, il che significa che se una singola policy di autorizzazione include un'operazione negata, IAM nega l'intera richiesta e interrompe la valutazione. Poiché le richieste vengono rifiutate per impostazione predefinita, le policy di autorizzazione applicabili devono consentire ogni parte della richiesta perché IAM autorizzi la richiesta. La logica di valutazione per una richiesta all'interno di un singolo account segue queste regole di base:

  • Come impostazione predefinita, tutte le richieste vengono negate. (In generale, le richieste effettuate utilizzando le credenziali Utente root dell'account AWS per risorse nell'account sono sempre consentite).

  • Un'autorizzazione esplicita in una policy di autorizzazione qualsiasi (basata su identità o basata su risorse) sostituisce questa impostazione predefinita.

  • L'esistenza di una policy di controllo dei servizi (SCP) o di una policy di controllo delle risorse (RCP) di Organizations, un limite delle autorizzazioni IAM o una policy di sessione sostituisce l'autorizzazione. Se esiste uno o più di questi tipi di policy, devono tutti consentire la richiesta. In caso contrario, viene rifiutata implicitamente. Per ulteriori informazioni su SCP e RCP, consulta Policy di autorizzazione in AWS Organizations nella Guida per l'utente di AWS Organizations.

  • Un rifiuto esplicito in una policy sostituisce qualsiasi permesso in qualsiasi policy.

Per ulteriori informazioni, consulta Logica di valutazione delle policy.

Dopo che IAM ha autenticato e autorizzato il principale, IAM approva le azioni o le operazioni contenute nella richiesta valutando la policy di autorizzazione applicabile al principale. Ogni servizio AWS definisce le azioni (operazioni) supportate e include cosa puoi effettuare su una risorsa, come la visualizzazione, la creazione, la modifica e l'eliminazione di tale risorsa. La policy di autorizzazione che si applica al principale deve includere le azioni necessarie per eseguire un'operazione. Per ulteriori informazioni su come IAM valuta le policy di autorizzazione, consultaLogica di valutazione delle policy.

Il servizio definisce un insieme di azioni che un principale può eseguire su ogni risorsa. Quando crei policy di autorizzazione, assicurati di includere le azioni che desideri che l'utente sia in grado di eseguire. Ad esempio, IAM supporta circa 40 azioni per una risorsa di utente, incluse le seguenti azioni di base:

  • CreateUser

  • DeleteUser

  • GetUser

  • UpdateUser

Inoltre, è possibile specificare condizioni nella policy di autorizzazione che consentano l'accesso alle risorse quando la richiesta soddisfa le condizioni specificate. Ad esempio, potresti volere che una istruzione di policy diventi effettiva solo dopo una data specifica o che consenta l'accesso solo quando nella richiesta API è presente un valore specifico. Per specificare le condizioni, è possibile utilizzare l'elemento Condition di un'istruzione di policy.

Dopo che IAM ha approvato le operazioni nella richiesta, il principale può lavorare con le risorse correlate all'interno dell'account. Una risorsa è un oggetto esistente all'interno di un servizio. Esempi sono un'istanza Amazon EC2, un utente IAM e un bucket Amazon S3. Se il principale crea una richiesta per eseguire un'azione su una risorsa che non è inclusa nella policy di autorizzazione, il servizio nega la richiesta. Ad esempio, se disponi dell'autorizzazione per eliminare un ruolo IAM ma richiedi di eliminare un gruppo IAM, la richiesta ha esito negativo se non disponi dell'autorizzazione per eliminare i gruppi IAM. Per ulteriori informazioni su azioni, risorse e chiavi di condizione supportate dai diversi servizi AWS, consulta Operazioni, risorse e chiavi di condizione per i servizi AWS.