In che modo le autorizzazioni e le politiche forniscono la gestione degli accessi - AWS Identity and Access Management
Policy e accountPolicy e utentiPolitiche e gruppi IAMUtenti federati e ruoliPolicy basate su identità e policy basate su risorse.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

In che modo le autorizzazioni e le politiche forniscono la gestione degli accessi

La parte di AWS Identity and Access Management (IAM) dedicata alla gestione degli accessi consente di definire cosa può fare un'entità principale in un account. Un'entità principale è una persona o un'applicazione autenticata utilizzando un'IAMentità (IAMutente o IAM ruolo). La gestione degli accessi viene spesso definita come autorizzazione. È possibile gestire l'accesso AWS creando policy e associandole a IAM identità (IAMutenti, IAM gruppi o IAM ruoli) o risorse. AWS Una policy è un oggetto AWS che, se associato a un'identità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste politiche quando un principale utilizza un'IAMentità (IAMutente o IAM ruolo) per effettuare una richiesta. Le autorizzazioni nelle policy determinano l'approvazione o il rifiuto della richiesta. La maggior parte delle politiche viene archiviata AWS come JSON documenti. Per ulteriori informazioni sui tipi di policy e i relativi utilizzi, consulta Politiche e autorizzazioni in AWS Identity and Access Management.

Policy e account

Se gestisci un singolo account in AWS, definisci le autorizzazioni all'interno di quell'account utilizzando le politiche. Se gestisci le autorizzazioni su più account, è più difficile gestire le autorizzazioni per i tuoi utenti. IAM Puoi utilizzare IAM ruoli, politiche basate sulle risorse o liste di controllo degli accessi () ACLs per le autorizzazioni tra più account. Tuttavia, se possiedi più account, ti consigliamo invece di utilizzare il AWS Organizations servizio per aiutarti a gestire tali autorizzazioni. Per ulteriori informazioni, consulta Cos'è AWS Organizations? nella Organizations User Guide.

Policy e utenti

IAMgli utenti sono identità in. Account AWS Quando crei un IAM utente, non può accedere a nulla del tuo account finché non gli dai l'autorizzazione. Concedi le autorizzazioni a un IAM utente creando una politica basata sull'identità, ovvero una politica associata all'IAMutente o al IAM gruppo a cui l'utente appartiene. IAM L'esempio seguente mostra una JSON policy che consente all'IAMutente di eseguire tutte le dynamodb:* azioni Amazon DynamoDB () Books sulla tabella dell'account all'123456789012interno della regione. us-east-2

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "dynamodb:*",
    "Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books"
  }
}

Dopo aver associato questa policy all'IAMutente, quest'ultimo è autorizzato a eseguire tutte le azioni nella Books tabella dell'istanza DynamoDB. La maggior parte IAM degli utenti dispone di più politiche che si combinano per rappresentare le autorizzazioni totali concesse.

Le azioni o le risorse che non sono esplicitamente consentite da una politica vengono negate per impostazione predefinita. Ad esempio, se la policy precedente è la singola policy associata a un utente, quell'utente può eseguire azioni DynamoDB sulla tabella, ma non può eseguire azioni su Books altre tabelle. Allo stesso modo, all'utente non è consentito eseguire alcuna azione in AmazonEC2, Amazon S3 o in qualsiasi altro AWS servizio perché le autorizzazioni per lavorare con tali servizi non sono incluse nella politica.

Politiche e gruppi IAM

È possibile organizzare IAM gli utenti in IAMgruppi e allegare una politica al IAM gruppo. In tal caso, i singoli IAM utenti dispongono ancora delle proprie credenziali, ma tutti gli IAM utenti del IAM gruppo dispongono delle autorizzazioni associate al IAM gruppo. Utilizza IAM i gruppi per una gestione più semplice delle autorizzazioni.

Questo diagramma mostra come IAM gli utenti possono essere organizzati in IAM gruppi per semplificare la gestione delle autorizzazioni, poiché a ogni IAM utente sono assegnate le autorizzazioni al gruppo. IAM

IAMagli utenti o IAM ai gruppi possono essere associati più criteri che concedono autorizzazioni diverse. In tal caso, la combinazione di criteri determina le autorizzazioni effettive per il principale. Se il principale non dispone dell'Allowautorizzazione esplicita sia per un'azione che per una risorsa, il principale non dispone di tali autorizzazioni,.

Utenti federati e ruoli

Gli utenti federati non hanno identità permanenti come Account AWS gli utenti. IAM Per assegnare le autorizzazioni agli utenti federati, puoi creare un'entità definita come ruolo e definire le autorizzazioni per il ruolo. Quando un utente federato accede AWS, l'utente viene associato al ruolo e gli vengono concesse le autorizzazioni definite nel ruolo. Per ulteriori informazioni, consulta Creare un ruolo per un provider di identità di terze parti (federazione).

Policy basate su identità e policy basate su risorse.

Le politiche basate sull'identità sono politiche di autorizzazione che si associano a un'IAMidentità, ad esempio un IAM utente, un gruppo o un ruolo. Le politiche basate sulle risorse sono politiche di autorizzazione che alleghi a una risorsa come un bucket Amazon S3 o una policy di trust dei ruoli. IAM

Le policy basate su identità controllano quali operazioni l'identità può eseguire, su quali risorse e in quali condizioni. Le policy basate su identità possono essere ulteriormente suddivise:

  • Politiche gestite: politiche autonome basate sull'identità che puoi associare a più utenti, gruppi e ruoli nel tuo. Account AWS Puoi utilizzare due tipi di policy gestite:

    • AWS politiche gestite: politiche gestite create e gestite da. AWS Se non conosci l'utilizzo delle politiche, ti consigliamo di iniziare utilizzando le politiche AWS gestite.

    • Policy gestite dal cliente: le policy gestite che sono create e gestite nel tuo Account AWS. Le policy gestite dai clienti offrono un controllo più preciso sulle policy rispetto alle policy AWS gestite. È possibile creare, modificare e convalidare una IAM politica nell'editor visivo o creando direttamente il documento relativo alla JSON policy. Per ulteriori informazioni, consulta Definisci IAM autorizzazioni personalizzate con policy gestite dal cliente e Modifica IAM le politiche.

  • Policy in linea: le policy che sono create, gestite e direttamente incorporate in un singolo utente, gruppo o ruolo. Nella maggior parte dei casi, non è consigliato l'uso di policy inline.

Le policy basate su risorse controllano quali operazioni uno specifico principale può eseguire, su quale risorsa e in quali condizioni. Le policy basate risorse sono policy inline. Non esistono policy gestite basate su risorse. Per abilitare l'accesso tra più account, puoi specificare un intero account o IAM entità in un altro account come principale in una politica basata sulle risorse.

Il IAM servizio supporta un tipo di policy basata sulle risorse denominata policy di attendibilità dei ruoli, che viene associata a un ruolo. IAM Poiché un IAM ruolo è sia un'identità che una risorsa che supporta politiche basate sulle risorse, è necessario associare a un ruolo sia una politica di fiducia che una politica basata sull'identità. IAM Le policy di attendibilità definiscono quali entità principali (account, utenti, ruoli e utenti federati) possono assumere il ruolo. Per scoprire in che modo IAM i ruoli sono diversi dalle altre politiche basate sulle risorse, consulta. Accesso alle risorse su più account in IAM

Per scoprire quali servizi supportano le policy basate su risorse, consulta la pagina AWS servizi che funzionano con IAM. Per ulteriori informazioni sulle policy basate su risorse, consulta la pagina Policy basate sulle identità e policy basate su risorse.