Elaborazione del contesto della richiesta - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Elaborazione del contesto della richiesta

AWS elabora la richiesta per raccogliere le seguenti informazioni in un contesto di richiesta:

  • Azioni: le azioni che il principale vuole eseguire.

  • Risorse: l'oggetto AWS risorsa su cui vengono eseguite le azioni o le operazioni.

  • Principale: l'utente, il ruolo o l'utente federato che ha inviato la richiesta. Le informazioni sull'entità principale includono le policy associate a tale entità principale.

  • Dati di ambiente: informazioni sull'indirizzo IP, l'agente utente, lo stato SSL abilitato o l'ora del giorno.

  • Dati sulla risorsa – I dati correlati alla risorsa che viene richiesta. Ciò può includere informazioni come il nome di una tabella DynamoDB o un tag su un'istanza Amazon. EC2

AWS utilizza quindi queste informazioni per trovare le politiche che si applicano al contesto della richiesta.

Il modo in cui AWS valuta le politiche dipende dai tipi di politiche che si applicano al contesto della richiesta. I tipi di policy elencati di seguito in ordine di frequenza possono essere utilizzati in un singolo Account AWS. Per ulteriori informazioni su questi tipi di policy, consulta Policy e autorizzazioni in AWS Identity and Access Management. Per informazioni su come AWS valuta le policy per l'accesso tra account, consulta Cross-account policy evaluation logic.

  • AWS Organizations policy di controllo delle risorse (RCPs): le organizzazioni RCPs specificano le autorizzazioni massime disponibili per le risorse all'interno degli account di un'organizzazione o di un'unità organizzativa (OU). RCPs si applicano alle risorse degli account dei membri e influiscono sulle autorizzazioni effettive per i responsabili, incluse le Utente root dell'account AWS, indipendentemente dal fatto che i responsabili appartengano all'organizzazione. RCPsnon si applicano alle risorse dell'account di gestione dell'organizzazione e alle chiamate effettuate da ruoli collegati al servizio.

  • AWS Organizations policy di controllo dei servizi (SCPs): le organizzazioni SCPs specificano le autorizzazioni massime disponibili per i responsabili all'interno degli account di un'organizzazione o di un'unità organizzativa (OU). SCPs si applicano ai responsabili degli account dei membri, compresi ciascuno. Utente root dell'account AWS Se una SCP è presente, le autorizzazioni concesse da policy basate su identità e policy basate su risorse ai principali negli account membri solo effettive solo se l'SCP consente l'operazione. Le uniche eccezioni sono i principali dell'account di gestione dell'organizzazione e i ruoli collegati ai servizi.

  • Policy basate sulle risorse: le policy basate sulle risorse concedono le autorizzazioni per i principali specificati nella policy. Le autorizzazioni definiscono ciò che l'entità principale può fare con la risorsa a cui è collegata la policy.

  • Limiti delle autorizzazioni IAM: i limiti delle autorizzazioni sono una funzionalità avanzata che imposta il numero massimo di autorizzazioni che una policy basata su identità può concedere a un'entità IAM (utente o ruolo). Quando si imposta un limite delle autorizzazioni per un'entità, l'entità può eseguire solo le operazioni consentite dalle sue policy basate su identità e dai suoi limiti delle autorizzazioni. In alcuni casi, un rifiuto implicito in un limite delle autorizzazioni può limitare le autorizzazioni concesse da una policy basata sulle risorse. Per ulteriori informazioni, consulta In che modo la logica del codice di applicazione AWS valuta le richieste per consentire o negare l'accesso.

  • Policy basate su identità: le policy basate su identità sono collegate a un'identità IAM (utente, gruppo di utenti o ruolo) e concede le autorizzazioni per entità IAM (utenti e ruoli). Se a una richiesta si applicano solo politiche basate sull'identità, AWS verifica che tutte queste politiche ne accertino almeno una. Allow

  • Policy di sessione: le policy di sessione sono policy che si inviano come parametro quando si crea in modo programmatico una sessione temporanea per un ruolo o un utente federato. Per creare una sessione del ruolo in modo programmatico, è possibile utilizzare una delle operazioni API AssumeRole*. Quando esegui questa operazione e passi le policy di sessione, le autorizzazioni della sessione risultante sono l'intersezione della policy basata su identità dell'utente dell'entità IAM e delle policy di sessione. Per creare una sessione per l'utente federato, si utilizzano le chiavi di accesso dell'utente IAM per chiamare in modo programmatico l'operazione API GetFederationToken. Per ulteriori informazioni, consulta Policy di sessione.

Occorre ricordare che un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione.

Nota

AWS Organizations le politiche dichiarative consentono di dichiarare e applicare in modo centralizzato la configurazione desiderata per un determinato Servizio AWS aspetto su larga scala all'interno dell'organizzazione. Poiché le politiche dichiarative vengono applicate direttamente a livello di servizio, non influiscono direttamente sulle richieste di valutazione delle politiche e non sono incluse nel contesto della richiesta. Per ulteriori informazioni, consulta le politiche dichiarative nella Guida per l' AWS Organizations utente.