Quando si usa IAM? - AWS Identity and Access Management
Quando si eseguono diverse funzioni lavorativeQuando vieni autorizzato ad accedere alle risorse AWSQuando accedi come utente IAM Quando assumi un ruolo IAMQuando crei policy e autorizzazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Quando si usa IAM?

AWS Identity and Access Management è un servizio di infrastruttura di base che fornisce le basi per il controllo degli accessi basato sulle identità interne. AWS Usi IAM ogni volta che accedi al tuo AWS account. Il modo in cui utilizzi IAM dipenderà dalle responsabilità e dalle funzioni dei processi specifiche all'interno della tua organizzazione. Gli utenti dei AWS servizi utilizzano IAM per accedere alle AWS risorse necessarie per il loro day-to-day lavoro, con gli amministratori che concedono le autorizzazioni appropriate. Gli amministratori IAM, d'altra parte, sono responsabili della gestione delle identità IAM e della stesura di policy per controllare l'accesso alle risorse. Indipendentemente dal tuo ruolo, interagisci con IAM ogni volta che autentichi e autorizzi l'accesso alle risorse. AWS Ciò potrebbe comportare l'accesso come utente IAM, l'assunzione di un ruolo IAM o l'uso della federazione delle identità per un accesso senza interruzioni. Comprendere le varie funzionalità e i casi d'uso di IAM è fondamentale per gestire efficacemente l'accesso sicuro al tuo AWS ambiente. Quando si tratta di creare policy e autorizzazioni, IAM offre un approccio flessibile e granulare. È possibile definire policy di attendibilità per controllare quali principali possono assumere un ruolo, oltre a policy basate sull'identità che specificano le azioni e le risorse a cui un utente o un ruolo può accedere. Configurando queste policy IAM, puoi contribuire a garantire che gli utenti e le applicazioni dispongano del livello di autorizzazioni appropriato per eseguire le attività richieste.

Quando si eseguono diverse funzioni lavorative

AWS Identity and Access Management è un servizio di infrastruttura di base che fornisce le basi per il controllo degli accessi basato sulle identità interne AWS. IAM viene utilizzato ogni volta che accedi al tuo account AWS .

Le modalità di utilizzo di IAM cambiano in base alle operazioni eseguite in AWS.

  • Utente del servizio: se utilizzi un AWS servizio per svolgere il tuo lavoro, l'amministratore ti fornisce le credenziali e le autorizzazioni necessarie. All'aumentare del numero di funzionalità utilizzate per il lavoro, potrebbero essere necessarie altre autorizzazioni. La comprensione della gestione dell'accesso ti consente di richiedere le autorizzazioni corrette all'amministratore.

  • Amministratore del servizio: se sei responsabile di una AWS risorsa presso la tua azienda, probabilmente hai pieno accesso a IAM. Il tuo compito è determinare le funzionalità e le risorse IAM a cui gli utenti del servizio devono accedere. Devi inviare le richieste all'amministratore IAM per cambiare le autorizzazioni degli utenti del servizio. Esamina le informazioni contenute in questa pagina per comprendere i concetti di base relativi a IAM.

  • Amministratore IAM: se sei un amministratore IAM, puoi gestire le identità IAM e scrivere policy per gestire l'accesso ad IAM.

Quando vieni autorizzato ad accedere alle risorse AWS

L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi essere autenticato (aver effettuato l' Utente root dell'account AWS accesso AWS) come utente IAM o assumendo un ruolo IAM.

Puoi accedere AWS come identità federata utilizzando le credenziali fornite tramite una fonte di identità. AWS IAM Identity Center Gli utenti (IAM Identity Center), l'autenticazione Single Sign-On della tua azienda e le tue credenziali di Google o Facebook sono esempi di identità federate. Se accedi come identità federata, l'amministratore ha configurato in precedenza la federazione delle identità utilizzando i ruoli IAM. Quando accedi AWS utilizzando la federazione, assumi indirettamente un ruolo.

A seconda del tipo di utente, puoi accedere al AWS Management Console o al portale di AWS accesso. Per ulteriori informazioni sull'accesso a AWS, vedi Come accedere al tuo Account AWS nella Guida per l'Accedi ad AWS utente.

Se accedi a AWS livello di codice, AWS fornisce un kit di sviluppo software (SDK) e un'interfaccia a riga di comando (CLI) per firmare crittograficamente le tue richieste utilizzando le tue credenziali. Se non utilizzi AWS strumenti, devi firmare tu stesso le richieste. Per ulteriori informazioni sul metodo consigliato per la firma delle richieste, consulta Signature Version 4 AWS per le richieste API nella Guida per l'utente IAM.

A prescindere dal metodo di autenticazione utilizzato, potrebbe essere necessario specificare ulteriori informazioni sulla sicurezza. Ad esempio, ti AWS consiglia di utilizzare l'autenticazione a più fattori (MFA) per aumentare la sicurezza del tuo account. Per ulteriori informazioni, consulta Autenticazione a più fattori nella Guida per l'utente di AWS IAM Identity Center e Utilizzo dell'autenticazione a più fattori (MFA)AWS in IAM nella Guida per l'utente IAM.

Quando accedi come utente IAM

Un utente IAM è un'identità interna a te Account AWS che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ove possibile, consigliamo di fare affidamento a credenziali temporanee invece di creare utenti IAM con credenziali a lungo termine come le password e le chiavi di accesso. Tuttavia, se si hanno casi d'uso specifici che richiedono credenziali a lungo termine con utenti IAM, si consiglia di ruotare le chiavi di accesso. Per ulteriori informazioni, consulta la pagina Rotazione periodica delle chiavi di accesso per casi d'uso che richiedono credenziali a lungo termine nella Guida per l'utente IAM.

Un gruppo IAM è un'identità che specifica un insieme di utenti IAM. Non è possibile eseguire l'accesso come gruppo. È possibile utilizzare gruppi per specificare le autorizzazioni per più utenti alla volta. I gruppi semplificano la gestione delle autorizzazioni per set di utenti di grandi dimensioni. Ad esempio, potresti avere un gruppo denominato IAMAdminse concedere a quel gruppo le autorizzazioni per amministrare le risorse IAM.

Gli utenti sono diversi dai ruoli. Un utente è associato in modo univoco a una persona o un'applicazione, mentre un ruolo è destinato a essere assunto da chiunque ne abbia bisogno. Gli utenti dispongono di credenziali a lungo termine permanenti, mentre i ruoli forniscono credenziali temporanee. Per ulteriori informazioni, consulta Casi d'uso per utenti IAM nella Guida per l'utente IAM.

Quando assumi un ruolo IAM

Un ruolo IAM è un'identità interna all'utente Account AWS che dispone di autorizzazioni specifiche. È simile a un utente IAM, ma non è associato a una persona specifica. Per assumere temporaneamente un ruolo IAM in AWS Management Console, puoi passare da un ruolo utente a un ruolo IAM (console). Puoi assumere un ruolo chiamando un'operazione AWS CLI o AWS API o utilizzando un URL personalizzato. Per ulteriori informazioni sui metodi per l'utilizzo dei ruoli, consulta Utilizzo di ruoli IAM nella Guida per l'utente IAM.

I ruoli IAM con credenziali temporanee sono utili nelle seguenti situazioni:

  • Accesso utente federato: per assegnare le autorizzazioni a una identità federata, è possibile creare un ruolo e definire le autorizzazioni per il ruolo. Quando un'identità federata viene autenticata, l'identità viene associata al ruolo e ottiene le autorizzazioni da esso definite. Per ulteriori informazioni sulla federazione dei ruoli, consulta Create a role for a third-party identity provider (federation) nella Guida per l'utente IAM. Se utilizzi IAM Identity Center, configura un set di autorizzazioni. IAM Identity Center mette in correlazione il set di autorizzazioni con un ruolo in IAM per controllare a cosa possono accedere le identità dopo l'autenticazione. Per informazioni sui set di autorizzazioni, consulta Set di autorizzazioni nella Guida per l'utente di AWS IAM Identity Center .

  • Autorizzazioni utente IAM temporanee: un utente IAM o un ruolo può assumere un ruolo IAM per ottenere temporaneamente autorizzazioni diverse per un'attività specifica.

  • Accesso multi-account: è possibile utilizzare un ruolo IAM per permettere a un utente (un principale affidabile) con un account diverso di accedere alle risorse nell'account. I ruoli sono lo strumento principale per concedere l'accesso multi-account. Tuttavia, con alcuni Servizi AWS, è possibile allegare una policy direttamente a una risorsa (anziché utilizzare un ruolo come proxy). Per informazioni sulle differenze tra ruoli e policy basate su risorse per l'accesso multi-account, consulta Accesso a risorse multi-account in IAM nella Guida per l'utente IAM.

  • Accesso a più servizi: alcuni Servizi AWS utilizzano le funzionalità di altri Servizi AWS. Ad esempio, quando effettui una chiamata in un servizio, è normale che quel servizio esegua applicazioni in Amazon EC2 o archivi oggetti in Amazon S3. Un servizio può eseguire questa operazione utilizzando le autorizzazioni dell'entità chiamante, utilizzando un ruolo di servizio o utilizzando un ruolo collegato al servizio.

    • Sessioni di accesso inoltrato (FAS): quando utilizzi un utente o un ruolo IAM per eseguire azioni AWS, sei considerato un principale. Quando si utilizzano alcuni servizi, è possibile eseguire un'operazione che attiva un'altra operazione in un servizio diverso. FAS utilizza le autorizzazioni del principale che chiama an Servizio AWS, combinate con la richiesta Servizio AWS per effettuare richieste ai servizi downstream. Le richieste FAS vengono effettuate solo quando un servizio riceve una richiesta che richiede interazioni con altri Servizi AWS o risorse per essere completata. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le operazioni. Per i dettagli delle policy relative alle richieste FAS, consulta Forward access sessions.

    • Ruolo di servizio: un ruolo di servizio è un ruolo IAM che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall'interno di IAM. Per ulteriori informazioni, consulta la sezione Create a role to delegate permissions to an Servizio AWS nella Guida per l'utente IAM.

    • Ruolo collegato al servizio: un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non modificarle.

  • Applicazioni in esecuzione su Amazon EC2: puoi utilizzare un ruolo IAM per gestire le credenziali temporanee per le applicazioni in esecuzione su un' EC2 istanza e che AWS CLI effettuano richieste AWS API. Questa soluzione è preferibile alla memorizzazione delle chiavi di accesso all'interno dell' EC2 istanza. Per assegnare un AWS ruolo a un' EC2 istanza e renderlo disponibile per tutte le sue applicazioni, create un profilo di istanza collegato all'istanza. Un profilo di istanza contiene il ruolo e consente ai programmi in esecuzione sull' EC2 istanza di ottenere credenziali temporanee. Per ulteriori informazioni, consulta Utilizzare un ruolo IAM per concedere le autorizzazioni alle applicazioni in esecuzione su EC2 istanze Amazon nella IAM User Guide.

Quando crei policy e autorizzazioni

Concedi le autorizzazioni a un utente creando una policy che è un documento che elenca le operazioni che un utente può eseguire e le risorse che tali operazioni possono influenzare. Qualsiasi operazione o risorsa che non è esplicitamente consentita viene negata come impostazione predefinita. Le policy possono essere create e collegate ai principali (utenti, gruppi di utenti, ruoli assunti da utenti e risorse).

Puoi utilizzare queste policy con un ruolo IAM:

  • Policy di attendibilità: definisce quali principali possono assumere il ruolo e a quali condizioni. Una policy di attendibilità è un tipo specifico di policy basata sulle risorse per i ruoli IAM. Un ruolo può avere una sola policy di attendibilità.

  • Policy basate sull'identità (in linea e gestite): queste policy definiscono le autorizzazioni che l'utente del ruolo è in grado di eseguire (o che non può eseguire) e su quali risorse.

Utilizza gli Esempi di policy basate su identità IAM per definire le autorizzazioni per le identità IAM. Una volta trovata la policy desiderata, seleziona view the policy (visualizza la policy) per consultare il JSON della policy. Puoi utilizzare il documento di policy JSON come modello per le tue policy.

Nota

Se utilizzi il Centro identità IAM per gestire i tuoi utenti, assegni set di autorizzazioni nel Centro identità IAM invece di collegare una policy di autorizzazioni a un principale. Quando assegni un set di autorizzazioni a un gruppo o utente in Centro identità AWS IAM, IAM Identity Center crea i ruoli IAM corrispondenti in ciascun account e associa le politiche specificate nel set di autorizzazioni a tali ruoli. Il Centro identità IAM gestisce il ruolo e consente agli utenti autorizzati che hai definito di assumerlo. Se modifichi il set di autorizzazioni, il Centro identità IAM garantisce che le policy e i ruoli IAM corrispondenti vengano aggiornati di conseguenza.

Per ulteriori informazioni su IAM Identity Center, consulta Cos'è IAM Identity Center? nella Guida per l'utente di AWS IAM Identity Center .