Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Questa pagina descrive gli elementi di base usati nelle policy per le risorse Amazon API Gateway.
Le policy delle risorse vengono specificate utilizzando la stessa sintassi delle policy IAM. Per informazioni complete sulla sintassi delle policy, consulta Panoramica delle policy IAM e Riferimento alle policy AWS Identity and Access Management nella Guida per l'utente di IAM.
Per informazioni su come un AWS servizio decide se una determinata richiesta deve essere consentita o rifiutata, vedere Determinare se una richiesta è consentita o rifiutata.
Elementi comuni in una policy di accesso
In termini basilari, una policy delle risorse contiene i seguenti elementi:
-
Risorse: APIs sono le risorse di Amazon API Gateway per le quali puoi consentire o negare le autorizzazioni. In una policy, utilizzare l'Amazon Resource Name (ARN) per identificare la risorsa. È inoltre possibile utilizzare la sintassi abbreviata, che API Gateway espande automaticamente fino all'ARN completo quando si salva una policy delle risorse. Per ulteriori informazioni, consulta Esempi di policy delle risorse API Gateway.
Per il formato dell'elemento
Resourcecompleto, consulta Formato dell'elemento Resource delle autorizzazioni per l'esecuzione dell'API in API Gateway. -
Azioni: per ogni risorsa, Amazon API Gateway supporta un insieme di operazioni. Vengono identificate le operazioni delle risorse che verranno consentite (o rifiutate) utilizzando le parole chiave dell'operazione.
Ad esempio, l'autorizzazione
execute-api:Invokeconsentirà all'utente di richiamare un'API in seguito alla richiesta di un client.Per il formato dell'elemento
Action, consulta Formato dell'elemento Action delle autorizzazioni per l'esecuzione dell'API in API Gateway. -
Effetto: l'effetto prodotto quando l'utente richiede una determinata operazione; può essere
AllowoDeny. È anche possibile rifiutare esplicitamente l'accesso a una risorsa per essere certi che un utente non sia in grado di accedervi, anche quando tale accesso è assegnato da un'altra policy.Nota
"Rifiuto implicito" ha lo stesso significato di "rifiuto per default".
Un "rifiuto implicito" è diverso da un "rifiuto esplicito". Per ulteriori informazioni, consulta la sezione sulla differenza tra rifiuto per default e rifiuto esplicito.
-
Principale: account o utente autorizzato ad accedere alle operazioni e alle risorse nell'istruzione. In una policy delle risorse, il principale è l'utente o l'account che riceve questa autorizzazione.
L'esempio di policy delle risorse seguente mostra gli elementi di policy comuni descritti in precedenza. La policy concede l'accesso all'API in base a quanto specificato account-id nel campo specificato region a qualsiasi utente il cui indirizzo IP di origine si trova nel blocco di indirizzi. 123.4.5.6/24 La policy nega l'accesso all'API se l'IP di origine dell'utente non rientra nell'intervallo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "execute-api:Invoke", "Resource": "arn:aws:execute-api:region:account-id:*" }, { "Effect": "Deny", "Principal": "*", "Action": "execute-api:Invoke", "Resource": "arn:aws:execute-api:region:account-id:*", "Condition": { "NotIpAddress": { "aws:SourceIp": "123.4.5.6/24" } } } ] }
