Panoramica linguistica delle policy di accesso per Amazon API Gateway - Amazon API Gateway
Elementi comuni in una policy di accesso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Panoramica linguistica delle policy di accesso per Amazon API Gateway

Questa pagina descrive gli elementi di base utilizzati nelle politiche delle risorse di Amazon API Gateway.

Le politiche relative alle risorse vengono specificate utilizzando la stessa sintassi delle IAM politiche. Per informazioni complete sul linguaggio delle politiche, vedere Panoramica delle IAM politiche e Riferimento alle AWS Identity and Access Management politiche nella Guida per l'IAMutente.

Per informazioni su come un AWS servizio decide se una determinata richiesta deve essere consentita o rifiutata, vedere Determinare se una richiesta è consentita o rifiutata.

Elementi comuni in una policy di accesso

In termini basilari, una policy delle risorse contiene i seguenti elementi:

  • Risorse: APIs sono le risorse Amazon API Gateway per le quali puoi consentire o negare le autorizzazioni. In una policy, usi Amazon Resource Name (ARN) per identificare la risorsa. Puoi anche utilizzare una sintassi abbreviata, che API Gateway espande completamente automaticamente ARN quando salvi una politica sulle risorse. Per ulteriori informazioni, consulta APIEsempi di policy sulle risorse di Gateway.

    Per il formato dell'elemento Resource completo, consulta Formato delle risorse delle autorizzazioni per l'esecuzione in Gateway API API.

  • Azioni: per ogni risorsa, Amazon API Gateway supporta una serie di operazioni. Vengono identificate le operazioni delle risorse che verranno consentite (o rifiutate) utilizzando le parole chiave dell'operazione.

    Ad esempio, l'execute-api:Invokeautorizzazione consentirà all'utente di richiamare un messaggio API su richiesta del cliente.

    Per il formato dell'elemento Action, consulta Formato di azione delle autorizzazioni per l'esecuzione API in Gateway API.

  • Effetto: l'effetto prodotto quando l'utente richiede una determinata operazione; può essere Allow o Deny. È anche possibile rifiutare esplicitamente l'accesso a una risorsa per essere certi che un utente non sia in grado di accedervi, anche quando tale accesso è assegnato da un'altra policy.

    Nota

    "Rifiuto implicito" ha lo stesso significato di "rifiuto per default".

    Un "rifiuto implicito" è diverso da un "rifiuto esplicito". Per ulteriori informazioni, consulta la sezione sulla differenza tra rifiuto per default e rifiuto esplicito.

  • Principale: account o utente autorizzato ad accedere alle operazioni e alle risorse nell'istruzione. In una policy delle risorse, il principale è l'utente o l'account che riceve questa autorizzazione.

L'esempio di policy delle risorse seguente mostra gli elementi di policy comuni descritti in precedenza. La politica garantisce l'accesso a quanto API specificato account-id nel specificato region a qualsiasi utente il cui indirizzo IP di origine si trova nel blocco di indirizzi 123.4.5.6/24. La politica nega qualsiasi accesso a API se l'IP di origine dell'utente non rientra nell'intervallo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "123.4.5.6/24"
                }
            }
        }
    ]
}