Iscriviti per un Account AWS Crea un utente con accesso amministrativo Concessione dell'accesso programmatico (Consigliato) Configura le autorizzazioni per il rollback automatico

Configurazione AWS AppConfig

Se non l'hai già fatto, registrati Account AWS e crea un utente amministrativo.

Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.

Per iscriverti a un Account AWS

Apri la https://portal.aws.amazon.com/billing/registrazione.
Segui le istruzioni online.

Nel corso della procedura di registrazione riceverai una telefonata, durante la quale sarà necessario inserire un codice di verifica attraverso la tastiera del telefono.

Quando ti iscrivi a un Account AWS, Utente root dell'account AWSviene creato un. L'utente root dispone dell'accesso a tutte le risorse e tutti i AWS servizi nell'account. Come best practice di sicurezza, assegna l'accesso amministrativo a un utente e utilizza solo l'utente root per eseguire attività che richiedono l'accesso di un utente root.

AWS ti invia un'email di conferma dopo il completamento della procedura di registrazione. È possibile visualizzare l'attività corrente dell'account e gestire l'account in qualsiasi momento accedendo all'indirizzo https://aws.amazon.com/ e selezionando Il mio account.

Crea un utente con accesso amministrativo

Dopo la registrazione Account AWS, proteggi Utente root dell'account AWS AWS IAM Identity Center, abilita e crea un utente amministrativo in modo da non utilizzare l'utente root per le attività quotidiane.

Proteggi i tuoi Utente root dell'account AWS

Accedi AWS Management Consolecome proprietario dell'account scegliendo Utente root e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.

Per informazioni sull'accesso utilizzando un utente root, consulta la pagina Signing in as the root user della Guida per l'utente di Accedi ad AWS .
Attiva l'autenticazione a più fattori (MFA) per il tuo utente root.

Per istruzioni, consulta Abilitare un MFA dispositivo virtuale per l'utente Account AWS root (console) nella Guida per l'IAMutente.

Crea un utente con accesso amministrativo

Abilita IAM Identity Center.

Per istruzioni, consulta Abilitazione di AWS IAM Identity Center nella Guida per l'utente di AWS IAM Identity Center .
In IAM Identity Center, concedi l'accesso amministrativo a un utente.

Per un tutorial sull'utilizzo di IAM Identity Center directory come fonte di identità, consulta Configurare l'accesso utente con i valori predefiniti IAM Identity Center directory nella Guida per l'AWS IAM Identity Center utente.

Accesso come utente amministratore

Per accedere con l'utente dell'IAMIdentity Center, utilizza l'accesso URL che è stato inviato al tuo indirizzo e-mail quando hai creato l'utente IAM Identity Center.

Per informazioni sull'accesso con un utente di IAM Identity Center, consulta Accesso al portale di AWS accesso nella Guida per l'Accedi ad AWS utente.

Assegna l'accesso a ulteriori utenti

In IAM Identity Center, crea un set di autorizzazioni che segua la migliore pratica di applicazione delle autorizzazioni con privilegi minimi.

Segui le istruzioni riportate nella pagina Creazione di un set di autorizzazioni nella Guida per l'utente di AWS IAM Identity Center .
Assegna al gruppo prima gli utenti e poi l'accesso con autenticazione unica (Single Sign-On).

Per istruzioni, consulta Aggiungere gruppi nella Guida per l'utente di AWS IAM Identity Center .

Concessione dell'accesso programmatico

Gli utenti necessitano di un accesso programmatico se desiderano interagire con AWS l'esterno di. AWS Management Console Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS

Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

Quale utente necessita dell'accesso programmatico?	Per	Come
Identità della forza lavoro (Utenti gestiti in IAM Identity Center)	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, vedere Configurazione dell'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti e AWS APIs, consulta l'autenticazione di IAM Identity Center nella Guida di riferimento agli strumenti AWS SDKs e agli strumenti.
IAM	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'IAMutente.
IAM	(Non consigliato) Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, consulta Autenticazione tramite credenziali IAM utente nella Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli strumenti e agli AWS SDKs strumenti. Per AWS APIs, consulta Gestione delle chiavi di accesso per IAM gli utenti nella Guida per l'IAMutente.

Quale utente necessita dell'accesso programmatico?

Per

Come

Identità della forza lavoro

(Utenti gestiti in IAM Identity Center)

Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Per la AWS CLI, vedere Configurazione dell'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface
Per AWS SDKs gli strumenti e AWS APIs, consulta l'autenticazione di IAM Identity Center nella Guida di riferimento agli strumenti AWS SDKs e agli strumenti.

IAM

Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs

Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'IAMutente.

IAM

(Non consigliato)

Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Per la AWS CLI, consulta Autenticazione tramite credenziali IAM utente nella Guida per l'utente.AWS Command Line Interface
Per AWS SDKs gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli strumenti e agli AWS SDKs strumenti.
Per AWS APIs, consulta Gestione delle chiavi di accesso per IAM gli utenti nella Guida per l'IAMutente.

(Consigliato) Configura le autorizzazioni per il rollback automatico

Puoi configurare AWS AppConfig il ripristino a una versione precedente di una configurazione in risposta a uno o più CloudWatch allarmi Amazon. Quando configuri una distribuzione per rispondere agli CloudWatch allarmi, specifichi un ruolo AWS Identity and Access Management (IAM). AWS AppConfig richiede questo ruolo in modo da poter monitorare gli CloudWatch allarmi. Questa procedura è facoltativa, ma altamente consigliata.

Nota

Il IAM ruolo deve appartenere all'account corrente. Per impostazione predefinita, AWS AppConfig può monitorare solo gli allarmi di proprietà dell'account corrente. Se desideri configurare AWS AppConfig il rollback delle distribuzioni in risposta alle metriche di un account diverso, devi configurare gli allarmi tra account. Per ulteriori informazioni, consulta la CloudWatch console interregionale per più account nella Amazon CloudWatch User Guide.

Utilizza le seguenti procedure per creare un IAM ruolo che consenta il rollback AWS AppConfig in base agli allarmi. CloudWatch Questa sezione include le seguenti procedure.

Passaggio 1: creare la politica di autorizzazione per il rollback in base agli allarmi CloudWatch
Passaggio 2: crea il IAM ruolo per il rollback in base CloudWatch agli allarmi
Fase 3: aggiunta di una relazione di trust

Passaggio 1: creare la politica di autorizzazione per il rollback in base agli allarmi CloudWatch

Utilizza la procedura seguente per creare una IAM politica che AWS AppConfig autorizzi l'DescribeAlarmsAPIazione.

Per creare una politica di IAM autorizzazione per il rollback basata sugli allarmi CloudWatch

Apri la IAM console all'indirizzo. https://console.aws.amazon.com/iam/
Nel riquadro di navigazione, seleziona Policy e quindi Crea policy.
Nella pagina Crea policy, scegli la JSONscheda.
Sostituisci il contenuto predefinito della JSON scheda con la seguente politica di autorizzazione, quindi scegli Avanti: Tag.

Nota
Per restituire informazioni sugli allarmi CloudWatch compositi, all'DescribeAlarmsAPIoperazione devono essere assegnate * le autorizzazioni, come mostrato qui. Non è possibile restituire informazioni sugli allarmi compositi se l'ambito DescribeAlarms è più ristretto.
```
{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "cloudwatch:DescribeAlarms"
                ],
                "Resource": "*"
            }
        ]
    }
```
Immettere i tag per questo ruolo, quindi scegliere Next: Review (Successivo: Revisione).
Nella pagina Revisione, inserisci il SSMCloudWatchAlarmDiscoveryPolicy campo Nome.
Scegli Create Policy (Crea policy). Il sistema visualizza di nuovo la pagina Policies (Policy).

Passaggio 2: crea il IAM ruolo per il rollback in base CloudWatch agli allarmi

Utilizza la procedura seguente per creare un IAM ruolo e assegnargli la politica creata nella procedura precedente.

Per creare un IAM ruolo per il rollback basato sugli allarmi CloudWatch

Apri la IAM console all'indirizzo. https://console.aws.amazon.com/iam/
Nel pannello di navigazione, scegliere Roles (Ruoli) e quindi Create role (Crea ruolo).
In Select type of trusted entity (Seleziona tipo di entità attendibile), scegliere AWS service (Servizio).
Immediatamente in Scegli il servizio che utilizzerà questo ruolo, scegli EC2: Consente alle EC2 istanze di chiamare AWS i servizi per tuo conto, quindi scegli Avanti: Autorizzazioni.
Nella pagina Politica sulle autorizzazioni allegate, cerca. SSMCloudWatchAlarmDiscoveryPolicy
Scegliere questa policy, quindi selezionare Next: Tags (Successivo: tag).
Immettere i tag per questo ruolo, quindi scegliere Next: Review (Successivo: Revisione).
Nella pagina Crea ruolo, inserisci SSMCloudWatchAlarmDiscoveryRole il campo Nome ruolo, quindi scegli Crea ruolo.
Nella pagina Roles (Ruoli), scegliere il ruolo appena creato. Viene visualizzata la pagina Summary (Riepilogo).

Fase 3: aggiunta di una relazione di trust

Utilizza la procedura seguente per configurare il ruolo appena creato per considerare attendibile AWS AppConfig.

Per aggiungere una relazione di fiducia per AWS AppConfig

Nella pagina Summary (Riepilogo) per il ruolo creato in precedenza, scegliere la scheda Trust Relationships (Relazioni di trust), quindi scegliere Edit Trust Relationship (Modifica relazione di trust).

Modificare il criterio per includere solo "appconfig.amazonaws.com", come mostrato nell'esempio seguente:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "appconfig.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Scegli Update Trust Policy (Aggiorna policy di trust).

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Che cos'è AWS AppConfig?

Creazione