Esempi di policy basate sull'identità di App Runner - AWS App Runner
Best practice per le policyPolicy utenteControllo dell'accesso ai servizi App Runner in base ai tag

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy basate sull'identità di App Runner

Per impostazione predefinita, IAM gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse. AWS App Runner Inoltre, non possono eseguire attività utilizzando AWS Management Console AWS CLI, o AWS API. Un IAM amministratore deve creare IAM politiche che concedano a utenti e ruoli l'autorizzazione a eseguire API operazioni specifiche sulle risorse specifiche di cui ha bisogno. L'amministratore devi quindi collegare queste policy a utenti o gruppi IAMche richiedono tali autorizzazioni.

Per informazioni su come creare una policy IAM basata sull'identità utilizzando questi documenti di esempio, consulta Creating JSON Policies on the JSON Tab nella Guida per l'utente. IAM

Per altri argomenti sulla sicurezza di App Runner, consulta. Sicurezza in App Runner

Best practice per le policy

Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse di App Runner nel tuo account. Queste azioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:

  • Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta le politiche AWS gestite o le politiche AWS gestite per le funzioni lavorative nella Guida per l'IAMutente.

  • Applica le autorizzazioni con privilegi minimi: quando imposti le autorizzazioni con le IAM politiche, concedi solo le autorizzazioni necessarie per eseguire un'attività. Puoi farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo per applicare le autorizzazioni, consulta Politiche e autorizzazioni nella Guida IAM per l'utente. IAM IAM

  • Utilizza le condizioni nelle IAM politiche per limitare ulteriormente l'accesso: puoi aggiungere una condizione alle tue politiche per limitare l'accesso ad azioni e risorse. Ad esempio, puoi scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzandoSSL. È inoltre possibile utilizzare condizioni per concedere l'accesso alle azioni di servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta Elementi IAM JSON della politica: Condizione nella Guida IAM per l'utente.

  • Usa IAM Access Analyzer per convalidare IAM le tue policy e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio delle IAM policy () e alle best practice. JSON IAM IAM Access Analyzer fornisce più di 100 controlli delle policy e consigli pratici per aiutarti a creare policy sicure e funzionali. Per ulteriori informazioni, consulta Convalida delle politiche con IAM Access Analyzer nella Guida per l'utente. IAM

  • Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede l'utilizzo di IAM utenti o di un utente root Account AWS, attiva questa opzione MFA per una maggiore sicurezza. Per richiedere MFA quando vengono richiamate API le operazioni, aggiungi MFA delle condizioni alle tue politiche. Per ulteriori informazioni, consulta Secure API access with MFA nella Guida IAM per l'utente.

Per ulteriori informazioni sulle best practice inIAM, consulta la sezione Procedure consigliate in materia di sicurezza IAM nella Guida IAM per l'utente.

Policy utente

Per accedere alla console App Runner, IAM gli utenti devono disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse di App Runner presenti nel tuo. Account AWS Se crei una politica basata sull'identità più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con tale politica.

App Runner offre due policy gestite che puoi allegare ai tuoi utenti.

  • AWSAppRunnerReadOnlyAccess— Concede le autorizzazioni per elencare e visualizzare i dettagli sulle risorse di App Runner.

  • AWSAppRunnerFullAccess— Concede le autorizzazioni a tutte le azioni di App Runner.

Per garantire che gli utenti possano utilizzare la console App Runner, allega almeno la policy AWSAppRunnerReadOnlyAccess gestita agli utenti. Puoi invece allegare la politica AWSAppRunnerFullAccess gestita o aggiungere autorizzazioni aggiuntive specifiche per consentire agli utenti di creare, modificare ed eliminare la risorsa. Per ulteriori informazioni, consulta Aggiungere autorizzazioni a un utente nella Guida per l'IAMutente.

Non è necessario consentire autorizzazioni minime di console per gli utenti che effettuano chiamate solo verso il AWS CLI o il. AWS API Consenti invece l'accesso solo alle azioni che corrispondono all'APIoperazione che desideri consentire agli utenti di eseguire.

Negli esempi seguenti vengono illustrate le politiche utente personalizzate. È possibile utilizzarli come punti di partenza per definire politiche utente personalizzate. Copia l'esempio e/o rimuovi le azioni, definisci l'ambito delle risorse e aggiungi condizioni.

Esempio: politica utente per la gestione della console e della connessione

Questa policy di esempio consente l'accesso alla console e consente la creazione e la gestione delle connessioni. Non consente la creazione e la gestione del servizio App Runner. Può essere collegato a un utente il cui ruolo è gestire l'accesso del servizio App Runner alle risorse del codice sorgente.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "apprunner:List*",
        "apprunner:Describe*",
        "apprunner:CreateConnection",
        "apprunner:DeleteConnection"
      ],
      "Resource": "*"
    }
  ]
}

Esempio: politiche utente che utilizzano chiavi condizionali

Gli esempi in questa sezione mostrano le autorizzazioni condizionali che dipendono da alcune proprietà delle risorse o dai parametri di azione.

Questa politica di esempio consente la creazione di un servizio App Runner ma nega l'utilizzo di una connessione denominata. prod

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowCreateAppRunnerServiceWithNonProdConnections",
      "Effect": "Allow",
      "Action": "apprunner:CreateService",
      "Resource": "*",
      "Condition": {
        "ArnNotLike": {
          "apprunner:ConnectionArn": "arn:aws:apprunner:*:*:connection/prod/*"
        }
      }
    }
  ]
}

Questo criterio di esempio consente l'aggiornamento di un servizio App Runner denominato preprod solo con una configurazione di scalabilità automatica denominata. preprod

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowUpdatePreProdAppRunnerServiceWithPreProdASConfig",
      "Effect": "Allow",
      "Action": "apprunner:UpdateService",
      "Resource": "arn:aws:apprunner:*:*:service/preprod/*",
      "Condition": {
        "ArnLike": {
          "apprunner:AutoScalingConfigurationArn": "arn:aws:apprunner:*:*:autoscalingconfiguration/preprod/*"
        }
      }
    }
  ]
}

Controllo dell'accesso ai servizi App Runner in base ai tag

Puoi utilizzare le condizioni della tua policy basata sull'identità per controllare l'accesso alle risorse di App Runner in base ai tag. Questo esempio mostra come è possibile creare una politica che consenta l'eliminazione di un servizio App Runner. Tuttavia, l'autorizzazione viene concessa solo se il valore del tag del servizio Owner è quello del nome utente dell'utente. Questa policy concede anche le autorizzazioni necessarie per completare questa azione nella console.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ListServicesInConsole",
      "Effect": "Allow",
      "Action": "apprunner:ListServices",
      "Resource": "*"
    },
    {
      "Sid": "DeleteServiceIfOwner",
      "Effect": "Allow",
      "Action": "apprunner:DeleteService",
      "Resource": "arn:aws:apprunner:*:*:service/*",
      "Condition": {
        "StringEquals": {"apprunner:ResourceTag/Owner": "${aws:username}"}
      }
    }
  ]
}

Puoi collegare questa policy agli utenti IAM nel tuo account. Se un utente denominato richard-roe tenta di eliminare un servizio App Runner, il servizio deve essere taggato o. Owner=richard-roe owner=richard-roe In caso contrario l'accesso è negato. La chiave di tag di condizione Owner corrisponde a Owner e owner perché i nomi delle chiavi di condizione non effettuano la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta IAMJSONPolicy Elements: Condition nella Guida per l'IAMutente.