IAMstruttura delle politiche - AWS Batch
Sintassi delle policyAPIazioni per AWS BatchNomi di risorse Amazon per AWS BatchTest delle autorizzazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

IAMstruttura delle politiche

Nei seguenti argomenti viene illustrata la struttura di una policy IAM.

Sintassi delle policy

Una IAM politica è un JSON documento composto da una o più dichiarazioni. Ogni dichiarazione è strutturata come segue.

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
    "key":"value"
    }
      }
    }
  ]
}

Una dichiarazione è costituita da quattro elementi principali:

  • Effetto: l'elemento effect può essere Allow o Deny. Per impostazione predefinita, gli utenti non sono autorizzati a utilizzare risorse e API azioni. Pertanto, tutte le richieste vengono rifiutate. Un permesso esplicito sostituisce l'impostazione predefinita. Un rifiuto esplicito sovrascrive tutti i consensi.

  • Azione: l'azione è l'APIazione specifica per la quale concedi o neghi l'autorizzazione. Per istruzioni su come specificare l'azione, consulta. APIazioni per AWS Batch

  • Resource (Risorsa): la risorsa che viene modificata dall'operazione. Con alcune AWS Batch API azioni, è possibile includere nella politica risorse specifiche che possono essere create o modificate dall'azione. Per specificare una risorsa nell'istruzione, usa il relativo Amazon Resource Name (ARN). Per ulteriori informazioni, consulta Autorizzazioni supportate a livello di risorsa per le azioni AWS Batch API e Nomi di risorse Amazon per AWS Batch. Se l' AWS Batch APIoperazione attualmente non supporta le autorizzazioni a livello di risorsa, includi un carattere jolly (*) per specificare che tutte le risorse possono essere influenzate dall'azione.

  • Condition: le condizioni sono facoltative. Possono essere utilizzate per controllare quando è in vigore una policy.

Per ulteriori informazioni su esempi IAM di dichiarazioni politiche per, vedere. AWS BatchRisorsa: Politiche di esempio per AWS Batch

APIazioni per AWS Batch

In una dichiarazione IAM politica, è possibile specificare qualsiasi API azione da qualsiasi servizio che supportiIAM. Per AWS Batch, utilizzare il seguente prefisso con il nome dell'APIazione: batch: (ad esempio, batch:SubmitJob ebatch:CreateComputeEnvironment).

Per specificare più azioni in un'unica istruzione, separa ogni azione con una virgola.

"Action": ["batch:action1", "batch:action2"]

È inoltre possibile specificare più azioni includendo un carattere jolly (*). Ad esempio, puoi specificare tutte le azioni con un nome che inizia con la parola «Descrivi».

"Action": "batch:Describe*"

Per specificare tutte le AWS Batch API azioni, includi un carattere jolly (*).

"Action": "batch:*"

Per un elenco delle AWS Batch azioni, consulta Azioni nel AWS Batch APIriferimento.

Nomi di risorse Amazon per AWS Batch

Ogni dichiarazione di IAM policy si applica alle risorse specificate utilizzando i rispettivi Amazon Resource Names (ARNs).

Un Amazon Resource Name (ARN) ha la seguente sintassi generale:

arn:aws:[service]:[region]:[account]:resourceType/resourcePath
service

Il servizio (ad esempio batch).

Regione

Il Regione AWS per la risorsa (ad esempio,us-east-2).

account

L' Account AWS ID, senza trattini (ad esempio,123456789012).

resourceType

Il tipo di risorsa (ad esempio compute-environment).

resourcePath

Un percorso che identifica la risorsa. Puoi usare un carattere jolly (*) nei tuoi percorsi.

AWS Batch APIle operazioni attualmente supportano autorizzazioni a livello di risorsa per diverse operazioni. API Per ulteriori informazioni, consulta Autorizzazioni supportate a livello di risorsa per le azioni AWS Batch API. Per specificare tutte le risorse, o se un'APIazione specifica non supportaARNs, includi un carattere jolly (*) nell'elemento. Resource

"Resource": "*"

Verifica che gli utenti dispongano delle autorizzazioni richieste

Prima di mettere in produzione una IAM politica, assicurati che conceda agli utenti le autorizzazioni per utilizzare le API azioni e le risorse specifiche di cui hanno bisogno.

A tale scopo, create innanzitutto un utente a scopo di test e allegate la IAM policy all'utente di prova. In seguito, effettua una richiesta come utente di test. nella console o con la AWS CLI.

Nota

Puoi anche testare le tue politiche utilizzando il IAMPolicy Simulator. Per ulteriori informazioni sul simulatore di policy, consulta Working with the IAM Policy Simulator nella Guida per l'IAMutente.

Se la policy non concede all'utente le autorizzazioni previste oppure è eccessivamente permissiva, puoi modificarla in base alle esigenze. Ripeti il test fino a ottenere i risultati desiderati.

Importante

La propagazione delle modifiche alla policy e la loro validità potrebbe richiedere alcuni minuti. Pertanto, ti consigliamo di attendere almeno cinque minuti prima di testare gli aggiornamenti delle politiche.

Se una verifica dell'autorizzazione ha esito negativo, la richiesta restituisce un messaggio codificato con informazioni di diagnostica. Il messaggio può essere decodificato tramite l'operazione DecodeAuthorizationMessage. Per ulteriori informazioni, vedere DecodeAuthorizationMessagenella Guida AWS Security Token Service APIdi riferimento e decode-authorization-messagenella Guida ai AWS CLI comandi.