Esempi di policy basate sull'identità di Amazon Chime - Amazon Chime
Best practice per le policyUtilizzo della console Amazon ChimeConsenti agli utenti l'accesso completo ad Amazon ChimeConsentire agli utenti di visualizzare le loro autorizzazioniConsentire agli utenti di accedere alle operazioni di gestione degli utentiAWS politica gestita: AmazonChimeVoiceConnectorServiceLinkedRolePolicyAmazon Chime aggiorna le politiche gestite AWS

Devi essere un amministratore di sistema Amazon Chime per completare i passaggi di questa guida. Se hai bisogno di assistenza con il client desktop, l'app Web o l'app mobile Amazon Chime, consulta Ottenere assistenza nella Guida per l'utente di Amazon Chime.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy basate sull'identità di Amazon Chime

Per impostazione predefinita, IAM gli utenti e i ruoli non sono autorizzati a creare o modificare risorse Amazon Chime. Inoltre, non possono eseguire attività utilizzando AWS Management Console AWS CLI, o AWS API. Un IAM amministratore deve creare IAM politiche che concedano a utenti e ruoli l'autorizzazione a eseguire API operazioni specifiche sulle risorse specifiche di cui ha bisogno. L'amministratore devi quindi collegare queste policy a utenti o gruppi IAMche richiedono tali autorizzazioni.

Per informazioni su come creare una politica IAM basata sull'identità utilizzando questi documenti di esempioJSON, consulta Creazione di politiche nella JSON scheda della Guida per l'utente. IAM

Best practice per le policy

Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon Chime nel tuo account. Queste azioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:

  • Inizia con le politiche AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta le politiche AWS gestite o le politiche AWS gestite per le funzioni lavorative nella Guida per l'IAMutente.

  • Applica le autorizzazioni con privilegi minimi: quando imposti le autorizzazioni con le IAM politiche, concedi solo le autorizzazioni necessarie per eseguire un'attività. Puoi farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo per applicare le autorizzazioni, consulta Politiche e autorizzazioni nella Guida IAM per l'utente. IAM IAM

  • Utilizza le condizioni nelle IAM politiche per limitare ulteriormente l'accesso: puoi aggiungere una condizione alle tue politiche per limitare l'accesso ad azioni e risorse. Ad esempio, puoi scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzandoSSL. È inoltre possibile utilizzare condizioni per concedere l'accesso alle azioni di servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta Elementi IAM JSON della politica: Condizione nella Guida IAM per l'utente.

  • Usa IAM Access Analyzer per convalidare IAM le tue policy e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio delle IAM policy () e alle best practice. JSON IAM IAM Access Analyzer fornisce più di 100 controlli delle policy e consigli pratici per aiutarti a creare policy sicure e funzionali. Per ulteriori informazioni, consulta Convalida delle politiche con IAM Access Analyzer nella Guida per l'utente. IAM

  • Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede l'utilizzo di IAM utenti o di un utente root Account AWS, attiva questa opzione MFA per una maggiore sicurezza. Per richiedere MFA quando vengono richiamate API le operazioni, aggiungi MFA delle condizioni alle tue politiche. Per ulteriori informazioni, consulta Secure API access with MFA nella Guida IAM per l'utente.

Per ulteriori informazioni sulle best practice inIAM, consulta la sezione Procedure consigliate in materia di sicurezza IAM nella Guida IAM per l'utente.

Utilizzo della console Amazon Chime

Per accedere alla console Amazon Chime, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse Amazon Chime nel AWS tuo account. Se crei una policy basata su identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti e ruoli IAM) associate a tale policy.

Per garantire che tali entità possano ancora utilizzare la console Amazon Chime, allega anche la seguente AmazonChimeReadOnlypolitica AWS gestita alle entità. Per ulteriori informazioni, consulta Aggiungere autorizzazioni a un utente nella Guida per l'IAMutente:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "chime:List*",
                "chime:Get*",
                "chime:SearchAvailablePhoneNumbers"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso il AWS CLI o il. AWS API Consenti invece l'accesso solo alle azioni che corrispondono all'APIoperazione che stai cercando di eseguire.

Consenti agli utenti l'accesso completo ad Amazon Chime

La seguente AmazonChimeFullAccesspolitica AWS gestita garantisce a un IAM utente l'accesso completo alle risorse di Amazon Chime. La policy consente all'utente di accedere a tutte le operazioni di Amazon Chime, nonché ad altre operazioni che Amazon Chime deve essere in grado di eseguire per tuo conto.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "chime:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketVersioning",
                "s3:GetBucketWebsite"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:GetLogDelivery",
                "logs:ListLogDeliveries",
                "logs:DescribeResourcePolicies",
                "logs:PutResourcePolicy",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:CreateTopic",
                "sns:GetTopicAttributes"
            ],
            "Resource": [
                "arn:aws:sns:*:*:ChimeVoiceConnector-Streaming*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "sqs:GetQueueAttributes",
                "sqs:CreateQueue"
            ],
            "Resource": [
                "arn:aws:sqs:*:*:ChimeVoiceConnector-Streaming*"
            ]
        }
    ]
}

Consentire agli utenti di visualizzare le loro autorizzazioni

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente o. AWS CLI AWS API

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Consentire agli utenti di accedere alle operazioni di gestione degli utenti

Utilizza la AmazonChimeUserManagementpolicy AWS gestita per concedere agli utenti l'accesso alle azioni di gestione degli utenti nella console Amazon Chime.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "chime:ListAccounts",
                "chime:GetAccount",
                "chime:GetAccountSettings",
                "chime:UpdateAccountSettings",
                "chime:ListUsers",
                "chime:GetUser",
                "chime:GetUserByEmail",
                "chime:InviteUsers",
                "chime:InviteUsersFromProvider",
                "chime:SuspendUsers",
                "chime:ActivateUsers",
                "chime:UpdateUserLicenses",
                "chime:ResetPersonalPIN",
                "chime:LogoutUser",
                "chime:ListDomains",
                "chime:GetDomain",
                "chime:ListDirectories",
                "chime:ListGroups",
                "chime:SubmitSupportRequest",
                "chime:ListDelegates",
                "chime:ListAccountUsageReportData",
                "chime:GetMeetingDetail",
                "chime:ListMeetingEvents",
                "chime:ListMeetingsReportData",
                "chime:GetUserActivityReportData",
                "chime:UpdateUser",
                "chime:BatchUpdateUser",
                "chime:BatchSuspendUser",
                "chime:BatchUnsuspendUser",
                "chime:AssociatePhoneNumberWithUser",
                "chime:DisassociatePhoneNumberFromUser",
                "chime:GetPhoneNumber",
                "chime:ListPhoneNumbers",
                "chime:GetUserSettings",
                "chime:UpdateUserSettings",
                "chime:CreateUser",
                "chime:AssociateSigninDelegateGroupsWithAccount",
                "chime:DisassociateSigninDelegateGroupsFromAccount"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS politica gestita: AmazonChimeVoiceConnectorServiceLinkedRolePolicy

AmazonChimeVoiceConnectorServiceLinkedRolePolicyConsente ad Amazon Chime Voice Connectors di trasmettere contenuti multimediali su Amazon Kinesis Video Streams, fornire notifiche di streaming e sintetizzare il parlato utilizzando Amazon Polly. Questa politica concede al servizio Amazon Chime Voice Connector le autorizzazioni per accedere ad Amazon Kinesis Video Streams del cliente, inviare eventi di notifica ad Amazon Simple Notification Service e Amazon Simple Queue Service e utilizzare Amazon Polly per sintetizzare la voce quando si utilizzano le applicazioni e le azioni Amazon Chime Voice. SDK Speak SpeakAndGetDigits Per ulteriori informazioni, consulta gli esempi di policy SDK basate sull'identità di Amazon Chime nella Amazon Chime Administrator Guide. SDK

Amazon Chime aggiorna le politiche gestite AWS

La tabella seguente elenca e descrive gli aggiornamenti apportati alla politica di Amazon ChimeIAM.

Modifica Descrizione Data

AmazonChimeVoiceConnectorServiceLinkedRolePolicy: aggiornamento a una policy esistente

Amazon Chime Voice Connectors ha aggiunto nuove autorizzazioni per consentirti di utilizzare Amazon Polly per sintetizzare il parlato. Queste autorizzazioni sono necessarie per utilizzare le azioni e nelle applicazioni Amazon Chime Voice. Speak SpeakAndGetDigits SDK

 15 marzo 2022

AmazonChimeVoiceConnectorServiceLinkedRolePolicy: aggiornamento a una policy esistente

Amazon Chime Voice Connector ha aggiunto nuove autorizzazioni per consentire l'accesso ad Amazon Kinesis Video Streams e inviare eventi di notifica a e. SNS SQS Queste autorizzazioni sono necessarie per Amazon Chime Voice Connectors per trasmettere contenuti multimediali su Amazon Kinesis Video Streams e fornire notifiche di streaming.

 20 dicembre 2021

Modifica alla politica esistente. Creazione di IAM utenti o ruoli con la SDK politica Chime.

Amazon Chime ha aggiunto nuove azioni per supportare una convalida estesa.

Sono state aggiunte diverse azioni per consentire l'elenco e l'etichettatura dei partecipanti e delle risorse per le riunioni e per avviare e interrompere la trascrizione delle riunioni.

 23 settembre 2021

Amazon Chime ha iniziato a tracciare le modifiche

Amazon Chime ha iniziato a tracciare le modifiche per le sue politiche AWS gestite.

 23 settembre 2021