Panoramica sulla gestione delle autorizzazioni di accesso alle risorse della Cloud Directory - Amazon Cloud Directory
Risorse e operazioni della Cloud DirectoryInformazioni sulla proprietà delle risorseGestione dell'accesso alle risorseSpecifica degli elementi delle policy: Operazioni, effetti, risorse ed entitàSpecifica delle condizioni in una policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Panoramica sulla gestione delle autorizzazioni di accesso alle risorse della Cloud Directory

Ogni risorsa AWS è di proprietà di un account AWS e le autorizzazioni necessarie per creare o accedere alle risorse sono regolate dalle policy di autorizzazione. Un amministratore dell'account può collegare policy di autorizzazioni a identità IAM, ovvero utenti, gruppi e ruoli. Anche alcuni servizi, come AWS Lambda, supportano il collegamento di policy di autorizzazioni alle risorse.

Nota

Un amministratore account (o un utente amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni, consulta Best practice IAM nella Guida per l'utente di IAM.

Quando si concedono le autorizzazioni, è necessario specificare gli utenti che le riceveranno e le risorse per cui si concedono, nonché le operazioni specifiche da consentire su tali risorse.

Risorse e operazioni della Cloud Directory

In Cloud Directory, le risorse principali sono directory e schemi. Alle risorse sono associati nomi Amazon Resource Name (ARN) univoci, come illustrato nella tabella seguente.

Tipo di risorsa Formato ARN

Directory

arn:aws:clouddirectory:region:account-id:directory/directory-id
Schema arn:aws:clouddirectory:region:account-id:schema/schema-state/schema-name

Per ulteriori informazioni sugli stati degli schemi e sugli ARN, consultaEsempi di ARNnellaRiferimento alle API Amazon Cloud Directory: .

Cloud Directory fornisce un set di operazioni da utilizzare con le risorse appropriate. Per un elenco di operazioni disponibili, consultaAmazon Cloud DirectoryoOperazioni del Directory Service: .

Informazioni sulla proprietà delle risorse

Un proprietario di risorsa è l'account AWS che ha creato la risorsa. Ciò significa che il proprietario delle risorse è l'account AWS dell'entità principale (l'account root, un utente IAM o un ruolo IAM) che autentica la richiesta che ha creato la risorsa. Negli esempi seguenti viene illustrato il funzionamento.

  • Se utilizzi le credenziali dell'account root del tuo account AWS per creare una risorsa Cloud Directory, come una directory, il tuo account AWS è il proprietario della risorsa.

  • Se crei un utente IAM nell'account AWS e concedi a tale utente le autorizzazioni per creare risorse Cloud Directory, l'utente può creare anche risorse Cloud Directory. Tuttavia, l'account AWS, cui appartiene l'utente, è il proprietario delle risorse .

  • Se crei un ruolo IAM nell'account AWS con le autorizzazioni necessarie per creare risorse Cloud Directory, chiunque possa assumere il ruolo può creare risorse Cloud Directory. L'account AWS a cui appartiene il ruolo è il proprietario delle risorse Cloud Directory.

Gestione dell'accesso alle risorse

La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

Nota

In questa sezione viene discusso l'uso di IAM nel contesto della Cloud Directory. ma non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione IAM completa, consultaCos'è IAM?nellaGuida per l'utente di IAM: . Per informazioni sulla sintassi e le descrizioni delle policy IAM, consultaRiferimento alle policy IAMnellaGuida per l'utente di IAM: .

Le policy collegate a un'identità IAM sono denominateBasato su identitàLe policy (policy IAM) e le policy collegate a una risorsa vengono definite policyBasato su risorsePolicy. Cloud Directory supporta solo policy basate su identità (policy IAM).

Policy basate su identità (policy IAM)

Puoi collegare le policy alle identità IAM. Ad esempio, puoi eseguire le operazioni seguenti:

  • Allegare un criterio di autorizzazione a un utente o a un gruppo nell'account— Un amministratore account può utilizzare una policy di autorizzazione associata a un utente specifico per concedere autorizzazioni per tale utente, al fine di creare una risorsa Cloud Directory, come una nuova directory.

  • Allegare un criterio di autorizzazione a un ruolo (concedere autorizzazioni multiaccount)— Per concedere autorizzazioni multi-account, puoi collegare una policy di autorizzazione basata su identità a un ruolo IAM. L'amministratore dell'account A può creare ad esempio un ruolo per concedere autorizzazioni multiaccount a un altro account AWS (ad esempio l'account B) oppure a un servizio AWS nel modo seguente:

    1. L'amministratore dell'account A crea un ruolo IAM e attribuisce una policy di autorizzazione al ruolo che concede le autorizzazioni sulle risorse per l'account A.

    2. L'amministratore dell'account A attribuisce una policy di attendibilità al ruolo, identificando l'account B come il principale per tale ruolo.

    3. L'amministratore dell'account B può quindi delegare le autorizzazioni per assumere tale ruolo a qualsiasi utente dell'account B. In questo modo, gli utenti nell'account B possono creare o accedere alle risorse nell'account A. Se si desidera concedere a un servizio AWS le autorizzazioni per assumere il ruolo, l'entità nella policy di attendibilità può essere anche un'entità servizio AWS.

    Per ulteriori informazioni sull'uso di IAM per delegare le autorizzazioni, consultaGestione degli accessinellaGuida per l'utente di IAM: .

La seguente policy di autorizzazione concede a un utente le autorizzazioni per eseguire tutte le operazioni che iniziano con Create. Queste operazioni riportano informazioni su una risorsa Cloud Directory, ad esempio una directory o uno schema. Si noti che il carattere jolly (*) nellaResourceElemento indica che le operazioni sono consentite per tutte le risorse Cloud Directory di proprietà dell'account. 

{
   "Version":"2017-01-11",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"clouddirectory:Create*",
         "Resource":"*"
      }
   ]
}

Per ulteriori informazioni sull'uso di policy basate su identità con Cloud Directory, consultaUtilizzo delle policy basate su identità (policy IAM) per Cloud Directory: . Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta Identità (utenti, gruppi e ruoli) nella Guida per l'utente di IAM.

Policy basate su risorse

Anche altri servizi, come Amazon S3, supportano policy di autorizzazioni basate su risorse. Ad esempio, è possibile associare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket. Cloud Directory non supporta policy basate su risorse.

Specifica degli elementi delle policy: Operazioni, effetti, risorse ed entità

Per ogni risorsa Cloud Directory (vedereRisorse e operazioni della Cloud Directory), il servizio definisce un set di operazioni API. Per un elenco di operazioni API disponibili, consultaAmazon Cloud DirectoryoOperazioni del Directory Service: . Per concedere le autorizzazioni per queste operazioni API, Cloud Directory definisce un set di operazioni che possono essere specificate in una policy. Si noti che l'esecuzione di un'operazione API può richiedere le autorizzazioni per più di un'azione.

Di seguito sono elencati gli elementi di base di una policy:

  • Risorsa - in una policy si utilizza un nome Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy stessa. Per le risorse Cloud Directory, si utilizza sempre il carattere jolly (*) nelle policy IAM. Per ulteriori informazioni, consulta Risorse e operazioni della Cloud Directory.

  • Operazione - Utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, le ricetteclouddirectory:GetDirectoryAutorizzazione che concede all'utente le autorizzazioni per eseguire la Cloud DirectoryGetDirectoryoperazione.

  • Effetto— Effetto prodotto quando l'utente richiede l'operazione specifica e può trattarsi di un'autorizzazione o di un rifiuto. Se non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.

  • Principale - Nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse). Cloud Directory non supporta policy basate su risorse.

Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consultaRiferimento alle policy IAMnellaGuida per l'utente di IAM: .

Per una tabella che mostra tutte le operazioni API di Amazon Cloud Directory e le risorse a cui si applicano, consultaAutorizzazioni API Amazon Cloud Directory: Riferimento su operazioni, risorse e condizioni: .

Specifica delle condizioni in una policy

Quando concedi le autorizzazioni, puoi utilizzare la sintassi della policy di accesso per specificare le condizioni in base a cui la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy, consulta Condizione nella Guida per l’utente di IAM.

Per esprimere le condizioni, devi usare chiavi di condizione predefinite. Non esistono chiavi di condizione specifiche per Cloud Directory. Sono tuttavia disponibili chiavi di condizione per AWS che puoi utilizzare come richiesto. Per un elenco completo di chiavi AWS, consultaChiavi di condizione globali disponibilinellaGuida per l'utente di IAM: .