Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione delle identità e degli accessi per AWS CloudHSM
AWS utilizza le credenziali di sicurezza per identificarti e per concederti l'accesso alle risorse AWS. Puoi utilizzare le funzionalità di AWS Identity and Access Management (IAM) per consentire ad altri utenti, servizi e applicazioni di utilizzare le tue risorse AWS completamente o in modo limitato. Il tutto senza condividere le credenziali di sicurezza.
Per impostazione predefinita, gli utenti IAM non dispongono dell'autorizzazione per creare, visualizzare o modificare le risorse AWS. Per consentire a un utente IAM di accedere a risorse come un sistema di bilanciamento del carico ed eseguire attività, è necessario:
-
Crea una policy IAM che conceda all'utente IAM l'autorizzazione per utilizzare le risorse specifiche e le operazioni API di cui ha bisogno.
-
Collegare la policy all'utente IAM o al gruppo a cui l'utente IAM appartiene.
Quando si collega una policy a un utente o a un gruppo di utenti viene concessa o rifiutata agli utenti l'autorizzazione per l'esecuzione delle attività specificate sulle risorse specificate.
Ad esempio è possibile utilizzare l'IAM per creare utenti e gruppi nell'account AWS. Un utente IAM può essere una persona, un sistema o un'applicazione. Quindi puoi concedere le autorizzazioni a utenti e gruppi affinché eseguano operazioni specifiche sulle risorse specificate utilizzando una policy IAM.
Concessione di autorizzazioni tramite i criteri IAM
Quando si collega una policy a un utente o a un gruppo di utenti, viene concessa o rifiutata agli utenti l'autorizzazione per l'esecuzione delle attività specificate sulle risorse specificate.
Una policy IAM è un documento JSON costituito da una o più istruzioni. Ogni istruzione è strutturata come mostrato nell'esempio seguente.
{ "Version": "2012-10-17", "Statement":[{ "Effect": "effect", "Action": "action", "Resource": "resource-arn", "Condition": { "condition": { "key":"value" } } }] }
-
Effetto: l'elemento effetto può essere
AllowoDeny. Per impostazione predefinita, gli utenti IAM non dispongono dell'autorizzazione per l'utilizzo delle risorse e per operazioni API, pertanto tutte le richieste vengono rifiutate. Un permesso esplicito sostituisce l'impostazione predefinita. Un rifiuto esplicito sovrascrive tutti i consensi. -
Operazione: l'elemento operazione corrisponde all'operazione API specifica per la quale si concede o si nega l'autorizzazione. Per ulteriori informazioni su come specificare l'operazione, consulta Azioni API per AWS CloudHSM.
-
Risorsa: la risorsa interessata dall'azione. AWS CloudHSM non supporta le autorizzazioni a livello di risorsa. È necessario utilizzare il carattere jolly * per specificare tutte le risorse. AWS CloudHSM
-
Condizione— Opzionalmente, puoi utilizzare le condizioni per controllare quando la tua policy è in vigore. Per ulteriori informazioni, consulta Chiavi di condizione per AWS CloudHSM.
Per ulteriori informazioni, consultare la Guida per l'utente IAM.
Azioni API per AWS CloudHSM
Nell'elemento Action della tua dichiarazione sulla politica IAM, puoi specificare qualsiasi azione API che AWS CloudHSM offre. Occorre applicare un prefisso al nome dell'operazione con la stringa minuscola cloudhsm:, come nell'esempio seguente.
"Action": "cloudhsm:DescribeClusters"Per specificare più operazioni in una sola istruzione, racchiudile tra parentesi quadre e separale con una virgola, come illustrato nell'esempio seguente.
"Action": [
"cloudhsm:DescribeClusters",
"cloudhsm:DescribeHsm"
]Puoi anche specificare più operazioni tramite il simbolo *. L'esempio seguente specifica tutti i nomi di azioni API AWS CloudHSM che iniziano conList.
"Action": "cloudhsm:List*"Per specificare tutte le azioni API per AWS CloudHSM, utilizzate il carattere jolly *, come mostrato nell'esempio seguente.
"Action": "cloudhsm:*"Per l'elenco delle azioni API per AWS CloudHSM, vedi AWS CloudHSM Azioni.
Chiavi di condizione per AWS CloudHSM
Quando si crea una policy, puoi specificare le condizioni che controllano quando la policy è in vigore. Ogni condizione contiene una o più coppie chiave/valore. Sono disponibili chiavi di condizione globali e chiavi di condizione specifiche per il servizio.
AWS CloudHSM non ha chiavi contestuali specifiche del servizio.
Per ulteriori informazioni sulle chiavi di condizione globali, consulta Chiavi di contesto delle condizioni globali AWS nella Guida dell'utente IAM.
Policy gestite AWS predefinite per AWS CloudHSM
Le policy gestite create da AWS concedono le autorizzazioni necessarie per i casi d'utilizzo più comuni. Puoi collegare queste policy agli utenti IAM in base all'accesso all' AWS CloudHSM da loro richiesto:
-
AWSCloudHSMFullAccess— Garantisce l'accesso completo necessario per utilizzare AWS CloudHSM le funzionalità.
-
AWSCloudHSMReadOnlyAccess— Garantisce l'accesso in sola lettura alle funzionalità. AWS CloudHSM
Politiche gestite dal cliente per AWS CloudHSM
Ti consigliamo di creare un gruppo di amministratori IAM AWS CloudHSM che contenga solo le autorizzazioni necessarie per l'esecuzione. AWS CloudHSMCollegare la policy con le autorizzazioni appropriate a questo gruppo. Aggiungere utenti IAM al gruppo, se necessario. Ogni utente aggiunto eredita la policy dal gruppo degli amministratori.
Inoltre, ti consigliamo di creare gruppi di utenti aggiuntivi in base alle autorizzazioni necessarie agli utenti. Ciò garantisce che solo gli utenti attendibili abbiano accesso alle operazioni API critiche. Ad esempio, è possibile creare un gruppo di utenti che puoi usare per concedere l'accesso in modalità di sola lettura per cluster e HSM. Poiché questo gruppo non consente a un utente di eliminare cluster o HSM, un utente non attendibile non può influire sulla disponibilità di un carico di lavoro di produzione.
Man mano che nuove funzionalità di AWS CloudHSM gestione vengono aggiunte nel tempo, puoi assicurarti che solo gli utenti fidati abbiano accesso immediato. Assegnando autorizzazioni limitate alle policy in fase di creazione, è possibile assegnare manualmente le autorizzazioni per le nuove funzionalità n un secondo momento.
Di seguito sono riportati alcuni esempi di policy per AWS CloudHSM. Per informazioni su come creare una policy e collegarla a un gruppo di utenti IAM, consulta Creazione di policy nella scheda JSON nella Guida per l'utente IAM.
Esempio: Autorizzazioni di sola lettura
Questa policy consente l'accesso al DescribeClusters e DescribeBackups alle operazioni API. Include anche autorizzazioni aggiuntive per operazioni API Amazon EC2 specifiche. Tuttavia, non consente all'utente di eliminare i cluster o gli HSM.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "cloudhsm:DescribeClusters", "cloudhsm:DescribeBackups", "cloudhsm:ListTags" ], "Resource": "*" } }
Esempio: Autorizzazioni utente avanzato
Questa policy consente l'accesso a un sottoinsieme delle azioni AWS CloudHSM API. Include anche autorizzazioni aggiuntive per operazioni specifiche Amazon EC2. Tuttavia, non consente all'utente di eliminare i cluster o gli HSM. È necessario includere l'iam:CreateServiceLinkedRoleazione per consentire AWS CloudHSM la creazione automatica del ruolo AWSServiceRoleForCloudHSMcollegato al servizio nel proprio account. Questo ruolo consente di registrare AWS CloudHSM gli eventi. Per ulteriori informazioni, consulta Ruoli collegati ai servizi per AWS CloudHSM.
Nota
Per un elenco dei permessi specifici di ogni servizio, consulta Operazioni, risorse e chiavi di condizione per l' AWS CloudHSM nella Guida all'autorizzazione del servizio.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "cloudhsm:DescribeClusters", "cloudhsm:DescribeBackups", "cloudhsm:CreateCluster", "cloudhsm:CreateHsm", "cloudhsm:RestoreBackup", "cloudhsm:CopyBackupToRegion", "cloudhsm:InitializeCluster", "cloudhsm:ListTags", "cloudhsm:TagResource", "cloudhsm:UntagResource", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DetachNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:CreateSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupEgress", "ec2:DescribeSecurityGroups", "ec2:DeleteSecurityGroup", "ec2:CreateTags", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "iam:CreateServiceLinkedRole" ], "Resource": "*" } }
Esempio: Autorizzazioni admin
Questa policy consente l'accesso a tutte le azioni dell' AWS CloudHSM API, incluse le azioni per eliminare gli HSM e i cluster. Include anche autorizzazioni aggiuntive per operazioni Amazon EC2specifiche. È necessario includere l'iam:CreateServiceLinkedRoleazione per consentire AWS CloudHSM la creazione automatica del ruolo AWSServiceRoleForCloudHSMcollegato al servizio nel proprio account. Questo ruolo consente di registrare AWS CloudHSM gli eventi. Per ulteriori informazioni, consulta Ruoli collegati ai servizi per AWS CloudHSM.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":[ "cloudhsm:*", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DetachNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:CreateSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupEgress", "ec2:DescribeSecurityGroups", "ec2:DeleteSecurityGroup", "ec2:CreateTags", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "iam:CreateServiceLinkedRole" ], "Resource":"*" } }
