Gestisci l'accesso alle risorse - AWS Control Tower
Informazioni sulle politiche (politiche) basate sull'identità IAMPolicy basate su risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestisci l'accesso alle risorse

La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

Nota

Questa sezione illustra l'utilizzo IAM nel contesto di AWS Control Tower. Non fornisce informazioni dettagliate sul servizio IAM. Per la IAM documentazione completa, vedi What Is? IAM nella Guida IAM per l'utente. Per informazioni sulla sintassi e le descrizioni delle IAM policy, vedere AWS IAMPolicy Reference nella Guida per l'IAMutente.

Le policy collegate a un'identità IAM sono definite come policy basate su identità (policy IAM). Le policy collegate a una risorsa vengono definite policy basate sulle risorse.

Nota

AWSControl Tower supporta solo policy (policy) IAM basate sull'identità.

Argomenti

Informazioni sulle politiche (politiche) basate sull'identità IAM

Puoi collegare le policy alle identità IAM. Ad esempio, puoi eseguire le operazioni seguenti:

  • Allega una politica di autorizzazioni a un utente o a un gruppo nel tuo account: per concedere a un utente le autorizzazioni per creare una risorsa AWS Control Tower, come la configurazione di una landing zone, puoi allegare una politica di autorizzazioni a un utente o gruppo a cui appartiene l'utente.

  • Collega una policy di autorizzazione a un ruolo (assegnazione di autorizzazioni tra account). Per concedere autorizzazioni multi-account, puoi collegare una policy di autorizzazione basata su identità a un ruolo IAM. Ad esempio, un amministratore di un AWS account (Account A) può creare un ruolo che concede autorizzazioni su più account a un altro AWS account (Account B) oppure l'amministratore può creare un ruolo che concede autorizzazioni a un altro AWS servizio.

    1. L'amministratore dell'Account A crea un IAM ruolo e attribuisce una politica di autorizzazioni al ruolo che concede le autorizzazioni per gestire le risorse nell'Account A.

    2. L'amministratore dell'account A attribuisce una politica di fiducia al ruolo. La politica identifica l'Account B come il principale che può assumere il ruolo.

    3. In qualità di principale, l'amministratore dell'Account B può concedere a qualsiasi utente dell'Account B il permesso di assumere il ruolo. Assumendo il ruolo, gli utenti dell'Account B possono creare o accedere alle risorse dell'Account A.

    4. Per concedere a un AWS servizio la capacità (autorizzazioni) di assumere il ruolo, il principale specificato nella politica di fiducia può essere un AWS servizio.

Policy basate su risorse

Anche altri servizi, ad esempio Amazon S3, supportano policy di autorizzazioni basate su risorse. Ad esempio, puoi allegare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket. AWS Control Tower non supporta politiche basate sulle risorse.