Crea ruoli e assegna autorizzazioni - AWS Control Tower
Proteggiti dagli aggressori

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea ruoli e assegna autorizzazioni

I ruoli e le autorizzazioni ti danno accesso alle risorse, in AWS Control Tower e in altri AWS servizi, incluso l'accesso programmatico alle risorse.

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

Per ulteriori informazioni sull'utilizzo per IAM delegare le autorizzazioni, consulta Gestione degli accessi nella Guida per l'IAMutente.

Nota

Quando configuri una landing zone di AWS Control Tower, avrai bisogno di un utente o di un ruolo con la policy AdministratorAccessgestita. (arn:aws:iam: :aws:policy/) AdministratorAccess

Creare un ruolo per un Servizio AWS (IAMconsole)

  1. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione della IAM console, scegli Ruoli, quindi scegli Crea ruolo.

  3. Per il tipo di entità attendibile, scegli Servizio AWS.

  4. Per Servizio o caso d'uso, scegli un servizio, quindi scegli il caso d'uso. I casi d'uso sono definiti dal servizio in modo da includere la policy di attendibilità richiesta dal servizio.

  5. Scegli Next (Successivo).

  6. Per i criteri di autorizzazione, le opzioni dipendono dal caso d'uso selezionato:

    • Se il servizio definisce le autorizzazioni per il ruolo, non è possibile selezionare le politiche di autorizzazione.

    • Seleziona da un set limitato di politiche di autorizzazione.

    • Seleziona tra tutte le politiche di autorizzazione.

    • Seleziona nessuna politica di autorizzazione, crea le politiche dopo la creazione del ruolo e quindi associa le politiche al ruolo.

  7. (Facoltativo) Impostare un limite delle autorizzazioni. Questa è una caratteristica avanzata disponibile per i ruoli di servizio, ma non per i ruoli collegati ai servizi.

    1. Apri la sezione Imposta i limiti delle autorizzazioni, quindi scegli Usa un limite di autorizzazioni per controllare il numero massimo di autorizzazioni per il ruolo.

      IAMinclude un elenco di AWS politiche gestite e gestite dal cliente nel tuo account.

    2. Selezionare la policy da utilizzare per il limite delle autorizzazioni.

  8. Scegli Next (Successivo).

  9. Per Role name, le opzioni dipendono dal servizio:

    • Se il servizio definisce il nome del ruolo, non è possibile modificare il nome del ruolo.

    • Se il servizio definisce un prefisso per il nome del ruolo, è possibile inserire un suffisso opzionale.

    • Se il servizio non definisce il nome del ruolo, puoi assegnare un nome al ruolo.

      Importante

      Quando assegnate un nome a un ruolo, tenete presente quanto segue:

      • I nomi dei ruoli devono essere univoci all'interno del Account AWS e non possono essere resi unici per caso.

        Ad esempio, non creare ruoli denominati entrambi PRODROLE eprodrole. Quando un nome di ruolo viene utilizzato in una policy o come parte di unaARN, il nome del ruolo fa distinzione tra maiuscole e minuscole, tuttavia quando un nome di ruolo viene visualizzato dai clienti nella console, ad esempio durante il processo di accesso, il nome del ruolo non fa distinzione tra maiuscole e minuscole.

      • Non è possibile modificare il nome del ruolo dopo la sua creazione perché altre entità potrebbero fare riferimento al ruolo.

  10. (Facoltativo) In Descrizione, inserisci una descrizione per il ruolo.

  11. (Facoltativo) Per modificare i casi d'uso e le autorizzazioni per il ruolo, nelle sezioni Passo 1: Seleziona entità attendibili o Passaggio 2: Aggiungi autorizzazioni, scegli Modifica.

  12. (Facoltativo) Per facilitare l'identificazione, l'organizzazione o la ricerca del ruolo, aggiungi tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag inIAM, consulta Etichettare IAM le risorse nella Guida per l'IAMutente.

  13. Verificare il ruolo e quindi scegliere Create role (Crea ruolo).

Per utilizzare l'editor delle JSON politiche per creare una politica

  1. Accedi al AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione a sinistra, seleziona Policies (Policy).

    Se è la prima volta che selezioni Policy, verrà visualizzata la pagina Benvenuto nelle policy gestite. Seleziona Inizia.

  3. Nella parte superiore della pagina, scegli Crea policy.

  4. Nella sezione Policy editor, scegli l'JSONopzione.

  5. Inserisci o incolla un documento JSON di policy. Per i dettagli sul linguaggio delle IAM politiche, consulta il riferimento alle IAM JSON politiche.

  6. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la convalida delle policy, quindi scegli Next (Successivo).

    Nota

    Puoi passare tra le opzioni Visual e JSONEditor in qualsiasi momento. Tuttavia, se apporti modifiche o scegli Avanti nell'editor visuale, IAM potresti ristrutturare la tua politica per ottimizzarla per l'editor visuale. Per ulteriori informazioni, consulta la sezione Ristrutturazione delle politiche nella Guida per l'IAMutente.

  7. (Facoltativo) Quando si crea o si modifica una politica nel AWS Management Console, è possibile generare un modello di YAML policy JSON o da utilizzare in AWS CloudFormation modelli.

    A tale scopo, nell'editor delle politiche scegli Azioni, quindi scegli Genera CloudFormation modello. Per ulteriori informazioni su AWS CloudFormation, vedi AWS Identity and Access Management riferimento al tipo di risorsa in AWS CloudFormation Guida per l'utente.

  8. Una volta terminata l'aggiunta delle autorizzazioni alla policy, scegli Successivo.

  9. Nella pagina Rivedi e crea, immettere un valore in Nome policy e Descrizione (facoltativo) per la policy in fase di creazione. Rivedi Autorizzazioni definite in questa policy per visualizzare le autorizzazioni concesse dalla policy.

  10. (Facoltativo) Aggiungere metadati alla policy collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag inIAM, consulta Taggare IAM le risorse nella Guida per l'IAMutente.

  11. Seleziona Crea policy per salvare la nuova policy.

Per utilizzare l'editor visivo per creare una policy.

  1. Accedi al AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione a sinistra, seleziona Policies (Policy).

    Se è la prima volta che selezioni Policy, verrà visualizzata la pagina Benvenuto nelle policy gestite. Seleziona Inizia.

  3. Scegli Create Policy (Crea policy).

  4. Nella sezione Policy editor, individua la sezione Seleziona un servizio, quindi scegli un Servizio AWS. Puoi utilizzare la casella di ricerca in alto per limitare i risultati nell'elenco dei servizi. È possibile selezionare solo un servizio nel blocco di autorizzazione di un editor visivo. Per concedere l'accesso a più di un servizio, aggiungi più blocchi di autorizzazioni selezionando Aggiungi altre autorizzazioni.

  5. In Operazioni consentite, scegli le operazioni da aggiungere alla policy. È possibile selezionare operazioni nei modi seguenti:

    • Selezionare la casella di controllo per tutte le azioni.

    • Scegli Aggiungi azioni per inserire il nome di un'azione specifica. Potete usare un carattere jolly (*) per specificare più azioni.

    • Selezionare uno dei gruppi di livelli di accesso per scegliere tutte le azioni per il livello di accesso, ad esempio Lettura, Scrittura o Elenco.

    • Espandere ciascuno dei gruppi Access level (Livello di accesso) per selezionare singole operazioni.

    Come impostazione predefinita, la policy che si sta creando utilizza le operazioni selezionate. Per rifiutare invece le operazioni scelte, selezionare Switch to deny permissions (Passa a rifiuto autorizzazioni). Poiché IAMnega per impostazione predefinita, come procedura consigliata per la sicurezza consigliamo di concedere le autorizzazioni solo alle azioni e alle risorse di cui un utente ha bisogno. Crea un'JSONistruzione per negare le autorizzazioni solo se desideri sostituire un'autorizzazione concessa separatamente da un'altra dichiarazione o politica. Si consiglia di limitare al minimo il numero di autorizzazioni di rifiuto perché possono aumentare la difficoltà di risoluzione dei problemi relative alle autorizzazioni.

  6. Per Risorse, se il servizio e le azioni selezionati nei passaggi precedenti non supportano la scelta di risorse specifiche, tutte le risorse sono consentite e non è possibile modificare questa sezione.

    Se si selezionano una o più operazioni che supportano le autorizzazioni a livello di risorsa, l'editor visivo elenca tali risorse. È possibile selezionare Risorse per specificare le risorse per la policy.

    È possibile specificare le risorse nei seguenti modi:

    • Scegli Aggiungi ARNs per specificare le risorse in base ai loro nomi di risorse Amazon (ARN). Puoi utilizzare l'ARNeditor visivo o l'elenco ARNs manualmente. Per ulteriori informazioni sulla ARN sintassi, consulta Amazon Resource Names (ARNs) nella Guida per l'IAMutente. Per informazioni sull'utilizzo ARNs nell'Resourceelemento di una policy, consulta IAMJSONPolicy elements: Resource in the IAMUser Guide.

    • Scegli Qualsiasi in questo account accanto a una risorsa per concedere autorizzazioni a qualsiasi risorsa di quel tipo.

    • Seleziona Tutto per selezionare tutte le risorse per quel servizio.

  7. (Facoltativo) Scegli Condizioni di richiesta - opzionale per aggiungere condizioni alla policy che si sta creando. Le condizioni limitano l'effetto di una dichiarazione JSON politica. Ad esempio, puoi specificare che un utente può eseguire le operazioni sulle risorse solo quando la richiesta dell'utente viene effettuata entro un determinato intervallo di tempo. Puoi anche utilizzare condizioni di uso comune per limitare se un utente deve essere autenticato utilizzando un dispositivo di autenticazione a più fattori (MFA). In alternativa, è possibile richiedere che la richiesta provenga da un determinato intervallo di indirizzi IP. Per un elenco di tutte le chiavi di contesto che è possibile utilizzare in una condizione di policy, consulta Azioni, risorse e chiavi di condizione per AWS servizi nel Service Authorization Reference.

    È possibile selezionare le condizioni nei modi seguenti:

    • Utilizzare le caselle di controllo per selezionare le condizioni di utilizzo comune.

    • Seleziona Aggiungi altra condizione per specificare altre condizioni. Scegli la chiave di condizione, il qualificatore e l'operatore della condizione, quindi inserisci un valore. Per aggiungere più di un valore, seleziona Aggiungi. Puoi considerare i valori come collegati da un operatore logicoOR. Una volta terminato, scegli Aggiungi condizione.

    Per aggiungere più di una condizione, scegli di nuovo Aggiungi altra condizione. Ripetere come necessario. Ogni condizione si applica solo a questo blocco di autorizzazione di un editor visivo. Tutte le condizioni devono essere vere per il blocco di autorizzazioni per essere considerato una corrispondenza. In altre parole, considerate le condizioni che devono essere collegate da un AND operatore logico.

    Per ulteriori informazioni sull'elemento Condizione, vedere Elementi IAM JSON della politica: Condizione nella Guida per l'IAMutente.

  8. Per aggiungere più blocchi di autorizzazioni, seleziona Aggiungi ulteriori autorizzazioni. Per ogni blocco, ripetere le fasi da 2 a 5.

    Nota

    È possibile passare tra le opzioni Visual e JSONEditor in qualsiasi momento. Tuttavia, se apporti modifiche o scegli Avanti nell'editor visuale, IAM potresti ristrutturare la tua politica per ottimizzarla per l'editor visuale. Per ulteriori informazioni, consulta la sezione Ristrutturazione delle politiche nella Guida per l'IAMutente.

  9. (Facoltativo) Quando si crea o si modifica una politica nel AWS Management Console, è possibile generare un modello di YAML policy JSON o da utilizzare in AWS CloudFormation modelli.

    A tale scopo, nell'editor delle politiche scegli Azioni, quindi scegli Genera CloudFormation modello. Per ulteriori informazioni su AWS CloudFormation, vedi AWS Identity and Access Management riferimento al tipo di risorsa in AWS CloudFormation Guida per l'utente.

  10. Una volta terminata l'aggiunta delle autorizzazioni alla policy, scegli Successivo.

  11. Nella pagina Rivedi e crea, immettere un valore in Nome policy e Descrizione (facoltativo) per la policy in fase di creazione. Rivedi il campo Autorizzazioni definite in questa policy per accertarti di disporre delle autorizzazioni previste.

  12. (Facoltativo) Aggiungere metadati alla policy collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag inIAM, consulta Taggare IAM le risorse nella Guida per l'IAMutente.

  13. Seleziona Crea policy per salvare la nuova policy.

Per concedere l'accesso programmatico

Gli utenti hanno bisogno di un accesso programmatico se vogliono interagire con AWS al di fuori del AWS Management Console. Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede AWS.

Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

Quale utente necessita dell'accesso programmatico? Per Come

Identità della forza lavoro

(Utenti gestiti in IAM Identity Center)

 Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, oppure AWS APIs.

Segui le istruzioni per l'interfaccia che desideri utilizzare.
IAM Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, oppure AWS APIs. Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con AWS risorse nella Guida per l'IAMutente.
IAM

(Non consigliato)

Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI, AWS SDKs, oppure AWS APIs.

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Proteggiti dagli aggressori

Per ulteriori informazioni su come proteggere dagli aggressori quando concedi autorizzazioni ad altri AWS responsabili del servizio, consulta Condizioni opzionali per le relazioni di fiducia relative al ruolo. Aggiungendo determinate condizioni alle policy, è possibile contribuire a prevenire un tipo specifico di attacco, noto come attacco secondario confuso, che si verifica se un'entità costringe un'entità con maggiori privilegi a eseguire un'azione, ad esempio con l'impersonificazione tra diversi servizi. Per informazioni generali sulle condizioni delle polizze, consulta anche. Specifica delle condizioni in una policy

Per ulteriori informazioni sull'utilizzo di policy basate sull'identità con AWS Control Tower, vedere. Utilizzo di policy basate sull'identità (policy IAM) per AWS Control Tower Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta Identità (utenti, gruppi e ruoli) nella Guida per l'utente. IAM