Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Policy di esempio basate su policy gestite
Questa sezione illustra come controllare l'accesso degli utenti a AWS Elastic Beanstalk e include policy di esempio che forniscono l'accesso richiesto per scenari comuni. Queste policy derivano dalle policy gestite Elastic Beanstalk. Per informazioni su come collegare policy gestite a utenti e gruppi, vedi Gestione delle policy utente Elastic Beanstalk.
In questo scenario, Example Corp. è un'azienda di software con tre team responsabili del sito Web dell'azienda: amministratori che gestiscono l'infrastruttura, sviluppatori che creano il software per il sito Web e un team di QA che verifica il sito Web. Per aiutare a gestire le autorizzazioni per le risorse Elastic Beanstalk, Example Corp. crea tre gruppi a cui appartengono i membri di ogni team: amministratori, sviluppatori e collaudatori. Example Corp. vuole che il gruppo amministratori abbia l'accesso completo a tutte le applicazioni, a tutti gli ambienti e alle risorse sottostanti in modo che possano creare, risolvere i problemi ed eliminare tutti gli asset Elastic Beanstalk. Gli sviluppatori necessitano delle autorizzazioni per visualizzare tutti gli asset Elastic Beanstalk e per creare e distribuire le versioni delle applicazioni. Gli sviluppatori non devono essere in grado di creare nuove applicazioni o ambienti o di terminare ambienti in esecuzione. I collaudatori devono visualizzare tutte le risorse Elastic Beanstalk per monitorare e testare le applicazioni. I collaudatori non devono essere in grado di apportare modifiche alle risorse Elastic Beanstalk.
Le seguenti policy di esempio forniscono le autorizzazioni necessarie per ciascun gruppo.
Esempio 1: gruppo Amministratori - Tutte le API Elastic Beanstalk e dei servizi correlati
La policy seguente fornisce agli utenti le autorizzazioni per tutte le operazioni necessarie per utilizzare Elastic Beanstalk. Questa policy consente inoltre a Elastic Beanstalk di effettuare il provisioning e di gestire le risorse a tuo nome nei seguenti servizi. Elastic Beanstalk si basa su questi servizi aggiuntivi per effettuare il provisioning delle risorse sottostanti durante la creazione di un ambiente.
-
Amazon Elastic Compute Cloud
-
Elastic Load Balancing
-
Auto Scaling
-
Amazon CloudWatch
-
Amazon Simple Storage Service
-
Amazon Simple Notification Service
-
Amazon Relational Database Service
-
AWS CloudFormation
Importante: questa policy è un esempio. Offre un'ampia gamma di autorizzazioni per i servizi AWS utilizzati da Elastic Beanstalk per gestire applicazioni e ambienti. Ad esempio, ec2:* consente a un utente AWS Identity and Access Management (IAM) di eseguire qualsiasi operazione su una risorsa Amazon EC2 nell'account AWS. Queste autorizzazioni non sono limitate alle risorse che utilizzi con Elastic Beanstalk. Come best practice, dovresti concedere agli individui solo le autorizzazioni necessarie per eseguire le proprie funzioni.
{
"Version" : "2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"elasticbeanstalk:*",
"ec2:*",
"elasticloadbalancing:*",
"autoscaling:*",
"cloudwatch:*",
"s3:*",
"sns:*",
"rds:*",
"cloudformation:*"
],
"Resource" : "*"
}
]
}Esempio 2: gruppo Sviluppatori - Tutte le operazioni tranne quelle con privilegi elevati
La policy seguente nega il permesso di creare applicazioni e ambienti, ma consente tutte le altre operazioni Elastic Beanstalk.
Importante: questa policy è un esempio. Offre un'ampia gamma di autorizzazioni per i prodotti AWS che Elastic Beanstalk impiega per gestire applicazioni e ambienti. Ad esempio, ec2:* consente a un utente IAM di eseguire qualsiasi operazione su una risorsa Amazon EC2 nell'account AWS. Queste autorizzazioni non sono limitate alle risorse che utilizzi con Elastic Beanstalk. Come best practice, dovresti concedere agli individui solo le autorizzazioni necessarie per eseguire le proprie funzioni.
{
"Version" : "2012-10-17",
"Statement" : [
{
"Action" : [
"elasticbeanstalk:CreateApplication",
"elasticbeanstalk:CreateEnvironment",
"elasticbeanstalk:DeleteApplication",
"elasticbeanstalk:RebuildEnvironment",
"elasticbeanstalk:SwapEnvironmentCNAMEs",
"elasticbeanstalk:TerminateEnvironment"],
"Effect" : "Deny",
"Resource" : "*"
},
{
"Action" : [
"elasticbeanstalk:*",
"ec2:*",
"elasticloadbalancing:*",
"autoscaling:*",
"cloudwatch:*",
"s3:*",
"sns:*",
"rds:*",
"cloudformation:*"],
"Effect" : "Allow",
"Resource" : "*"
}
]
}Esempio 3: collaudatori - Sola visualizzazione
La policy seguente consente l'accesso in sola lettura a tutte le applicazioni, alle versioni delle applicazioni, agli eventi e agli ambienti. Non consente di eseguire alcuna operazione.
{
"Version" : "2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"elasticbeanstalk:Check*",
"elasticbeanstalk:Describe*",
"elasticbeanstalk:List*",
"elasticbeanstalk:RequestEnvironmentInfo",
"elasticbeanstalk:RetrieveEnvironmentInfo",
"ec2:Describe*",
"elasticloadbalancing:Describe*",
"autoscaling:Describe*",
"cloudwatch:Describe*",
"cloudwatch:List*",
"cloudwatch:Get*",
"s3:Get*",
"s3:List*",
"sns:Get*",
"sns:List*",
"rds:Describe*",
"cloudformation:Describe*",
"cloudformation:Get*",
"cloudformation:List*",
"cloudformation:Validate*",
"cloudformation:Estimate*"
],
"Resource" : "*"
}
]
}
