Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Identity and Access Management per AWS Global Accelerator
AWS Identity and Access Management (IAM) è un servizio AWS che permette agli amministratori di controllare in modo sicuro l'accesso alle risorse AWS, incluse le risorse AWS Global Accelerator. Gli amministratori utilizzano IAM per controllare chi èAutenticazione(effettuato l'accesso) eautorizzato(dispone delle autorizzazioni) per utilizzare le risorse di Global Accelerator. IAM è una caratteristica inclusa nel tuo account AWS senza costi aggiuntivi.
Importante
Se non hai familiarità con IAM, consulta le informazioni introduttive in questa pagina e quindi consultaNozioni di base su IAM: . Facoltativamente, puoi fare riferimento agli argomenti, per ulteriori informazioni sull'autenticazione e sul controllo dell'accesso, consultaChe cos'è l'autenticazione?,Cos'è il controllo degli accessi?, eChe cosa sono le policy?: .
Argomenti
Nozioni e termini
Autenticazione: per effettuare l'accesso ad AWS, devi utilizzare una delle seguenti credenziali: credenziali utente root (non consigliato), credenziali utente IAM o credenziali temporanee mediante i ruoli IAM. Per ulteriori informazioni su queste entità, consulta Che cos'è l'autenticazione?.
Controllo degli accessi: gli amministratori AWS utilizzano le policy per controllare l'accesso alle risorse AWS, ad esempio gli acceleratori in Global Accelerator. Per ulteriori informazioni, consulta Cos'è il controllo degli accessi? e Che cosa sono le policy?.
Importante
Tutte le risorse in un account sono di proprietà di tale account, indipendentemente da chi le ha create. Per creare una risorsa, è necessario disporre dell'accesso. Tuttavia, il solo fatto di avere creato una risorsa non significa che automaticamente si dispone dell'accesso completo a tale risorsa. Un amministratore deve concedere in modo esplicito le autorizzazioni per ogni operazione che si desidera eseguire. L'amministratore può inoltre revocare tali autorizzazioni in qualsiasi momento.
Per ulteriori informazioni sulle nozioni di base relative al funzionamento di IAM, consulta i seguenti termini:
- Risorse
-
I servizi AWS, ad esempio Global Accelerator e IAM, in genere includono oggetti denominati risorse. Nella maggior parte dei casi, è possibile creare, gestire ed eliminare queste risorse dal servizio. Le risorse IAM includono utenti, gruppi, ruoli e policy:
- Utenti
-
Un utente IAM rappresenta la persona o l'applicazione che utilizza le credenziali per interagire con AWS. Un utente è composto da un nome, una password per effettuare l'accesso alla Console di gestione AWS e fino a due chiavi di accesso che possono essere utilizzate con l'interfaccia a riga di comando AWS o l'API AWS.
- Gruppi
-
Un gruppo IAM è un insieme di utenti IAM. Gli amministratori possono utilizzare gruppi per specificare le autorizzazioni per gli utenti membri. Ciò semplifica la gestione delle autorizzazioni per più utenti per un amministratore.
- Roles
-
A un ruolo IAM non sono associate credenziali a lungo termine (password o chiavi di accesso). Un ruolo può essere assunto da qualsiasi utente che lo richieda e che disponga delle autorizzazioni. Un utente IAM può assumere un ruolo per ottenere temporaneamente autorizzazioni diverse per un'attività specifica. Gli utenti federati possono assumere un ruolo utilizzando un provider di identità esterno mappato al ruolo. Alcuni servizi AWS possono assumere unRuolo del servizioPer accedere alle risorse AWS per conto tuo.
- Policies
-
Le policy sono documenti JSON che definiscono le autorizzazioni per l'oggetto a cui sono collegate. AWS SupportPolicy basate su identitàCollegare alle identità (utenti, gruppi o ruoli). Alcuni servizi AWS consentono di allegarePolicy basate su risorseAlle risorse per controllare le operazioni che un principale (persona o applicazione) può eseguire su tale risorsa. Global Accelerator non supporta policy basate su risorse.
- Identità
-
Le identità sono risorse IAM per le quali è possibile definire le autorizzazioni. Questi includono utenti, gruppi e ruoli.
- Entità
-
Le entità sono risorse IAM che vengono utilizzate per l'autenticazione. Questi includono utenti e ruoli.
- Principali
-
In AWS, un principale è una persona o un'applicazione che utilizza un'entità per accedere ed effettuare richieste ad AWS. Un principale può utilizzare AWS Management Console, l'interfaccia a riga di comando AWS oppure l'API AWS per eseguire un'operazione, ad esempio l'eliminazione di un acceleratore. Ciò crea una richiesta per tale operazione. La richiesta specifica l'operazione, la risorsa, il principale, l'account principale e qualsiasi altra informazione relativa alla richiesta. Tutte queste informazioni forniscono AWS concontextPer la tua richiesta. AWS controlla tutte le policy applicabili al contesto della richiesta. AWS autorizza la richiesta solo se ogni parte della richiesta è autorizzata in base alla policy.
Per visualizzare un diagramma del processo di autenticazione e controllo dell'accesso, consultaIntroduzione al funzionamento di IAMnellaGuida per l'utente di IAM: . Per ulteriori informazioni su come AWS determina se una richiesta è consentita, consultaLogica di valutazione delle policynellaGuida per l'utente di IAM: .
Autorizzazioni necessarie per l'accesso alla console, la gestione dell'autenticazione e il controllo dell'accesso
Per utilizzare Global Accelerator o per gestire l'autorizzazione e il controllo dell'accesso per sé stessi o gli altri utenti, è necessario disporre delle autorizzazioni corrette.
Autorizzazioni necessarie per creare un acceleratore globale
Per creare un acceleratore AWS Global Accelerator, gli utenti devono disporre dell'autorizzazione per creare ruoli collegati al servizio associati a Global Accelerator.
Per assicurarsi che gli utenti dispongano delle autorizzazioni corrette per creare acceleratori in Global Accelerator, allegare all'utente un criterio come il seguente.
Nota
Se crei una policy di autorizzazioni basate sulle identità più restrittiva, gli utenti con tale policy non potranno creare un acceleratore.
{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "globalaccelerator.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator*" }
Autorizzazioni necessarie per l'uso della console Global Accelerator
Per accedere alla console AWS Global Accelerator, è necessario disporre di un set minimo di autorizzazioni che consentono di elencare e visualizzare i dettagli relativi alle risorse Global Accelerator nell'account AWS. Se crei una policy di autorizzazioni basate su identità più restrittiva delle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità associate a tale policy.
Per garantire che tali entità possano continuare a usare la console Global Accelerator o le operazioni API, collega anche una delle seguenti policy gestite da AWS all'utente, come descritto inCreazione di policy nella scheda JSON:
GlobalAcceleratorReadOnlyAccess GlobalAcceleratorFullAccess
Allegare il primo criterio,GlobalAcceleratorReadOnlyAccess
, se gli utenti devono solo visualizzare le informazioni nella console o effettuare chiamate all'interfaccia della riga di comando AWS o all'API che utilizzanoList*
oDescribe*
operazioni.
Allegare la seconda politica,GlobalAcceleratorFullAccess
, agli utenti che devono creare o aggiornare gli acceleratori. La policy di accesso completo includeFULLautorizzazioni per Global Accelerator edescribeautorizzazioni per Amazon EC2 e Elastic Load Balancing.
Nota
Se crei un criterio di autorizzazione basato sull'identità che non include le autorizzazioni richieste per Amazon EC2 e Elastic Load Balancing, gli utenti con tale criterio non saranno in grado di aggiungere risorse Amazon EC2 e Elastic Load Balancing agli acceleratori.
Di seguito è riportato il criterio di accesso completo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "globalaccelerator:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeSubnets", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DeleteNetworkInterface" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteSecurityGroup", "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/AWSServiceName": "GlobalAccelerator" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": "elasticloadbalancing:DescribeLoadBalancers", "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:network-interface/*" ] } ] }
Permessi necessari per la gestione dell'autenticazione
Per gestire le credenziali, ad esempio la password, le chiavi di accesso e i dispositivi con autenticazione a più fattori, l'amministratore deve concedere le autorizzazioni richieste. Per visualizzare la policy che include questi autorizzazioni, consulta Consente agli utenti di gestire in modo autonomo le proprie credenziali.
Un amministratore AWS deve disporre dell'accesso completo a IAM in modo da poter creare e gestire utenti, gruppi, ruoli e policy in IAM. È consigliabile utilizzare l'opzioneAdministratorAccess
avvertimento
Solo un utente amministratore deve disporre dell'accesso completo ad AWS. Chiunque associato a questa policy dispone dell'autorizzazione per la gestione completa dell'autenticazione e del controllo dell'accesso e per la modifica di tutte le risorse in AWS. Per scoprire come creare questo utente, consulta Creare l'utente amministratore IAM.
Autorizzazioni necessarie per il controllo degli
Se l'amministratore fornisce le credenziali utente IAM, tali credenziali associano policy all'utente IAM per controllare le risorse a cui l'utente può accedere. Per visualizzare le policy collegate all'identità utente nella Console di gestione AWS, devi disporre delle seguenti autorizzazioni:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Sid": "ListUsersViewGroupsAndPolicies", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Se sono necessarie ulteriori autorizzazioni, chiedi all'amministratore di aggiornare le policy in modo da consentirti di accedere alle operazioni richieste.
Capire come Global Accelerator funziona con IAM
I servizi possono funzionare con IAM in diversi modi:
- Operazioni
-
Global Accelerator supporta l'utilizzo di operazioni in una policy. Ciò consente a un amministratore di controllare se un'entità è in grado di completare un'operazione in Global Accelerator. Ad esempio, per consentire a un'entità di chiamare il metodo
GetPolicy
Operazione API AWS per visualizzare una policy, un amministratore deve collegare una policy che consente laiam:GetPolicy
Operazione .Il seguente criterio di esempio consente a un utente di eseguire la
CreateAccelerator
per creare a livello di codice un acceleratore per il tuo account AWS:{ "Version": "2018-08-08", "Statement": [ { "Effect": "Allow", "Action": [ "globalaccelerator:CreateAccelerator" ], "Resource":"*" } ] }
- Autorizzazioni a livello di risorsa
-
Global Accelerator supporta le autorizzazioni a livello di risorsa. Le autorizzazioni a livello di risorsa consentono di utilizzare gli ARN per specificare singole risorse nella policy.
- Policy basate su risorse
-
Global Accelerator non supporta policy basate su risorse. Con policy basate sulle risorse, è possibile collegare una policy a una risorsa all'interno del servizio. Le policy basate su risorse includono un
Principal
Elemento per specificare quali identità IAM possono accedere a tale risorsa. - Autorizzazione basata tag
-
Global Accelerator supporta i tag basati sulle autorizzazioni. Questa caratteristica consente di usare i tag delle risorse nella condizione di una policy.
- Credenziali temporanee
-
Global Accelerator supporta le credenziali temporanee. Con credenziali temporanee, puoi effettuare l'accesso utilizzando la federazione, assumere un ruolo IAM o assumere un ruolo multi-account. Per ottenere le credenziali di sicurezza temporanee, eseguire una chiamata a operazioni API AWS STS come
AssumeRole
oGetFederationToken
: . - Ruoli collegati ai servizi
-
Global Accelerator supporta ruoli collegati ai servizi. Questa caratteristica consente a un servizio di assumere un ruolo collegato al servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'operazione per conto dell'utente. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.
- Ruoli dei servizi
-
Global Accelerator non supporta ruoli di servizio. Questa caratteristica consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'operazione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questa operazione potrebbe pregiudicare la funzionalità del servizio.
Risoluzione dei problemi di autenticazione e controllo degli accessi
Utilizza le informazioni seguenti per diagnosticare e risolvere i problemi comuni che possono verificarsi durante l'utilizzo di IAM.
Argomenti
Non sono autorizzato a eseguire un'operazione in Global Accelerator
Se la Console di gestione AWS indica che non sei autorizzato a eseguire un'operazione, devi contattare l'amministratore e richiedere il nome utente e la password.
L'esempio seguente si verifica quando un utente IAM denominatomy-user-name
tenta di utilizzare la console per eseguire l'operazioneglobalaccelerator:CreateAccelerator
ma non ha autorizzazioni:
User: arn:aws:iam::
123456789012
:user/my-user-name
is not authorized to perform:aws-globalaccelerator:CreateAccelerator
on resource:my-example-accelerator
In questo caso, devi contattare l'amministratore per l'aggiornamento delle policy in modo che venga autorizzato l'accesso allamy-example-accelerator
utilizzando l'opzioneaws-globalaccelerator:CreateAccelerator
Operazione .
Sono un amministratore e desidero consentire ad altri utenti di accedere a Global Accelerator
Per consentire ad altri utenti di accedere ad Global Accelerator, devi creare un'entità IAM (utente o ruolo) per la persona o l'applicazione che richiede l'accesso. Tale utente o applicazione utilizzerà le credenziali dell'entità per accedere ad AWS. Dovrai quindi collegare all'entità una policy che conceda le autorizzazioni corrette in Global Accelerator.
Per iniziare, consulta Nozioni di base su IAM.
Voglio capire IAM senza diventare un esperto
Per ulteriori informazioni su termini, concetti e procedure IAM di, consulta i seguenti argomenti:
Policy basate su tag
Durante la progettazione di policy IAM, potrebbe essere necessario impostare autorizzazioni granulari concedendo l'accesso a risorse specifiche. Poiché il numero di risorse che puoi gestire cresce, questa operazione diventa più difficile. Il tagging degli acceleratori e l'utilizzo di tag in condizioni di dichiarazione di policy possono semplificare questa attività. Puoi concedere l'accesso in blocco a qualsiasi acceleratore con un determinato tag. Quindi applicare ripetutamente questo tag a acceleratori pertinenti, quando crea l'acceleratore o aggiornando l'acceleratore in seguito.
Nota
L'utilizzo di tag nelle condizioni è un modo per controllare l'accesso alle risorse e alle richieste. Per informazioni sul tagging in Global Accelerator, consultaTagging in AWS Global Accelerator: .
I tag possono essere collegati a una risorsa o trasferiti nella richiesta verso servizi che supportano il tagging. In Global Accelerator, solo gli acceleratori possono includere tag. Quando si crea una policy IAM, è possibile utilizzare le chiavi di condizione di tag per controllare:
Quali utenti possono eseguire operazioni su un acceleratore in base ai tag di cui dispongono già.
Quali tag possono essere passati in una richiesta di operazione;
Se delle chiavi di tag specifiche possono essere utilizzate in una richiesta.
Per la sintassi completa e la semantica delle chiavi delle condizioni dei tag, consultaControllo dell'accesso tramite tag IAMnellaGuida per l'utente di IAM: .
Ad esempio, l'acceleratore globaleGlobalAcceleratorFullAccess
La policy utente gestita fornisce agli utenti autorizzazioni illimitate per eseguire qualsiasi operazione di Global Accelerator su qualsiasi risorsa. La policy seguente limita questa capacità e nega agli utenti non autorizzati l'autorizzazione a eseguire qualsiasi operazione di Global Accelerator su qualsiasiProduzioneAcceleratori L'amministratore di un cliente deve collegare questa policy IAM a utenti IAM non autorizzati oltre alla policy gestita dall'utente.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"*", "Resource":"*", "Condition":{ "ForAnyValue:StringEquals":{ "aws:RequestTag/stage":"prod" } } }, { "Effect":"Deny", "Action":"*", "Resource":"*", "Condition":{ "ForAnyValue:StringEquals":{ "aws:ResourceTag/stage":"prod" } } } ] }