Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Per impostazione predefinita, gli utenti e i ruoli IAM non dispongono dell'autorizzazione per creare o modificare risorse AWS Health . Inoltre, non possono eseguire attività utilizzando AWS Management Console, AWS CLI o. AWS API Un IAM amministratore deve creare IAM politiche che concedano a utenti e ruoli l'autorizzazione a eseguire API operazioni specifiche sulle risorse specifiche di cui ha bisogno. L'amministratore devi quindi collegare queste policy a utenti o gruppi IAMche richiedono tali autorizzazioni.
Per informazioni su come creare una policy IAM basata sull'identità utilizzando questi documenti di esempio, consulta Creating JSON Policies on the JSON Tab nella Guida per l'utente. IAM
Argomenti
Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse nel tuo account. AWS Health Queste azioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:
-
Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta le politiche AWS gestite o le politiche AWS gestite per le funzioni lavorative nella Guida per l'IAMutente.
-
Applica le autorizzazioni con privilegi minimi: quando imposti le autorizzazioni con le IAM politiche, concedi solo le autorizzazioni necessarie per eseguire un'attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo per applicare le autorizzazioni, consulta Politiche e autorizzazioni nella Guida IAM per l'utente. IAM IAM
-
Utilizza le condizioni nelle IAM politiche per limitare ulteriormente l'accesso: puoi aggiungere una condizione alle tue politiche per limitare l'accesso ad azioni e risorse. Ad esempio, puoi scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzandoSSL. È inoltre possibile utilizzare condizioni per concedere l'accesso alle azioni di servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta Elementi IAM JSON della politica: Condizione nella Guida IAM per l'utente.
-
Usa IAM Access Analyzer per convalidare IAM le tue policy e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio delle IAM policy () e alle best practice. JSON IAM IAM Access Analyzer fornisce più di 100 controlli delle policy e consigli pratici per aiutarti a creare policy sicure e funzionali. Per ulteriori informazioni, consulta Convalida delle politiche con IAM Access Analyzer nella Guida per l'utente. IAM
-
Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede l'utilizzo di IAM utenti o di un utente root Account AWS, attiva questa opzione MFA per una maggiore sicurezza. Per richiedere MFA quando vengono richiamate API le operazioni, aggiungi MFA delle condizioni alle tue politiche. Per ulteriori informazioni, consulta Secure API access with MFA nella Guida IAM per l'utente.
Per ulteriori informazioni sulle best practice inIAM, consulta la sezione Procedure consigliate in materia di sicurezza IAM nella Guida IAM per l'utente.
Utilizzo della console di AWS Health
Per accedere alla AWS Health console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle AWS Health risorse del tuo AWS account. Se crei una policy basata su identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti e ruoli IAM) associate a tale policy.
Per garantire che tali entità possano ancora utilizzare la AWS Health console, puoi allegare la seguente politica AWS gestita, AWSHealthFullAccess
La AWSHealthFullAccess
policy concede a un'entità l'accesso completo a quanto segue:
-
Abilita o disabilita la funzionalità di visualizzazione AWS Health organizzativa per tutti gli account di un' AWS organizzazione
-
AWS Health Dashboard Nella AWS Health console
-
AWS Health APIoperazioni e notifiche
-
Visualizza le informazioni sugli account che fanno parte della tua AWS organizzazione
-
Visualizza le unità organizzative (OU) dell'account di gestione
Esempio : AWSHealthFullAccess
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"health:*",
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "health.amazonaws.com"
}
}
}
]
}
Nota
È inoltre possibile utilizzare la politica Health_OrganizationsServiceRolePolicy
AWS
gestita, in modo da AWS Health visualizzare gli eventi di altri account dell'organizzazione. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per AWS Health.
Non è necessario concedere autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso il AWS CLI o il AWS API. Consenti invece l'accesso solo alle azioni che corrispondono all'APIoperazione che stai cercando di eseguire.
Per ulteriori informazioni, consulta Aggiungere autorizzazioni a un utente nella Guida per l'IAMutente.
Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando o a livello di codice. AWS CLI AWS API
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
Accedere a e a AWS Health DashboardAWS Health API
AWS Health Dashboard È disponibile per tutti gli AWS account. AWS Health APIÈ disponibile solo per gli account con un piano Business, Enterprise On-Ramp o Enterprise Support. Per ulteriori informazioni, consulta Support
È possibile utilizzare IAM per creare entità (utenti, gruppi o ruoli) e quindi concedere a tali entità le autorizzazioni per accedere a e a. AWS Health Dashboard AWS Health API
Per impostazione predefinita, IAM gli utenti non hanno accesso a AWS Health Dashboard o al AWS Health API. Consenti agli utenti di accedere alle AWS Health informazioni del tuo account associando IAM politiche a un singolo utente, a un gruppo di utenti o a un ruolo. Per ulteriori informazioni, consulta Identità (utenti, gruppi e ruoli) e Panoramica delle IAM politiche.
Dopo aver creato utenti IAM, puoi fornire loro una password. Possono quindi accedere al tuo account e visualizzare le AWS Health informazioni utilizzando una pagina di accesso specifica per l'account. Per ulteriori informazioni, consulta Modalità di accesso degli utenti al tuo account.
Nota
Un IAM utente con autorizzazioni di visualizzazione AWS Health Dashboard ha accesso in sola lettura alle informazioni sanitarie su tutti i AWS servizi dell'account, che possono includere, a titolo esemplificativo, AWS risorse IDs come EC2 istanze Amazon, indirizzi IP delle IDs EC2 istanze e notifiche di sicurezza generali.
Ad esempio, se una IAM policy concede l'accesso solo a AWS Health Dashboard e il AWS Health API, allora l'utente o il ruolo a cui si applica la policy può accedere a tutte le informazioni pubblicate sui AWS servizi e sulle risorse correlate, anche se altre IAM politiche non consentono tale accesso.
È possibile utilizzare due gruppi di APIs per AWS Health.
-
Account individuali: puoi utilizzare operazioni come DescribeEventse DescribeEventDetailsper ottenere informazioni sugli AWS Health eventi relativi al tuo account.
-
Account organizzativo: puoi utilizzare operazioni come DescribeEventsForOrganizatione DescribeEventDetailsForOrganizationottenere informazioni sugli AWS Health eventi per gli account che fanno parte della tua organizzazione.
Per ulteriori informazioni sulle API operazioni disponibili, consulta la Guida AWS Health APIdi riferimento.
Singole operazioni
Puoi impostare l'elemento Action
di una policy IAM su health:Describe*
. Ciò consente l'accesso a AWS Health Dashboard e AWS Health. AWS Health supporta il controllo degli accessi agli eventi basati sul servizio eventTypeCode
and.
Descrivere l'accesso
Questa dichiarazione politica garantisce l'accesso a tutte AWS Health Dashboard le operazioni. Describe*
AWS Health API Ad esempio, un IAM utente con questo criterio può accedere AWS Health Dashboard a AWS Management Console e richiamare l' AWS Health
DescribeEvents
APIoperazione.
Esempio : Descrivere l'accesso
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:Describe*"
],
"Resource": "*"
}]
}
Negare l'accesso
Questa dichiarazione politica nega l'accesso a AWS Health Dashboard e al AWS Health API. Un IAM utente con questo criterio non può visualizzare AWS Management Console e non può richiamare nessuna delle AWS Health API operazioni. AWS Health Dashboard
Esempio : Negare l'accesso
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"health:*"
],
"Resource": "*"
}]
}
Visualizzazione organizzativa
Se si desidera abilitare la visualizzazione organizzativa per AWS Health, è necessario consentire l'accesso alle AWS Organizations azioni AWS Health e.
L'elemento Action
di una policy IAM deve includere le seguenti autorizzazioni:
-
iam:CreateServiceLinkedRole
-
organizations:EnableAWSServiceAccess
-
organizations:DescribeAccount
-
organizations:DisableAWSServiceAccess
-
organizations:ListAccounts
-
organizations:ListDelegatedAdministrators
-
organizations:ListParents
Per comprendere esattamente le autorizzazioni necessarie per ciascuna di esseAPIs, consulta Azioni definite da AWS Health APIs e Notifiche nella Guida per l'IAMutente.
Nota
È necessario utilizzare le credenziali dell'account di gestione di un'organizzazione per accedere al AWS Health APIs modulo. AWS Organizations Per ulteriori informazioni, consulta Aggregazione di AWS Health eventi tra account.
Consenti l'accesso alla visualizzazione AWS Health organizzativa
Questa dichiarazione politica garantisce l'accesso a tutte AWS Health le AWS Organizations azioni necessarie per la funzionalità di visualizzazione organizzativa.
Esempio : Consenti l'accesso alla visualizzazione AWS Health organizzativa
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"health:*",
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*"
}
]
}
Negare l'accesso alla visualizzazione AWS Health organizzativa
Questa dichiarazione politica nega l'accesso alle AWS Organizations azioni ma consente l'accesso alle AWS Health azioni per un singolo account.
Esempio : nega l'accesso alla visualizzazione AWS Health organizzativa
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Deny",
"Action": [
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*"
}
]
}
Nota
Se l'utente o il gruppo a cui desideri concedere le autorizzazioni dispone già di una IAM politica, puoi aggiungere la dichiarazione politica AWS Health specifica a quella politica.
Condizioni basate su risorse e operazioni
AWS Health supporta IAMle condizioni per le operazioni DescribeAffectedEntitiese DescribeEventDetailsAPI. È possibile utilizzare condizioni basate su risorse e azioni per limitare gli eventi AWS Health API inviati a un utente, gruppo o ruolo.
A tale scopo, aggiorna il blocco Condition
della policy IAM o imposta l'elemento Resource
. È possibile utilizzare String Conditions per limitare l'accesso in base a determinati campi di AWS Health eventi.
Puoi utilizzare i seguenti campi quando specifichi un AWS Health evento nella tua politica:
-
eventTypeCode
-
service
Note
-
Le DescribeEventDetailsAPIoperazioni DescribeAffectedEntitiese supportano le autorizzazioni a livello di risorsa. Ad esempio, è possibile creare una politica per consentire o negare eventi specifici. AWS Health
-
Le DescribeEventDetailsForOrganizationAPIoperazioni DescribeAffectedEntitiesForOrganizationand non supportano le autorizzazioni a livello di risorsa.
-
Per ulteriori informazioni, consulta Azioni, risorse e chiavi di condizione per AWS Health APIs e notifiche nel Service Authorization Reference.
Esempio : Condizione basata su operazioni
La presente informativa garantisce l'accesso AWS Health Dashboard e le AWS Health
Describe*
API operazioni, ma nega l'accesso a qualsiasi AWS Health evento relativo ad Amazon. EC2
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "health:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeAffectedEntities",
"health:DescribeEventDetails"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"health:service": "EC2"
}
}
}
]
}
Esempio : Condizione basata su risorse
La seguente policy ha lo stesso effetto, ma utilizza l'elemento Resource
.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:Describe*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeEventDetails",
"health:DescribeAffectedEntities"
],
"Resource": "arn:aws:health:*::event/EC2/*/*"
}]
}
Esempio : condizione eventTypeCode
Questa dichiarazione politica concede l'accesso AWS Health Dashboard e le AWS Health
Describe*
API operazioni, ma nega l'accesso a qualsiasi AWS Health evento eventTypeCode
che corrisponda. AWS_EC2_*
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "health:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeAffectedEntities",
"health:DescribeEventDetails"
],
"Resource": "*",
"Condition": {
"StringLike": {
"health:eventTypeCode": "AWS_EC2_*"
}
}
}
]
}
Importante
Se chiami le DescribeEventDetailsoperazioni DescribeAffectedEntitiesand e non disponi dell'autorizzazione per accedere all' AWS Health evento, viene AccessDeniedException
visualizzato l'errore. Per ulteriori informazioni, consulta Risoluzione dei problemi relativi AWS Health all'identità e all'accesso.