Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

AWS Health esempi di politiche basate sull'identità

Modalità Focus
AWS Health esempi di politiche basate sull'identità - AWS Health

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per impostazione predefinita, gli utenti e i ruoli IAM non dispongono dell'autorizzazione per creare o modificare risorse AWS Health . Inoltre, non possono eseguire attività utilizzando AWS Management Console, AWS CLI o. AWS API Un IAM amministratore deve creare IAM politiche che concedano a utenti e ruoli l'autorizzazione a eseguire API operazioni specifiche sulle risorse specifiche di cui ha bisogno. L'amministratore devi quindi collegare queste policy a utenti o gruppi IAMche richiedono tali autorizzazioni.

Per informazioni su come creare una policy IAM basata sull'identità utilizzando questi documenti di esempio, consulta Creating JSON Policies on the JSON Tab nella Guida per l'utente. IAM

Best practice per le policy

Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse nel tuo account. AWS Health Queste azioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:

  • Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta le politiche AWS gestite o le politiche AWS gestite per le funzioni lavorative nella Guida per l'IAMutente.

  • Applica le autorizzazioni con privilegi minimi: quando imposti le autorizzazioni con le IAM politiche, concedi solo le autorizzazioni necessarie per eseguire un'attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo per applicare le autorizzazioni, consulta Politiche e autorizzazioni nella Guida IAM per l'utente. IAM IAM

  • Utilizza le condizioni nelle IAM politiche per limitare ulteriormente l'accesso: puoi aggiungere una condizione alle tue politiche per limitare l'accesso ad azioni e risorse. Ad esempio, puoi scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzandoSSL. È inoltre possibile utilizzare condizioni per concedere l'accesso alle azioni di servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta Elementi IAM JSON della politica: Condizione nella Guida IAM per l'utente.

  • Usa IAM Access Analyzer per convalidare IAM le tue policy e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio delle IAM policy () e alle best practice. JSON IAM IAM Access Analyzer fornisce più di 100 controlli delle policy e consigli pratici per aiutarti a creare policy sicure e funzionali. Per ulteriori informazioni, consulta Convalida delle politiche con IAM Access Analyzer nella Guida per l'utente. IAM

  • Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede l'utilizzo di IAM utenti o di un utente root Account AWS, attiva questa opzione MFA per una maggiore sicurezza. Per richiedere MFA quando vengono richiamate API le operazioni, aggiungi MFA delle condizioni alle tue politiche. Per ulteriori informazioni, consulta Secure API access with MFA nella Guida IAM per l'utente.

Per ulteriori informazioni sulle best practice inIAM, consulta la sezione Procedure consigliate in materia di sicurezza IAM nella Guida IAM per l'utente.

Utilizzo della console di AWS Health

Per accedere alla AWS Health console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle AWS Health risorse del tuo AWS account. Se crei una policy basata su identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti e ruoli IAM) associate a tale policy.

Per garantire che tali entità possano ancora utilizzare la AWS Health console, puoi allegare la seguente politica AWS gestita, AWSHealthFullAccess.

La AWSHealthFullAccess policy concede a un'entità l'accesso completo a quanto segue:

  • Abilita o disabilita la funzionalità di visualizzazione AWS Health organizzativa per tutti gli account di un' AWS organizzazione

  • AWS Health Dashboard Nella AWS Health console

  • AWS Health APIoperazioni e notifiche

  • Visualizza le informazioni sugli account che fanno parte della tua AWS organizzazione

  • Visualizza le unità organizzative (OU) dell'account di gestione

Esempio : AWSHealthFullAccess
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "health.amazonaws.com" } } } ] }
Nota

È inoltre possibile utilizzare la politica Health_OrganizationsServiceRolePolicy AWS gestita, in modo da AWS Health visualizzare gli eventi di altri account dell'organizzazione. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per AWS Health.

Non è necessario concedere autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso il AWS CLI o il AWS API. Consenti invece l'accesso solo alle azioni che corrispondono all'APIoperazione che stai cercando di eseguire.

Per ulteriori informazioni, consulta Aggiungere autorizzazioni a un utente nella Guida per l'IAMutente.

Consentire agli utenti di visualizzare le loro autorizzazioni

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando o a livello di codice. AWS CLI AWS API

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

Accedere a e a AWS Health DashboardAWS Health API

AWS Health Dashboard È disponibile per tutti gli AWS account. AWS Health APIÈ disponibile solo per gli account con un piano Business, Enterprise On-Ramp o Enterprise Support. Per ulteriori informazioni, consulta Support.

È possibile utilizzare IAM per creare entità (utenti, gruppi o ruoli) e quindi concedere a tali entità le autorizzazioni per accedere a e a. AWS Health Dashboard AWS Health API

Per impostazione predefinita, IAM gli utenti non hanno accesso a AWS Health Dashboard o al AWS Health API. Consenti agli utenti di accedere alle AWS Health informazioni del tuo account associando IAM politiche a un singolo utente, a un gruppo di utenti o a un ruolo. Per ulteriori informazioni, consulta Identità (utenti, gruppi e ruoli) e Panoramica delle IAM politiche.

Dopo aver creato utenti IAM, puoi fornire loro una password. Possono quindi accedere al tuo account e visualizzare le AWS Health informazioni utilizzando una pagina di accesso specifica per l'account. Per ulteriori informazioni, consulta Modalità di accesso degli utenti al tuo account.

Nota

Un IAM utente con autorizzazioni di visualizzazione AWS Health Dashboard ha accesso in sola lettura alle informazioni sanitarie su tutti i AWS servizi dell'account, che possono includere, a titolo esemplificativo, AWS risorse IDs come EC2 istanze Amazon, indirizzi IP delle IDs EC2 istanze e notifiche di sicurezza generali.

Ad esempio, se una IAM policy concede l'accesso solo a AWS Health Dashboard e il AWS Health API, allora l'utente o il ruolo a cui si applica la policy può accedere a tutte le informazioni pubblicate sui AWS servizi e sulle risorse correlate, anche se altre IAM politiche non consentono tale accesso.

È possibile utilizzare due gruppi di APIs per AWS Health.

Per ulteriori informazioni sulle API operazioni disponibili, consulta la Guida AWS Health APIdi riferimento.

Singole operazioni

Puoi impostare l'elemento Action di una policy IAM su health:Describe*. Ciò consente l'accesso a AWS Health Dashboard e AWS Health. AWS Health supporta il controllo degli accessi agli eventi basati sul servizio eventTypeCode and.

Descrivere l'accesso

Questa dichiarazione politica garantisce l'accesso a tutte AWS Health Dashboard le operazioni. Describe* AWS Health API Ad esempio, un IAM utente con questo criterio può accedere AWS Health Dashboard a AWS Management Console e richiamare l' AWS Health DescribeEventsAPIoperazione.

Esempio : Descrivere l'accesso
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*" }] }

Negare l'accesso

Questa dichiarazione politica nega l'accesso a AWS Health Dashboard e al AWS Health API. Un IAM utente con questo criterio non può visualizzare AWS Management Console e non può richiamare nessuna delle AWS Health API operazioni. AWS Health Dashboard

Esempio : Negare l'accesso
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "health:*" ], "Resource": "*" }] }

Visualizzazione organizzativa

Se si desidera abilitare la visualizzazione organizzativa per AWS Health, è necessario consentire l'accesso alle AWS Organizations azioni AWS Health e.

L'elemento Action di una policy IAM deve includere le seguenti autorizzazioni:

  • iam:CreateServiceLinkedRole

  • organizations:EnableAWSServiceAccess

  • organizations:DescribeAccount

  • organizations:DisableAWSServiceAccess

  • organizations:ListAccounts

  • organizations:ListDelegatedAdministrators

  • organizations:ListParents

Per comprendere esattamente le autorizzazioni necessarie per ciascuna di esseAPIs, consulta Azioni definite da AWS Health APIs e Notifiche nella Guida per l'IAMutente.

Nota

È necessario utilizzare le credenziali dell'account di gestione di un'organizzazione per accedere al AWS Health APIs modulo. AWS Organizations Per ulteriori informazioni, consulta Aggregazione di AWS Health eventi tra account.

Consenti l'accesso alla visualizzazione AWS Health organizzativa

Questa dichiarazione politica garantisce l'accesso a tutte AWS Health le AWS Organizations azioni necessarie per la funzionalità di visualizzazione organizzativa.

Esempio : Consenti l'accesso alla visualizzazione AWS Health organizzativa
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ] }

Negare l'accesso alla visualizzazione AWS Health organizzativa

Questa dichiarazione politica nega l'accesso alle AWS Organizations azioni ma consente l'accesso alle AWS Health azioni per un singolo account.

Esempio : nega l'accesso alla visualizzazione AWS Health organizzativa
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Deny", "Action": [ "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Deny", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ] }
Nota

Se l'utente o il gruppo a cui desideri concedere le autorizzazioni dispone già di una IAM politica, puoi aggiungere la dichiarazione politica AWS Health specifica a quella politica.

Condizioni basate su risorse e operazioni

AWS Health supporta IAMle condizioni per le operazioni DescribeAffectedEntitiese DescribeEventDetailsAPI. È possibile utilizzare condizioni basate su risorse e azioni per limitare gli eventi AWS Health API inviati a un utente, gruppo o ruolo.

A tale scopo, aggiorna il blocco Condition della policy IAM o imposta l'elemento Resource. È possibile utilizzare String Conditions per limitare l'accesso in base a determinati campi di AWS Health eventi.

Puoi utilizzare i seguenti campi quando specifichi un AWS Health evento nella tua politica:

  • eventTypeCode

  • service

Note
Esempio : Condizione basata su operazioni

La presente informativa garantisce l'accesso AWS Health Dashboard e le AWS Health Describe* API operazioni, ma nega l'accesso a qualsiasi AWS Health evento relativo ad Amazon. EC2

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringEquals": { "health:service": "EC2" } } } ] }
Esempio : Condizione basata su risorse

La seguente policy ha lo stesso effetto, ma utilizza l'elemento Resource.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeEventDetails", "health:DescribeAffectedEntities" ], "Resource": "arn:aws:health:*::event/EC2/*/*" }] }
Esempio : condizione eventTypeCode

Questa dichiarazione politica concede l'accesso AWS Health Dashboard e le AWS Health Describe* API operazioni, ma nega l'accesso a qualsiasi AWS Health evento eventTypeCode che corrisponda. AWS_EC2_*

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringLike": { "health:eventTypeCode": "AWS_EC2_*" } } } ] }
Importante

Se chiami le DescribeEventDetailsoperazioni DescribeAffectedEntitiesand e non disponi dell'autorizzazione per accedere all' AWS Health evento, viene AccessDeniedException visualizzato l'errore. Per ulteriori informazioni, consulta Risoluzione dei problemi relativi AWS Health all'identità e all'accesso.

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.