Creare utenti, gruppi e ruoli Struttura delle politiche IAM Crea policy IAM per License Manager Concedere autorizzazioni a utenti, gruppi e ruoli

Gestione delle identità e degli accessi per License Manager

AWS Identity and Access Management (IAM) è un AWS servizio che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere autenticato (effettuato l'accesso) e autorizzato (disporre delle autorizzazioni) a utilizzare le risorse. AWS Con IAM puoi creare utenti e gruppi con il tuo account. AWS Sei tu a controllare le autorizzazioni di cui dispongono gli utenti per eseguire attività utilizzando AWS le risorse. Puoi utilizzare IAM senza alcun costo aggiuntivo.

Per impostazione predefinita, gli utenti non dispongono delle autorizzazioni per le risorse e le operazioni del License Manager. Per consentire agli utenti di gestire le risorse del License Manager, è necessario creare una policy IAM che conceda loro esplicitamente le autorizzazioni.

Quando si collega una policy a un utente o a un gruppo di utenti, viene concessa o rifiutata agli utenti l'autorizzazione per l'esecuzione delle attività specificate sulle risorse specificate. Per ulteriori informazioni, consulta Policies and Permissions nella guida per l'utente IAM.

Creare utenti, gruppi e ruoli

Puoi creare utenti e gruppi per te Account AWS e poi assegnare loro le autorizzazioni di cui hanno bisogno. Come best practice, gli utenti dovrebbero acquisire le autorizzazioni assumendo ruoli IAM. Per ulteriori informazioni su come configurare utenti e gruppi per te Account AWS, consulta. Inizia a usare License Manager

Un ruolo IAM è un'identità IAM che puoi creare nel tuo account e che dispone di autorizzazioni specifiche. Un ruolo IAM è simile a quello di un utente IAM in quanto è un' AWS identità con policy di autorizzazioni che determinano ciò che l'identità può e non può fare. AWS Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Tuttavia, quando assumi un ruolo, vengono fornite le credenziali di sicurezza provvisorie per la sessione del ruolo.

Struttura delle politiche IAM

Una policy IAM è un documento JSON costituito da una o più dichiarazioni. Ogni dichiarazione è strutturata come segue.


{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
        "key":"value"
        }
      }
    }
  ]
}

Vari elementi costituiscono una dichiarazione:

Effetto: l'elemento effect può essere Allow o Deny. Per impostazione predefinita, gli utenti non dispongono dell'autorizzazione a utilizzare risorse e operazioni API, pertanto tutte le richieste vengono rifiutate. Un permesso esplicito ha la precedenza sull'impostazione predefinita. Un rifiuto esplicito ha la precedenza su qualsiasi autorizzazione.
Azione: L'azione è l'operazione API specifica per la quale si concede o si nega l'autorizzazione.
Risorsa: la risorsa è influenzata dall'azione. Alcune operazioni dell'API License Manager consentono di includere risorse specifiche nella policy che possono essere create o modificate dall'operazione. Per specificare una risorsa nella dichiarazione, devi utilizzare il relativo Amazon Resource Name (ARN). Per ulteriori informazioni, consulta Azioni definite da AWS License Manager.
Condition: le condizioni sono facoltative. Possono essere utilizzate per controllare quando è in vigore una policy. Per ulteriori informazioni, vedere Condition Keys for AWS License Manager.

Crea policy IAM per License Manager

In una dichiarazione sulla politica IAM, puoi specificare qualsiasi operazione API da qualsiasi servizio che supporti IAM. License Manager, utilizza i seguenti prefissi con il nome dell'operazione API:

license-manager:
license-manager-user-subscriptions:
license-manager-linux-subscriptions:

Per esempio:

license-manager:CreateLicenseConfiguration
license-manager:ListLicenseConfigurations
license-manager-user-subscriptions:ListIdentityProviders
license-manager-linux-subscriptions:ListLinuxSubscriptionInstances

Per ulteriori informazioni sul License Manager disponibile APIs, consulta i seguenti riferimenti API:

Per specificare più operazioni in una sola dichiarazione, separale con una virgola come mostrato di seguito:


"Action": ["license-manager:action1", "license-manager:action2"]

Puoi anche specificare più operazioni tramite caratteri jolly. Ad esempio, è possibile specificare tutte le operazioni API License Manager il cui nome inizia con la parola List come segue:


"Action": "license-manager:List*"

Per specificare tutte le operazioni dell'API License Manager, usa la wildcard * come segue:


"Action": "license-manager:*"

Politica di esempio per un ISV che utilizza License Manager

ISVs che distribuiscono le licenze tramite License Manager richiedono le seguenti autorizzazioni:


{ 
    "Version": "2012-10-17",     
    "Statement": [ 
        { 
        "Sid": "VisualEditor0", 
        "Effect": "Allow",
        "Action": [
            "license-manager:CreateLicense", 
            "license-manager:ListLicenses", 
            "license-manager:CreateLicenseVersion", 
            "license-manager:ListLicenseVersions", 
            "license-manager:GetLicense", 
            "license-manager:DeleteLicense", 
            "license-manager:CheckoutLicense", 
            "license-manager:CheckInLicense", 
            "kms:GetPublicKey"
        ], 
        "Resource": "*"
        } 
    ] 
}

Concedere autorizzazioni a utenti, gruppi e ruoli

Dopo aver creato le policy IAM necessarie, devi concedere queste autorizzazioni a utenti, gruppi e ruoli.

Per fornire l'accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:

Utenti e gruppi in AWS IAM Identity Center:

Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
Utenti gestiti in IAM tramite un provider di identità:

Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Create a role for a third-party identity provider (federation) della Guida per l'utente IAM.
Utenti IAM:
- Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella pagina Create a role for an IAM user della Guida per l'utente IAM.
- (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente IAM.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Protezione dei dati

Ruoli collegati ai servizi