

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Impostazione delle autorizzazioni in AMS con ruoli e profili IAM
<a name="setting-permissions"></a>

AMS utilizza AWS Identity and Access Management (IAM) per gestire gli utenti, le credenziali di sicurezza come le chiavi di accesso e le autorizzazioni che controllano le AWS risorse a cui possono accedere utenti e applicazioni. AMS fornisce un ruolo utente IAM predefinito e un profilo di istanza Amazon EC2 predefinito (che include un'istruzione che consente l'accesso delle risorse al ruolo utente IAM predefinito).

## Richiesta di un nuovo ruolo utente o profilo di istanza IAM
<a name="request-new-role-or-profile"></a>

AMS utilizza un ruolo IAM per impostare le autorizzazioni degli utenti tramite il servizio federativo e un profilo di istanza IAM come contenitore per quel ruolo IAM.

Puoi richiedere un ruolo IAM personalizzato con Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 Creazione del tipo di modifica dell'entità o della policy (automazione gestita) (ct-3dpd8mdd9jn1r) o un profilo di istanza IAM con Management \$1 Applications \$1 Profilo istanza IAM \$1 Create Management \$1 Applications \$1 IAM instance profile \$1 Create (managed automation) change type (ct-0ixp4ch2tic (04). Vedi le descrizioni di ciascuno in questa sezione.

**Nota**  
AMS ha una politica IAM `customer_deny_policy` che blocca i namespace e le azioni pericolosi. Questa politica è associata a tutti i ruoli dei clienti AMS per impostazione predefinita e raramente rappresenta un problema per gli utenti. Le tue richieste di utenti e ruoli IAM non includono questa policy, ma l'inclusione automatica di essa `customer_deny_policy` nelle richieste per i ruoli IAM aiuta AMS a implementare nuovi profili di istanze IAM più rapidamente. Puoi richiedere l'esclusione della `customer_deny_policy` policy. Tuttavia, questa richiesta sarà sottoposta a un'approfondita revisione di sicurezza ed è probabile che venga rifiutata per motivi di sicurezza.

# Limita le autorizzazioni con le dichiarazioni sulle policy dei ruoli IAM
<a name="request-iam-user"></a>

AMS utilizza un ruolo IAM per impostare le autorizzazioni degli utenti tramite il servizio di federazione.

**Landing Zone AMS per account singolo**: vedi [SALZ: Ruoli utente IAM predefiniti](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role).

**Multi-Account Landing Zone AMS**: vedi [MALZ: Ruoli utente IAM predefiniti](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role-malz).

Un ruolo IAM è un'entità IAM che definisce un insieme di autorizzazioni per effettuare AWS richieste di servizio. I ruoli IAM non sono associati a un utente o a un gruppo specifico. Invece, le entità attendibili assumono ruoli, come utenti IAM, applicazioni o AWS servizi come Amazon EC2. Per ulteriori informazioni, consulta [IAM Roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) (Ruoli IAM).

Puoi definire la policy desiderata per un utente che assume il ruolo utente AMS IAM utilizzando l'operazione API AWS Security Token Service (STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)inserendo una policy IAM più restrittiva nel `Policy` campo di richiesta.

Di seguito vengono fornite istruzioni politiche di esempio che è possibile utilizzare per limitare l'accesso CT.

Utilizzando i gruppi Active Directory (AD) configurati e l'operazione API AWS Security Token Service (STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html), puoi impostare le autorizzazioni per determinati utenti o gruppi, inclusa la limitazione dell'accesso a determinati tipi di modifiche ()CTs. Puoi utilizzare le dichiarazioni politiche mostrate di seguito per limitare l'accesso CT in vari modi.

Dichiarazione AMS change type nel profilo di istanza IAM predefinito che consente l'accesso a tutte le chiamate API AMS (amscm e amsskms) e a tutti i tipi di modifica:

```
{
    "Sid": "AWSManagedServicesFullAccess",
    "Effect": "Allow",
    "Action": [
        "amscm:*",
        "amsskms:*"
    ],
    "Resource": [
        "*"
    ]
}
```

1. Dichiarazione per consentire l'accesso e tutte le azioni solo per due operazioni specificate CTs, dove «Azione» indica le operazioni dell'API AMS (una `amscm` o l'altra`amsskms`) e «Resource» rappresenta il tipo di modifica e il numero di versione esistenti: IDs 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "amscm:*",
               "Resource": [
                   "arn:aws:amscm:*:*:changetype/ct-ID1:1.0",
                   "arn:aws:amscm:*:*:changetype/ct-ID2:1.0"
               ]
           }
       ]
   }
   ```

------

1. Dichiarazione per CreateRfc consentire l'accesso a e solo SubmitRfc su due specificate CTs: UpdateRfc

1. Dichiarazione per CreateRfc consentire l'accesso a e SubmitRfc su tutti i dispositivi disponibili CTs: UpdateRfc

1. Dichiarazione per negare l'accesso a tutte le azioni relative alla TAC con restrizioni e consentire ad altre CTs:

# Limita le autorizzazioni con i profili di istanza Amazon EC2 IAM
<a name="request-instance-profile"></a>

Un profilo di istanza IAM è un contenitore per un ruolo IAM che puoi utilizzare per passare informazioni sul ruolo a un' EC2 istanza Amazon all'avvio dell'istanza.

Attualmente esiste un profilo di istanza predefinito di AWS Managed Services (AMS) che concede le autorizzazioni alle applicazioni in esecuzione sull'istanza, non agli utenti che accedono all'istanza. `customer-mc-ec2-instance-profile` Potresti voler modificare il profilo predefinito dell'istanza o crearne uno nuovo, se desideri consentire a un'istanza di accedere a qualcosa, senza concedere l'accesso anche ad altre istanze. Puoi richiedere un nuovo profilo di istanza IAM con Management \$1 Applications \$1 IAM instance profile \$1 Create change type (ct-0ixp4ch2tiu04). Quando invii la RFC, puoi creare il tuo profilo di istanza e includerlo come InstanceProfileDescription, oppure puoi semplicemente informare AMS (utilizzando lo stesso campo) delle modifiche che desideri. Poiché si tratta di un CT manuale, AMS deve approvare la modifica e si metterà in contatto con l'utente in merito.

Se non conosci le politiche di Amazon IAM, consulta [Panoramica delle politiche IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) per informazioni importanti. C'è anche un buon post sul blog, [Demystifying EC2 Amazon](https://aws.amazon.com/blogs/security/demystifying-ec2-resource-level-permissions/) Resource-Level Permissions. [Tieni presente che attualmente AMS non supporta il controllo degli accessi basato sulle risorse, ma supporta i controlli a livello di risorsa utilizzando le policy dei ruoli IAM (per una spiegazione della differenza, consulta Servizi che funzionano con IAM).AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)

Landing Zone **AMS** per account singolo:

Per visualizzare una tabella delle autorizzazioni concesse dal profilo di istanza AMS IAM predefinito, vai a [EC2 IAM](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html) Instance Profile.