Esempi di policy basate su identità per AWS Migration Hub Refactor Spaces - AWS Migration Hub
Best practice delle policyUso della consoleConsentire agli utenti di visualizzare le loro autorizzazioni

AWS Migration Hub Refactor Spaces è disponibile nella versione di anteprima ed è soggetto a modifiche.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy basate su identità per AWS Migration Hub Refactor Spaces

Per impostazione predefinita, gli utenti e i ruoli IAM non dispongono dell'autorizzazione per creare o modificare risorse di Refactor Spaces. Inoltre, non sono in grado di eseguire attività utilizzando l'API AWS Management Console, AWS CLI, o AWS. Un amministratore IAM deve creare policy IAM che concedano a utenti e ruoli l'autorizzazione per eseguire operazioni sulle risorse di cui hanno bisogno. L'amministratore deve quindi allegare queste policy a utenti o IAM che richiedono tali autorizzazioni.

Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consultare Creazione di policy nella scheda JSON nella Guida per l'utente di IAM.

Best practice delle policy

Le policy basate su identità sono molto potenti. Determinano se qualcuno può creare, accedere o eliminare risorse di Refactor Spaces nell'account. Queste operazioni possono comportare costi aggiuntivi per il proprio Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e suggerimenti:

  • Inizia subito a utilizzareAWSPolicy gestite da— Per iniziare a utilizzare rapidamente Refactor Spaces, utilizzareAWSpolicy gestite da per fornire ai dipendenti le autorizzazioni richieste. Queste policy sono già disponibili nell'account e sono gestite e aggiornate da AWS. Per ulteriori informazioni, consultare Nozioni di base sull'utilizzo delle autorizzazioni con policy gestite da AWS nella Guida per l'utente di IAM.

  • Assegnare il privilegio minimo – Quando crei policy personalizzate, concedi solo le autorizzazioni richieste per eseguire un’attività. Inizia con un set di autorizzazioni minimo e concedi autorizzazioni aggiuntive quando necessario. Questo è più sicuro che iniziare con autorizzazioni che siano troppo permissive e cercare di limitarle in un secondo momento. Per ulteriori informazioni, consultare Grant least privilege (Assegnare il privilegio minimo) nella Guida per l'utente di IAM.

  • Abilitare MFA per operazioni sensibili – Per una maggiore sicurezza, richiedi agli utenti IAM di utilizzare l'autenticazione a più fattori (MFA) per accedere a risorse sensibili o operazioni API. Per ulteriori informazioni, consultare Utilizzo dell'autenticazione a più fattori (MFA) in AWS nella Guida per l'utente di IAM.

  • Utilizza le condizioni della policy per ulteriore sicurezza - Per quanto possibile, definisci le condizioni per cui le policy basate su identità consentono l'accesso a una risorsa. Ad esempio, è possibile scrivere condizioni per specificare un intervallo di indirizzi IP consentiti dai quali deve provenire una richiesta. È anche possibile scrivere condizioni per consentire solo le richieste all'interno di un intervallo di date o ore specificato oppure per richiedere l'utilizzo di SSL o MFA. Per ulteriori informazioni, consultaElementi delle policy IAM JSON: ConditionnellaIAM User Guide.

Utilizzo della console Refactor Spaces

Per accedere alla console AWS Migration Hub Refactor Spaces, è necessario disporre di un set di autorizzazioni minimo. Queste autorizzazioni devono consentire di elencare e visualizzare i dettagli relativi alle risorse di Refactor Spaces nell'Account AWS. Se crei una policy basata su identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti e ruoli IAM) associate a tale policy.

Non sono necessarie le autorizzazioni minime della console per gli utenti che effettuano chiamate solo all'API di AWS CLI o di AWS. Al contrario, puoi accedere solo alle operazioni che soddisfano l'operazione API che stai cercando di eseguire.

Per garantire che utenti e ruoli possano continuare a utilizzare la console Refactor Spaces, collegare anche gli spazi di refattoreConsoleAccessoReadOnly AWSpolicy gestita per le entità. Per ulteriori informazioni, consulta Aggiunta di autorizzazioni a un utente nella Guida per l'utente di IAM.

Consentire agli utenti di visualizzare le loro autorizzazioni

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono allegate alla relativa identità utente. Questa policy include le autorizzazioni per completare questa operazione sulla console o a livello di codice utilizzando AWS CLI o l'API AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}