Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Creazione e utilizzo delle autorizzazioni gestite dai clienti inAWS RAM
AWS Resource Access Manager(AWS RAM) fornisce almeno un'autorizzazioneAWS gestita per ogni tipo di risorsa che puoi condividere. Tuttavia, tali autorizzazioni gestite potrebbero non fornire l'accesso con privilegi minimi per il caso d'uso della condivisione. Quando una delle autorizzazioniAWS gestite fornite non funziona, puoi creare la tua autorizzazione gestita dal cliente.
Le autorizzazioni gestite dai clienti sono autorizzazioni gestite che crei e gestisci specificando con precisione quali azioni possono essere eseguite e in quali condizioni con l'utilizzo condiviso delle risorseAWS RAM. Ad esempio, desideri limitare l'accesso in lettura per i tuoi pool Amazon VPC IP Address Manager (IPAM), che ti aiutano a gestire i tuoi indirizzi IP su larga scala. Puoi creare autorizzazioni gestite dai clienti per consentire agli sviluppatori di assegnare indirizzi IP, ma non visualizzare l'intervallo di indirizzi IP assegnati da altri account sviluppatore. È possibile seguire la best practice sulla concessione di privilegi minimi, concedono solo le autorizzazioni richieste per eseguire le attività su risorse condivise.
Inoltre, puoi aggiornare o eliminare le autorizzazioni gestite dai clienti in base alle necessità.
Creazione di un'autorizzazione gestita dal cliente
Le autorizzazioni gestite dal cliente sono specifiche di unRegione AWS. Assicurati di creare questa autorizzazione gestita dal cliente nella regione appropriata.
- Console
-
Per creare un'autorizzazione gestita dal cliente
-
Completa una delle seguenti operazioni:
-
Per i dettagli delle autorizzazioni gestite dal cliente, inserisci un nome di autorizzazione gestita dal cliente.
-
Scegli il tipo di risorsa a cui si applica questa autorizzazione gestita.
-
Per il modello di policy, definisci quali operazioni possono essere eseguite su questo tipo di risorsa.
-
Puoi scegliere Importa autorizzazione gestita per utilizzare le azioni di un'autorizzazione gestita esistente.
-
Seleziona o deseleziona le informazioni sul livello di accesso per soddisfare i tuoi requisiti nell'editor visivo.
-
Aggiungi o modifica le condizioni utilizzando l'editor JSON.
-
(Facoltativo) Per allegare tag all'autorizzazione gestita, per Tag, inserisci una chiave e un valore per il tag. Aggiungi altri tag scegliendo Aggiungi nuovo tag. Ripetere ere ere ere ere ere ere ere ere ere.
-
Al termine, scegli Crea autorizzazione gestita dal cliente.
- AWS CLI
-
Per creare un'autorizzazione gestita dal cliente
-
Esegui il comando create-permission e specifica un nome, il tipo di risorsa a cui si applica l'autorizzazione gestita dal cliente e il testo del corpo del modello di policy.
Il seguente comando di esempio crea un'autorizzazione gestita per il tipo diimagebuilder:Component
risorsa.
$
aws ram create-permission \
--name TestCMP \
--resource-type imagebuilder:Component \
--policy-template "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}"
{
"permission": {
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "1",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"resourceType": "imagebuilder:Component",
"status": "ATTACHABLE",
"creationTime": 1680033769.401,
"lastUpdatedTime": 1680033769.401
}
}
Crea una nuova versione di un'autorizzazione gestita dal cliente
Se il caso d'uso dell'autorizzazione gestita dal cliente cambia, puoi creare una nuova versione dell'autorizzazione gestita. Ciò non influisce sulle condivisioni di risorse esistenti, ma solo sulle nuove condivisioni di risorse future che utilizzano questa autorizzazione gestita dal cliente.
Ogni autorizzazione gestita può avere fino a cinque versioni, ma è possibile associare solo la versione predefinita.
- Console
-
Per creare una nuova versione di un'autorizzazione gestita dal cliente
-
Accedere alla libreria delle autorizzazioni gestite.
-
Filtra l'elenco delle autorizzazioni gestite dal cliente o cerca il nome dell'autorizzazione gestita dal cliente che desideri modificare.
-
Nella pagina dei dettagli delle autorizzazioni gestite, nella sezione Versioni di autorizzazioni gestite, scegli Crea versione.
-
Per il modello Policy, puoi aggiungere o rimuovere azioni e condizioni con l'editor visivo o l'editor JSON.
È inoltre possibile scegliere Importa autorizzazione gestita per utilizzare un modello di policy esistente.
-
Al termine, scegli Crea versione nella parte inferiore della pagina.
- AWS CLI
-
Per creare una nuova versione di un'autorizzazione gestita dal cliente
-
Trova l'ARN (Amazon Resource Name) dell'autorizzazione gestita per la quale desideri creare una nuova versione. Esegui questa operazione chiamando list-permissions con il--permission-type
CUSTOMER_MANAGED
parametro per includere solo le autorizzazioni gestite dal cliente.
$
aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED
{
"permissions": [
{
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "2",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"permissionType": "CUSTOMER_MANAGED",
"resourceType": "imagebuilder:Component",
"status": "ATTACHABLE",
"creationTime": 1680035597.346,
"lastUpdatedTime": 1680035597.346
}
]
}
-
Dopo aver ottenuto l'ARN, è possibile chiamare l'create-permission-versionoperazione e fornire il modello di policy aggiornato.
$
aws ram create-permission-version \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
--policy-template {"Effect":"Allow","Action":["imagebuilder:ListComponents"]}
{
"permission": {
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "2",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"status": "ATTACHABLE",
"resourceType": "imagebuilder:Component",
"permission": "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}",
"creationTime": 1680038973.79,
"lastUpdatedTime": 1680038973.79
}
}
L'output include il numero di versione della nuova versione.
Scegli una versione diversa come predefinita per un'autorizzazione gestita dal cliente
È possibile impostare un'altra versione delle autorizzazioni gestite dal cliente come nuova versione predefinita.
- Console
-
Per impostare una nuova versione predefinita per un'autorizzazione gestita dal cliente
-
Accedere alla libreria delle autorizzazioni gestite.
-
Filtra l'elenco delle autorizzazioni gestite dal cliente o cerca il nome dell'autorizzazione gestita dal cliente che desideri modificare.
-
Dalla pagina dei dettagli delle autorizzazioni gestite dal cliente, nella sezione Versioni di autorizzazioni gestite, utilizza l'elenco a discesa per scegliere la versione che desideri impostare come nuova impostazione predefinita.
-
Scegli Imposta come versione predefinita.
-
Quando viene visualizzata la finestra di dialogo, conferma che desideri che questa versione sia l'impostazione predefinita per tutte le nuove condivisioni di risorse che utilizzano questa autorizzazione gestita dal cliente. Se sei d'accordo, scegli Imposta come versione predefinita.
- AWS CLI
-
Per impostare una nuova versione predefinita per un'autorizzazione gestita dal cliente
-
Trova il numero di versione che desideri impostare come versione predefinita chiamando list-permission-versions.
Il seguente comando di esempio recupera le versioni correnti per l'autorizzazione gestita specificata.
$
aws ram list-permission-versions \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP
{
"permissions": [
{
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "1",
"defaultVersion": false,
"isResourceTypeDefault": false,
"name": "TestCMP",
"permissionType": "CUSTOMER_MANAGED",
"featureSet": "STANDARD",
"resourceType": "imagebuilder:Component",
"status": "UNATTACHABLE",
"creationTime": 1680033769.401,
"lastUpdatedTime": 1680035597.345
},
{
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "2",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"permissionType": "CUSTOMER_MANAGED",
"featureSet": "STANDARD",
"resourceType": "imagebuilder:Component",
"status": "ATTACHABLE",
"creationTime": 1680035597.346,
"lastUpdatedTime": 1680035597.346
}
]
}
-
Dopo aver impostato il numero di versione come predefinito, è possibile chiamare l'set-default-permission-versionoperazione.
$
aws ram-cmp set-default-permission-version \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
--version 2
Se il comando viene eseguito correttamente, non restituisce alcun output. Puoi eseguire di list-permission-versionsnuovo e verificare che ildefaultVersion
campo della versione scelta sia ora impostato sutrue
.
Eliminare una versione di autorizzazione gestita dal cliente
Puoi avere fino a cinque versioni di ogni autorizzazione gestita dal cliente. Quando una versione non è più necessaria e non è più utilizzata, è possibile eliminarla. Non è possibile eliminare la versione predefinita di un'autorizzazione gestita dal cliente. Le versioni eliminate rimangono visibili nella console per un massimo di due ore con uno stato di eliminazione prima di essere completamente rimosse.
- Console
-
Per eliminare una versione di autorizzazione gestita dal cliente
-
Accedere alla libreria delle autorizzazioni gestite.
-
Filtra l'elenco delle autorizzazioni gestite dal cliente o cerca il nome dell'autorizzazione gestita dal cliente con la versione che desideri eliminare.
-
Assicurati che la versione che desideri eliminare non sia attualmente quella predefinita.
-
Per la sezione Versioni della pagina, scegli la scheda Condivisioni di risorse associate per vedere se alcune condivisioni utilizzano questa versione.
Se sono associate delle condivisioni, è necessario modificare la versione delle autorizzazioni gestite dal cliente prima di poter eliminare questa versione.
-
Scegli Elimina versione sul lato destro della sezione Versione.
-
Nella finestra di dialogo di conferma, seleziona Elimina per disabilitare questa versione dell'autorizzazione gestita dal cliente.
Scegli Annulla se non desideri eliminare questa versione dell'autorizzazione gestita dal cliente.
- AWS CLI
-
Per eliminare una versione di un'autorizzazione gestita dal cliente
-
Chiama l'list-permission-versionsoperazione per recuperare i numeri di versione disponibili.
-
Dopo aver ottenuto il numero di versione, forniscilo come parametro a delete-permission-version.
$
aws ram-cmp delete-permission-version \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
--version 1
Se il comando viene eseguito correttamente, non restituisce alcun output. È possibile eseguire list-permission-versionsnuovamente e verificare che la versione non sia più inclusa nell'output.
Eliminare un'autorizzazione gestita dal cliente
Se un'autorizzazione gestita dal cliente non è più necessaria e non è in uso, puoi eliminarla. Non è possibile eliminare un'autorizzazione gestita dal cliente associata a una condivisione di risorse. L'autorizzazione gestita dal cliente eliminata scompare dopo due ore. Fino ad allora, rimane visibile nella libreria delle autorizzazioni gestite con uno stato eliminato.
- Console
-
Per eliminare un'autorizzazione gestita dal cliente
-
Accedere alla libreria delle autorizzazioni gestite.
-
Filtra l'elenco delle autorizzazioni gestite dal cliente o cerca il nome dell'autorizzazione gestita dal cliente che desideri eliminare.
-
Verifica che vi siano 0 condivisioni associate nell'elenco delle autorizzazioni gestite prima di selezionare l'autorizzazione gestita dal cliente.
Se esistono ancora condivisioni di risorse associate all'autorizzazione gestita, è necessario assegnare un'altra autorizzazione gestita a tutte le condivisioni di risorse prima di poter continuare.
-
Nell'angolo in alto a destra della pagina dei dettagli delle autorizzazioni gestite dal cliente, scegliere Elimina autorizzazione gestita.
-
Quando viene visualizzata la finestra di dialogo di conferma, scegli Elimina per eliminare l'autorizzazione gestita.
- AWS CLI
-
Per eliminare un'autorizzazione gestita dal cliente
-
Trova l'ARN dell'autorizzazione gestita che desideri eliminare chiamando list-permissions con il--permission-type
CUSTOMER_MANAGED
parametro per includere solo le autorizzazioni gestite dal cliente.
$
aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED
{
"permissions": [
{
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "2",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"permissionType": "CUSTOMER_MANAGED",
"resourceType": "imagebuilder:Component",
"status": "ATTACHABLE",
"creationTime": 1680035597.346,
"lastUpdatedTime": 1680035597.346
}
]
}
-
Dopo aver ottenuto l'ARN dell'autorizzazione gestita per l'eliminazione, forniscila come parametro per l'autorizzazione all'eliminazione.
$
aws ram delete-permission \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP
{
"returnValue": true,
"permissionStatus": "DELETING"
}