Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Come AWS RAM funziona con IAM
Per impostazione predefinita, IAM i mandanti non sono autorizzati a creare o modificare AWS RAM risorse. Per consentire IAM ai responsabili di creare o modificare risorse ed eseguire attività, è necessario eseguire una delle seguenti operazioni. Queste azioni concedono il permesso di utilizzare risorse e API azioni specifiche.
Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:
-
Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate in Creare un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'IAMutente.
-
IAMutenti:
-
Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate in Creare un ruolo per un IAM utente nella Guida per l'IAMutente.
-
(Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate in Aggiungere autorizzazioni a un utente (console) nella Guida per l'IAMutente.
-
AWS RAM fornisce diverse politiche AWS gestite che puoi utilizzare per soddisfare le esigenze di molti utenti. Per ulteriori informazioni su queste impostazioni, consulta AWS Policy gestite da per AWS RAM.
Se hai bisogno di un controllo più preciso sulle autorizzazioni concesse ai tuoi utenti, puoi creare le tue politiche nella console. IAM Per informazioni sulla creazione di politiche e sulla loro associazione ai IAM ruoli e agli utenti, consulta Politiche e autorizzazioni nella IAM Guida per l'utente.AWS Identity and Access Management
Le seguenti sezioni forniscono i dettagli AWS RAM specifici per la creazione di una politica di IAM autorizzazione.
Struttura delle policy
Una politica di IAM autorizzazione è un JSON documento che include le seguenti dichiarazioni: Effetto, Azione, Risorsa e Condizione. Una IAM politica assume in genere la forma seguente.
{ "Statement":[{ "Effect":"<effect>", "Action":"<action>", "Resource":"<arn>", "Condition":{ "<comparison-operator>":{ "<key>":"<value>" } } }] }
Effetto
L'istruzione Effect indica se la politica consente o nega l'autorizzazione principale per eseguire un'azione. I valori possibili includono: Allow eDeny.
Azione
La dichiarazione Action specifica le AWS RAM API azioni per le quali la politica consente o nega l'autorizzazione. Per un elenco completo delle azioni consentite, vedere Azioni definite da AWS Resource Access Manager nella Guida per l'IAMutente.
Risorsa
L'informativa Resource specifica le AWS RAM risorse interessate dalla politica. Per specificare una risorsa nell'istruzione, devi utilizzare il relativo Amazon Resource Name univoco (ARN). Per un elenco completo delle risorse consentite, consulta la sezione Risorse definite da AWS Resource Access Manager nella Guida per l'IAMutente.
Condizione
Le istruzioni sulle condizioni sono facoltative. Possono essere utilizzate per perfezionare ulteriormente le condizioni alle quali si applica la politica. AWS RAM supporta le seguenti chiavi di condizione:
-
aws:RequestTag/${TagKey}— Verifica se la richiesta di servizio include un tag con la chiave di tag specificata esiste e ha il valore specificato. -
aws:ResourceTag/${TagKey}— Verifica se alla risorsa su cui si basa la richiesta di servizio è associata un'etichetta con una chiave di tag specificata nella policy.La condizione di esempio seguente verifica che la risorsa a cui si fa riferimento nella richiesta di servizio abbia un tag allegato con il nome chiave «Owner» e il valore «Dev Team».
"Condition" : { "StringEquals" : { "aws:ResourceTag/Owner" : "Dev Team" } } -
aws:TagKeys— Speciifica le chiavi dei tag che devono essere utilizzate per creare o contrassegnare una condivisione di risorse. -
ram:AllowsExternalPrincipals— Verifica se la condivisione di risorse nella richiesta di servizio consente la condivisione con responsabili esterni. Un principale esterno è una persona Account AWS esterna all'organizzazione in AWS Organizations. Se il risultato è positivoFalse, puoi condividere questa condivisione di risorse con gli account solo della stessa organizzazione. -
ram:PermissionArn— Verifica se l'autorizzazione ARN specificata nella richiesta di servizio corrisponde a una ARN stringa specificata nella politica. -
ram:PermissionResourceType— Verifica se l'autorizzazione specificata nella richiesta di servizio è valida per il tipo di risorsa specificato nella politica. Specificate i tipi di risorse utilizzando il formato mostrato nell'elenco dei tipi di risorse condivisibili. -
ram:Principal— Verifica se il valore ARN del principale specificato nella richiesta di servizio corrisponde a una ARN stringa specificata nella politica. -
ram:RequestedAllowsExternalPrincipals— Verifica se la richiesta di servizio include ilallowExternalPrincipalsparametro e se il relativo argomento corrisponde al valore specificato nella politica. -
ram:RequestedResourceType— Verifica se il tipo di risorsa su cui si agisce corrisponde a una stringa di tipo di risorsa specificata nella politica. Specificate i tipi di risorse utilizzando il formato mostrato nell'elenco dei tipi di risorse condivisibili. -
ram:ResourceArn— Verifica se ARN la risorsa su cui si basa la richiesta di servizio corrisponde a ARN quella specificata nella politica. -
ram:ResourceShareName— Verifica se il nome della condivisione di risorse su cui agisce la richiesta di servizio corrisponde a una stringa specificata nella politica. -
ram:ShareOwnerAccountId— Verifica che il numero ID dell'account della condivisione di risorse su cui agisce la richiesta di servizio corrisponda a una stringa specificata nella politica.
