Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione delle autorizzazioni inAWS RAM
InAWS RAM, esistono due tipi di autorizzazioni gestite, autorizzazioniAWS gestite e autorizzazioni gestite dal cliente.
Le autorizzazioni gestite definiscono il modo in cui un consumatore può agire sulle risorse in una condivisione di risorse. Quando si crea una condivisione di risorse, è necessario specificare quale autorizzazione gestita utilizzare per ogni tipo di risorsa incluso nella condivisione di risorse. Il modello di policy nell'autorizzazione gestita contiene tutto il necessario per una politica basata sulle risorse tranne il principale e la risorsa. L'Amazon Resource Name (ARN) della risorsa e l'ARN dei principali associati alla condivisione di risorse completano gli elementi di una politica basata sulle risorse. AWS RAMquindi crea la politica basata sulle risorse che associa a tutte le risorse in quella condivisione di risorse.
Ogni autorizzazione gestita può avere una o più versioni. Una versione è designata come versione predefinita per tale autorizzazione gestita. Occasionalmente,AWS aggiorna un'autorizzazioneAWS gestita per un tipo di risorsa creando una nuova versione e designandola come predefinita. Puoi anche aggiornare le autorizzazioni gestite dai clienti creando nuove versioni. Le autorizzazioni gestite già associate a una condivisione di risorse non vengono aggiornate automaticamente. LaAWS RAM console indica quando è disponibile una nuova versione predefinita ed è possibile rivedere le modifiche nella nuova versione predefinita rispetto a quella precedente.
Nota
Ti consigliamo di eseguire l'aggiornamento alla nuova versione dell'autorizzazioneAWS gestita il prima possibile. Questi aggiornamenti in genere aggiungono il supporto per i nuovi o gli aggiornamentiServizi AWS che possono utilizzare per condividere altri tipi di risorseAWS RAM. Una nuova versione predefinita può anche risolvere e correggere le vulnerabilità di sicurezza.
Importante
È possibile allegare la versione predefinita dell'autorizzazione gestita solo a una nuova condivisione di risorse.
Puoi recuperare l'elenco delle autorizzazioni gestite disponibili in qualsiasi momento. Per ulteriori informazioni, consulta Visualizzazione delle autorizzazioni gestite.
Argomenti
- Visualizzazione delle autorizzazioni gestite
- Creazione e utilizzo delle autorizzazioni gestite dai clienti inAWS RAM
- Aggiornamento delle autorizzazioniAWS gestite a una versione più recentissima
- Considerazioni sull'utilizzo delle autorizzazioni gestite dal cliente inAWS RAM
- Come funzionano le autorizzazioni gestite
- Tipi di autorizzazioni gestite
Come funzionano le autorizzazioni gestite
Per una rapida panoramica, guarda il video seguente che dimostra come le autorizzazioni gestite consentono di applicare la best practice di accesso con privilegi minimi alleAWS risorse.
In questo video viene illustrato come creare e associare le autorizzazioni gestite dai clienti seguendo la best practice dei privilegi minimi. Per ulteriori informazioni, consultare Creazione e utilizzo delle autorizzazioni gestite dai clienti inAWS RAM.
Quando si crea una condivisione di risorse, si associa un'autorizzazioneAWS gestita a ogni tipo di risorsa che si desidera condividere. Se l'autorizzazione gestita ha più di una versione, la nuova condivisione di risorse utilizza sempre la versione designata come predefinita.
Dopo aver creato la condivisione di risorse,AWS RAM utilizza l'autorizzazione gestita per generare una politica basata sulle risorse allegata a ciascuna risorsa condivisa.
Il modello di policy in un'autorizzazione gestita specifica quanto segue:
- Effetto
-
Indica se eseguire un'operazione su una risorsa condivisa
AllowoDenyl'autorizzazione principale. Per un'autorizzazione gestita, l'effetto è sempreAllow. Per ulteriori informazioni, consulta Effect nella Guida per l'utente IAM. - Operazione
-
L'elenco delle operazioni che il committente è autorizzato a eseguire. Può trattarsi di un'azione inAWS Management Console o di un'operazione inAWS Command Line Interface (AWS CLI) o nell'AWSAPI. Le azioni sono definite dall'AWSautorizzazione. Per ulteriori informazioni, consulta Azione nella Guida per l'utente IAM.
- Condition
-
Quando e come un preside può interagire con una risorsa in una condivisione di risorse. Le condizioni aggiungono un ulteriore livello di sicurezza alle risorse condivise. Usali per limitare l'accesso alle tue risorse condivise per azioni sensibili. Ad esempio, è possibile includere condizioni che richiedono che le azioni provengano da uno specifico intervallo di indirizzi IP aziendali o che le azioni devono essere eseguite da utenti autenticati con l'autenticazione a più fattori. Per ulteriori informazioni sulle condizioni, consulta Chiavi di contesto delle condizioniAWS globali nella Guida per l'utente IAM. Per ulteriori informazioni sulle condizioni specifiche dei servizi, consulta Operazioni, risorse e chiavi di condizione per iAWS servizi in Service Authorization Reference.
Nota
Le condizioni sono disponibili per le autorizzazioni gestite dai clienti e i tipi di risorse supportati per le autorizzazioniAWS gestite.
Per informazioni sulle condizioni che sono escluse dall'uso con autorizzazioni gestite dal cliente, vedereConsiderazioni sull'utilizzo delle autorizzazioni gestite dal cliente inAWS RAM.
Tipi di autorizzazioni gestite
Quando si crea una condivisione di risorse, si sceglie un'autorizzazione gestita da associare a ogni tipo di risorsa che si include nella condivisione di risorse. AWSle autorizzazioni gestite sono definite dal servizioAWS proprietario delle risorse e gestite daAWS RAM. Tu crei e gestisci le tue autorizzazioni gestite dai clienti.
-
AWSautorizzazione gestita: è disponibile un'autorizzazione gestita predefinita per ogni tipo di risorsaAWS RAM supportata. L'autorizzazione gestita predefinita è quella utilizzata per un tipo di risorsa a meno che non si scelga esplicitamente una delle autorizzazioni gestite aggiuntive. L'autorizzazione gestita predefinita è destinata a supportare gli scenari più comuni dei clienti per la condivisione di risorse del tipo specificato. L'autorizzazione gestita predefinita consente ai responsabili di eseguire azioni specifiche definite dal servizio per il tipo di risorsa. Ad esempio, per il tipo di
ec2:Subnetrisorsa Amazon VPC, l'autorizzazione gestita predefinita consente ai committenti di eseguire le seguenti azioni:-
ec2:RunInstances -
ec2:CreateNetworkInterface -
ec2:DescribeSubnets
I nomi delle autorizzazioniAWS gestite predefinite utilizzano il seguente formato:
AWSRAMDefaultPermission. Ad esempio, per il tipo diShareableResourceTypeec2:Subnetrisorsa, il nome dell'autorizzazioneAWS gestita predefinita èAWSRAMDefaultPermissionSubnet.Nota
L'autorizzazione gestita predefinita è separata dalla versione predefinita di un'autorizzazione gestita. Tutte le autorizzazioni gestite, predefinite o una delle autorizzazioni gestite aggiuntive supportate da alcuni tipi di risorse, sono autorizzazioni separate e complete con effetti e azioni diversi che supportano diversi scenari di condivisione, ad esempio l'accesso in lettura e scrittura rispetto all'accesso di sola lettura. Qualsiasi autorizzazione gestita, indipendentemente dal fatto cheAWS sia gestita dal cliente, può avere più versioni, una delle quali è la versione predefinita per tale autorizzazione.
Ad esempio, quando si condivide un tipo di risorsa che supporta sia l'accesso completo (
ReadeWrite) l'autorizzazione gestita sia un'autorizzazione gestita di sola lettura, è possibile creare una condivisione di risorse per l'amministratore con l'autorizzazione gestita ad accesso completo. È quindi possibile creare una condivisione di risorse separata per altri sviluppatori utilizzando l'autorizzazione gestita di sola lettura per seguire la pratica della concessione del privilegio minimo.Nota
Tutti iAWS servizi che funzionano conAWS RAM supportano almeno un'autorizzazione gestita predefinita. È possibile visualizzare le autorizzazioni disponibili per ciascuna nellaServizio AWS pagina della libreria delle autorizzazioni gestite
. Questa pagina fornisce dettagli su ogni autorizzazione gestita disponibile, comprese eventuali condivisioni di risorse attualmente associate all'autorizzazione e se è consentita la condivisione con responsabili esterni, se applicabile. Per ulteriori informazioni, consulta Visualizzazione delle autorizzazioni gestite. Per i servizi che non supportano autorizzazioni gestite aggiuntive, quando si crea una condivisione di risorse, si applicaAWS RAM automaticamente l'autorizzazione predefinita definita per il tipo di risorsa scelto. Se supportato, avrai anche la possibilità di scegliere Crea autorizzazione gestita dal cliente nella pagina Associa autorizzazioni gestite.
-
-
Autorizzazioni gestite dal cliente: le autorizzazioni gestite dal cliente sono autorizzazioni gestite che crei e gestisci specificando con precisione quali azioni possono essere eseguite e in quali condizioni con l'utilizzo condiviso delle risorseAWS RAM. Ad esempio, desideri limitare l'accesso in lettura per i tuoi pool Amazon VPC IP Address Manager (IPAM), che ti aiutano a gestire i tuoi indirizzi IP su larga scala. Puoi creare autorizzazioni gestite dai clienti per consentire agli sviluppatori di assegnare indirizzi IP, ma non visualizzare l'intervallo di indirizzi IP assegnati da altri account sviluppatore. Puoi seguire la best practice dei privilegi minimi, concedendo solo le autorizzazioni richieste per eseguire attività su risorse condivise.
