Concessione dell'accesso alle visualizzazioni di Resource Explorer per la ricerca - Esploratore di risorse AWS
Utilizzo dell'autorizzazione basata sui tag per controllare l'accesso alle visualizzazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concessione dell'accesso alle visualizzazioni di Resource Explorer per la ricerca

Prima che gli utenti possano effettuare una ricerca con una nuova visualizzazione, è necessario concedere l'accesso alleEsploratore di risorse AWS visualizzazioni. A tale scopo, utilizza una politica di autorizzazione basata sull'identità per i responsabiliAWS Identity and Access Management (IAM) che devono eseguire la ricerca con la vista.

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

  • Utenti e gruppi in AWS IAM Identity Center:

    Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center.

  • Utenti gestiti in IAM tramite un provider di identità:

    Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Creating a role for a third-party identity provider (federation) (Creazione di un ruolo per un provider di identità di terze parti [federazione]) nella Guida per l'utente di IAM.

  • Utenti IAM:

    • Crea un ruolo che l'utente possa assumere. Per istruzioni, consulta la pagina Creating a role for an IAM user (Creazione di un ruolo per un utente IAM) nella Guida per l'utente di IAM.

    • (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente di IAM.

Puoi utilizzare uno dei seguenti metodi:

  • Utilizza una politicaAWS gestita esistente. Resource Explorer fornisce diverse politicheAWS gestite predefinite da utilizzare. Per i dettagli di tutte le politicheAWS gestite disponibili, vedereAWS politiche gestite per Esploratore di risorse AWS.

    Ad esempio, è possibile utilizzare laAWSResourceExplorerReadOnlyAccess politica per concedere autorizzazioni di ricerca a tutte le visualizzazioni dell'account.

  • Crea la tua politica di autorizzazione e assegnala ai responsabili. Se crei la tua politica, puoi limitare l'accesso a una singola vista o a un sottoinsieme delle viste disponibili specificando il nome della risorsa Amazon (ARN) di ciascuna vista nell'Resourceelemento della dichiarazione sulla politica. Ad esempio, è possibile utilizzare la seguente politica di esempio per concedere al committente la possibilità di effettuare ricerche utilizzando solo quella vista.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView"
            ],
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyTestView/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
        }
    ]
}

    Usa la console IAM per creare le politiche di autorizzazione e utilizzarle con i responsabili che necessitano di tali autorizzazioni. Per ulteriori informazioni sui criteri di autorizzazione IAM, consulta i seguenti argomenti:

Utilizzo dell'autorizzazione basata sui tag per controllare l'accesso alle visualizzazioni

Se scegli di creare più viste con filtri che restituiscono risultati solo con determinate risorse, potresti voler limitare l'accesso a tali viste solo ai responsabili che devono visualizzare tali risorse. Puoi fornire questo tipo di sicurezza per le visualizzazioni del tuo account utilizzando una strategia di controllo degli accessi basata sugli attributi (ABAC). Gli attributi utilizzati da ABAC sono i tag associati sia ai responsabili che tentano di eseguire operazioniAWS sia alle risorse a cui tentano di accedere.

ABAC utilizza le politiche di autorizzazione IAM standard allegate ai committenti. Le politiche utilizzanoCondition gli elementi delle dichiarazioni politiche per consentire l'accesso solo quando sia i tag allegati al committente richiedente che i tag allegati alla risorsa interessata soddisfano i requisiti della politica.

Ad esempio, puoi allegare un tag"Environment" = "Production" a tutte leAWS risorse che supportano l'applicazione di produzione dell'azienda. Per garantire che solo i responsabili autorizzati ad accedere all'ambiente di produzione possano vedere tali risorse, crea una vista Resource Explorer che utilizzi quel tag come filtro. Quindi, per limitare l'accesso alla vista solo ai principali principali appropriati, si concedono le autorizzazioni utilizzando una politica con una condizione simile ai seguenti elementi di esempio.

{
    "Effect": "Allow",
    "Action": [ "service:Action1", "service:Action2" ],
    "Resource": "arn:aws:arn-of-a-resource",
    "Condition": { "StringEquals": {"aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}"} }
}

CiòCondition nell'esempio precedente specifica che la richiesta è consentita solo se ilEnvironment tag allegato al committente che effettua la richiesta corrisponde alEnvironment tag allegato alla risorsa specificata nella richiesta. Se questi due tag non corrispondono esattamente o se uno dei tag è mancante, Resource Explorer nega la richiesta.

Importante

Per utilizzare con successo ABAC per proteggere l'accesso alle tue risorse, devi prima limitare l'accesso alla possibilità di aggiungere o modificare i tag allegati ai tuoi presidi e alle tue risorse. Se un utente può aggiungere o modificare i tag associati a unAWS principale o a una risorsa, tale utente può influire sulle autorizzazioni controllate da tali tag. In un ambiente ABAC sicuro, solo gli amministratori di sicurezza approvati hanno il permesso di aggiungere o modificare i tag allegati ai responsabili e solo gli amministratori della sicurezza e i proprietari delle risorse possono aggiungere o modificare i tag allegati alle risorse.

Per ulteriori informazioni su come implementare con successo una strategia ABAC, consulta i seguenti argomenti nella Guida per l'utente di IAM:

Dopo aver installato l'infrastruttura ABAC necessaria, puoi utilizzare start using tag per controllare chi può effettuare ricerche utilizzando le visualizzazioni Resource Explorer del tuo account. Per esempio le policy che illustrano il principio, consulta i seguenti esempi di policy di autorizzazione: