Esempi di policy di Esploratore di risorse AWS basate su identità - Esploratore di risorse AWS
Best practice delle policyUtilizzo della consoleConcessione dell'accesso a una visualizzazione basata su tagConcedere l'accesso per creare una vista basata sui tagConsentire ai responsabili di visualizzare le loro autorizzazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy di Esploratore di risorse AWS basate su identità

Per impostazione predefinita, i responsabiliAWS Identity and Access Management (IAM), ad esempio ruoli, gruppi e utenti, non dispongono dell'autorizzazione per creare o modificare risorse Resource Explorer. Inoltre, non possono eseguire attività utilizzandoAWS Management Console,AWS Command Line Interface (AWS CLI) oAWS l'API. Un amministratore IAM deve creare policy IAM che concedono ai responsabili l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. Quindi, l'amministratore deve assegnare queste policy ai responsabili IAM che richiedono tali autorizzazioni.

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

  • Utenti e gruppi in AWS IAM Identity Center:

    Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center.

  • Utenti gestiti in IAM tramite un provider di identità:

    Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Creating a role for a third-party identity provider (federation) (Creazione di un ruolo per un provider di identità di terze parti [federazione]) nella Guida per l'utente di IAM.

  • Utenti IAM:

    • Crea un ruolo che l'utente possa assumere. Per istruzioni, consulta la pagina Creating a role for an IAM user (Creazione di un ruolo per un utente IAM) nella Guida per l'utente di IAM.

    • (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente di IAM.

Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta Creazione di policy nella scheda JSON nella Guida per l'utente IAM.

Best practice delle policy

Le policy basate su identità determinano se qualcuno può creare, accedere o eliminare risorse Resource Explorer nell'account. Queste operazioni possono comportare costi aggiuntivi per il proprio Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e suggerimenti:

  • Nozioni di base sulle policy gestite da AWS e passaggio alle autorizzazioni con privilegio minimo: per le informazioni di base su come concedere autorizzazioni a utenti e carichi di lavoro, utilizza le policy gestite da AWS che concedono le autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo Account AWS. Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente di AWS specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta Policy gestite da AWS o Policy gestite da AWS per le funzioni di processo nella Guida per l'utente di IAM.

  • Applica le autorizzazioni con privilegio minimo: quando imposti le autorizzazioni con le policy IAM, concedi solo le autorizzazioni richieste per eseguire un'attività. Puoi farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo di IAM per applicare le autorizzazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM.

  • Condizioni d'uso nelle policy IAM per limitare ulteriormente l'accesso: per limitare l'accesso a operazioni e risorse puoi aggiungere una condizione alle tue policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi inoltre utilizzare le condizioni per concedere l'accesso alle operazioni di servizio, ma solo se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l'utente IAM.

  • Utilizzo di IAM Access Analyzer per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio della policy IAM (JSON) e alle best practice di IAM. IAM Access Analyzer fornisce oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per ulteriori informazioni, consulta Convalida delle policy per IAM Access Analyzer nella Guida per l'utente di IAM.

  • Richiesta dell'autenticazione a più fattori (MFA): se hai uno scenario che richiede utenti IAM o utenti root nel tuo Account AWS, attiva MFA per una maggiore sicurezza. Per richiedere l'AMF quando vengono chiamate le operazioni API, aggiungi le condizioni MFA alle policy. Per ulteriori informazioni, consulta Configurazione dell'accesso alle API protetto con MFA nella Guida per l'utente di IAM.

Per maggiori informazioni sulle best practice in IAM, consulta Best practice di sicurezza in IAM nella Guida per l'utente di IAM.

Utilizzo della console Resource Explorer

Per eseguire ricerche nellaEsploratore di risorse AWS console, è necessario che i responsabili dispongano di un set di autorizzazioni minimo. Se non crei una policy basata su identità con le autorizzazioni minime richieste, la console Resource Explorer non funziona nel modo previsto per i responsabili dell'account.

È possibile utilizzare la policyAWS gestita denominataAWSResourceExplorerReadOnlyAccess per concedere la possibilità di utilizzare la console Resource Explorer per effettuare ricerche utilizzando qualsiasi visualizzazione dell'account. Per concedere le autorizzazioni per la ricerca con una sola visualizzazioneConcessione dell'accesso alle visualizzazioni di Resource Explorer per la ricerca, vedere e gli esempi nelle due sezioni seguenti.

Non sono necessarie le autorizzazioni minime della console per i principali che effettuano chiamate solo alla AWS CLI o all'API AWS. Puoi invece scegliere di concedere l'accesso solo alle azioni che corrispondono alle operazioni API che i responsabili devono eseguire.

Concessione dell'accesso a una visualizzazione basata su tag

In questo esempio, desideri concedere l'accesso a una visualizzazione Resource Explorer nell'account.Account AWS Per fare ciò, assegni le policy basate sull'identità IAM ai responsabili che desideri poter cercare in Resource Explorer. Il seguente esempio di policy IAM concede l'accesso a qualsiasi richiesta in cui ilSearch-Group tag allegato al committente chiamante corrisponde esattamente al valore dello stesso tag allegato alla vista utilizzata nella richiesta.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:GetView",
                "resource-explorer-2:Search"
            ],
            "Resource": "arn:aws:resource-explorer-2:*:*:view/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Search-Group": "${aws:PrincipalTag/Search-Group}"}
            }
        }
    ]
}

Puoi assegnare questa policy ai responsabili IAM nel tuo account. Se un utente principale con il tagSearch-Group=A tenta di effettuare una ricerca utilizzando una vista Resource Explorer, anche la vista deve essere contrassegnataSearch-Group=A. In caso contrario, al preside viene negato l'accesso. La chiave di tag di condizione Search-Group corrisponde a Search-group e search-group perché i nomi delle chiavi di condizione non effettuano la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta Elementi delle policy JSON IAM: Condition nella Guida per l'utente IAM.

Importante

Per visualizzare le risorse nei risultati di ricerca unificati inAWS Management Console, i responsabili devono disporreSearch delle autorizzazioniGetView e per la visualizzazione predefinita della visualizzazioneRegione AWS che contiene l'indice aggregatore. Il modo più semplice per concedere tali autorizzazioni consiste nel lasciare l'autorizzazione predefinita basata sulle risorse che è stata allegata alla visualizzazione quando hai attivato Resource Explorer utilizzando la configurazione rapida o avanzata.

In questo scenario, potresti prendere in considerazione l'impostazione della visualizzazione predefinita per filtrare le risorse sensibili e quindi l'impostazione di visualizzazioni aggiuntive a cui concedere l'accesso basato su tag, come descritto nell'esempio precedente.

Concedere l'accesso per creare una vista basata sui tag

In questo esempio, si desidera consentire solo ai principali con lo stesso tag dell'indice di poter creare visualizzazioni nell'oggettoRegione AWS che contiene l'indice. A tale scopo, crea autorizzazioni basate sull'identità per consentire ai responsabili di effettuare ricerche con le viste.

Ora puoi concedere le autorizzazioni per creare una visualizzazione. È possibile aggiungere le dichiarazioni in questo esempio alla stessa politica di autorizzazione utilizzata per concedereSearch le autorizzazioni ai responsabili appropriati. Le azioni sono consentite o negate in base ai tag associati ai principali che chiamano le operazioni e l'indice a cui deve essere associata la vista. Il seguente esempio di policy IAM nega qualsiasi richiesta di creazione di una vista quando il valore delAllow-Create-View tag associato al principale del chiamante non corrisponde esattamente al valore dello stesso tag allegato all'indice nella Regione in cui è stata creata la vista.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "resource-explorer-2:CreateView",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {"aws:ResourceTag/Allow-Create-View": "${aws:PrincipalTag/Allow-Create-View}"}
            }
        }
    ]
}

Consentire ai responsabili di visualizzare le loro autorizzazioni

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono allegate alla relativa identità utente. La policy include le autorizzazioni per completare questa operazione sulla console o a livello di programmazione utilizzando la AWS CLI o l'API AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}