Avviso di fine del supporto: il 10 settembre 2025, AWS
interromperà il supporto per. AWS RoboMaker Dopo il 10 settembre 2025, non potrai più accedere alla AWS RoboMaker console o alle risorse. AWS RoboMaker Per ulteriori informazioni sulla transizione AWS Batch verso l'esecuzione di simulazioni containerizzate, consulta questo post del blog.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autenticazione e controllo degli accessi per AWS RoboMaker
AWS Identity and Access Management (IAM) è un AWS servizio che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS RoboMaker risorse. Gli amministratori consentono IAM di controllare chi è autenticato (ha effettuato l'accesso) e autorizzato (dispone delle autorizzazioni) a utilizzare le risorse. AWS RoboMaker IAMè una funzionalità del tuo AWS account offerta senza costi aggiuntivi.
Importante
Per iniziare rapidamente, consulta le informazioni introduttive in questa pagina, quindi consultaIniziare con IAM, e. Cosa sono le politiche?
Argomenti
Introduzione all'autorizzazione e al controllo degli accessi
AWS RoboMaker è integrato con AWS Identity and Access Management (IAM), che offre un'ampia gamma di funzionalità:
-
Crea utenti e gruppi nel tuo Account AWS.
-
Condividi facilmente AWS le tue risorse tra gli utenti del tuo Account AWS.
-
Assegna credenziali di sicurezza uniche a ciascun utente.
-
Controlla l'accesso di ogni utente ai servizi e alle risorse.
-
Ottieni una fattura unica per tutti gli utenti del tuo Account AWS.
Per ulteriori informazioni suIAM, consulta quanto segue:
Autorizzazioni richieste
Per utilizzare AWS RoboMaker o gestire l'autorizzazione e il controllo degli accessi per sé o per altri, è necessario disporre delle autorizzazioni corrette.
Autorizzazioni richieste per utilizzare la console AWS RoboMaker
Per accedere alla AWS RoboMaker console, devi disporre di un set minimo di autorizzazioni che ti consenta di elencare e visualizzare i dettagli sulle AWS RoboMaker risorse del tuo AWS account. Se crei una policy di autorizzazioni basate su identità più restrittiva delle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità associate a tale policy.
Per l'accesso in sola lettura alla AWS RoboMaker console, utilizza la policy. AWSRoboMakerReadOnlyAccess
Se un IAM utente desidera creare un lavoro di simulazione, è necessario concedere l'iam:PassRoleautorizzazione a tale utente. Per ulteriori informazioni sul trasferimento di un ruolo, vedere Concessione a un utente delle autorizzazioni per passare un ruolo a un servizio. AWS
Ad esempio, prova a collegare la policy seguente all'utente. Associa l'autorizzazione per creare un processo di simulazione:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/S3AndCloudWatchAccess" } ] }
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso il AWS CLI . AWS API Sono invece necessarie solo le autorizzazioni corrispondenti all'APIoperazione che si sta tentando di eseguire.
Autorizzazioni necessarie per visualizzare i mondi AWS RoboMaker nella console
Puoi concedere le autorizzazioni necessarie per visualizzare AWS RoboMaker i mondi nella AWS RoboMaker console allegando la seguente politica a un utente:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "robomaker: DescribeWorld" ], "Resource": "*", "Effect": "Allow" } ] }
Autorizzazioni necessarie per utilizzare gli strumenti di simulazione AWS RoboMaker
L'IAMutente o il ruolo utilizzato per creare la simulazione avrà automaticamente l'autorizzazione ad accedere agli strumenti di simulazione. Se si tratta di un utente o un ruolo diverso, è necessario il privilegio robomaker:CreateSimulationJob.
Autorizzazioni richieste per la gestione delle autenticazioni
Per gestire le tue credenziali, come la password, le chiavi di accesso e i dispositivi di autenticazione a più fattori (MFA), l'amministratore deve concederti le autorizzazioni richieste. Per visualizzare la policy che include questi autorizzazioni, consulta Consenti agli utenti di gestire autonomamente le proprie credenziali.
In qualità di AWS amministratore, hai bisogno dell'accesso completo a IAM in modo da poter creare e gestire utenti, gruppi, ruoli e politiche in. IAM È necessario utilizzare la politica AdministratorAccess
avvertimento
Solo un utente amministratore deve avere accesso completo a AWS. Chiunque associato a questa policy dispone dell'autorizzazione per la gestione completa dell'autenticazione e del controllo dell'accesso e per la modifica di tutte le risorse in AWS. Per scoprire come creare questo utente, consulta Crea il tuo utente IAM amministratore.
Autorizzazioni necessarie per il controllo degli accessi
Se l'amministratore ti ha fornito le credenziali IAM utente, ha allegato all'IAMutente delle politiche per controllare a quali risorse puoi accedere. Per visualizzare le politiche allegate all'utente in AWS Management Console, è necessario disporre delle seguenti autorizzazioni:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Sid": "ListUsersViewGroupsAndPolicies", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Se sono necessarie ulteriori autorizzazioni, chiedi all'amministratore di aggiornare le policy in modo da consentirti di accedere alle operazioni richieste.
Autorizzazioni necessarie per un lavoro di simulazione
Quando crei un lavoro di simulazione, deve avere un IAM ruolo con le autorizzazioni seguenti.
-
Sostituire
amzn-s3-demo-source-bucketcon il nome del bucket contenente il robot e i pacchetti di applicazioni di simulazione. -
Sostituisci
amzn-s3-demo-destination-bucketper indicare il bucket in cui AWS RoboMaker verranno scritti i file di output. -
Sostituire
account#con il numero di account.
I ECR lavori pubblici richiedono autorizzazioni separate, ad esempio ecr-public:GetAuthorizationTokensts:GetServiceBearerToken, e qualsiasi altra autorizzazione richiesta per l'implementazione finale. Per ulteriori informazioni, consulta le politiche relative ai repository pubblici nella Amazon ECR User Guide.
La politica deve essere associata a un ruolo con la seguente politica di fiducia.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "robomaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account#" // Account where the simulation job resource is created }, "StringEquals": { "aws:SourceArn": "arn:aws:robomaker:region:account#:simulation-job/*" } } } }
Le chiavi di condizione impediscono che un AWS servizio venga utilizzato come sostituto confuso durante le transazioni tra servizi. Vedi SourceAccounte SourceArnper ulteriori informazioni sulle chiavi di condizione.
Autorizzazioni necessarie per utilizzare i tag da un'ROSapplicazione o da una riga di ROS comando
È possibile etichettare, rimuovere i tag ed elencarli nel processo di simulazione dalla ROS riga di comando o nell'applicazione mentre è in esecuzioneROS. Devi avere un IAM ruolo con le autorizzazioni seguenti. Sostituire account#con il numero di account.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "robomaker:TagResource", "robomaker:UntagResource", "robomaker:ListTagsForResource", ], "Resource": [ "arn:aws:robomaker:*:account#:simulation-job*" ], "Effect": "Allow" } ] }
La policy deve essere collegata a un ruolo con la seguente policy di attendibilità:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "robomaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account#" // Account where the simulation job resource is created }, "StringEquals": { "aws:SourceArn": "arn:aws:robomaker:region:account#:simulation-job/*" } } } }
Le chiavi condizionali impediscono che un AWS servizio venga utilizzato come sostituto confuso durante le transazioni tra servizi. Vedi SourceAccounte SourceArnper ulteriori informazioni sulle chiavi di condizione.
Capire come AWS RoboMaker funziona con IAM
I servizi possono funzionare IAM in diversi modi:
-
Azioni: AWS RoboMaker supporta l'utilizzo delle azioni in una politica. Ciò consente a un amministratore di controllare se un'entità è in grado di completare un'operazione in AWS RoboMaker. Ad esempio, per consentire a un'entità di visualizzare una politica eseguendo l'
GetPolicyAWS APIoperazione, un amministratore deve allegare una politica che consenta l'iam:GetPolicyazione. -
Autorizzazioni a livello di risorsa: AWS RoboMaker non supporta le autorizzazioni a livello di risorsa. Le autorizzazioni a livello di risorsa consentono di specificare singole risorse nella politica. ARNs Poiché AWS RoboMaker non supporta questa funzionalità, è necessario selezionare Tutte le risorse nell'editor visivo delle politiche. In un documento di JSON policy, è necessario utilizzare
*l'Resourceelemento. -
Autorizzazione basata sui tag: AWS RoboMaker supporta i tag basati sull'autorizzazione. Questa caratteristica consente di usare i tag delle risorse nella condizione di una policy.
-
Credenziali temporanee: AWS RoboMaker supporta credenziali temporanee. Questa funzionalità consente di accedere con la federazione, assumere un IAM ruolo o assumere un ruolo tra più account. È possibile ottenere credenziali di sicurezza temporanee chiamando AWS STS API operazioni come AssumeRoleo. GetFederationToken
-
Ruoli collegati ai servizi: AWS RoboMaker supporta i ruoli di servizio. Questa caratteristica consente a un servizio di assumere un ruolo collegato al servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi vengono visualizzati nell'IAMaccount e sono di proprietà del servizio. Un IAM amministratore può visualizzare, ma non modificare le autorizzazioni per i ruoli collegati al servizio.
-
Ruoli di servizio: AWS RoboMaker supporta i ruoli di servizio. Questa caratteristica consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli di servizio vengono visualizzati nell'IAMaccount e sono di proprietà dell'account. Ciò significa che un IAM amministratore può modificare le autorizzazioni per questo ruolo. Tuttavia, questa operazione potrebbe pregiudicare la funzionalità del servizio.
Risoluzione dei problemi di autenticazione e controllo degli accessi
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori conIAM.
Argomenti
Non sono autorizzato a eseguire alcuna azione in AWS RoboMaker
Se ricevi un messaggio di errore AWS Management Console che ti dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore che ti ha fornito il nome utente e la password.
L'errore di esempio seguente si verifica quando un IAM utente denominato my-user-name tenta di utilizzare la console per eseguire l' CreateRobotApplication azione, ma non dispone delle autorizzazioni.
User: arn:aws:iam::123456789012:user/my-user-nameis not authorized to perform:aws-robomaker:CreateRobotApplicationon resource:my-example-robot-application
Per questo esempio, devi contattare l'amministratore per l'aggiornamento delle policy in modo che venga autorizzato l'accesso alla risorsa my-example-robot-application utilizzando l'operazione aws-robomaker:CreateRobotApplication.
Sono un amministratore e desidero consentire ad altri di accedere AWS RoboMaker
Per consentire ad altri di accedere AWS RoboMaker è necessario creare un'IAMentità (utente o ruolo) per la persona o l'applicazione che necessita dell'accesso. Tale utente o applicazione utilizzerà le credenziali dell'entità per accedere ad AWS. Dovrai quindi collegare all'entità una policy che conceda le autorizzazioni corrette in AWS RoboMaker.
Per iniziare, consulta Iniziare con IAM.
