Avviso di fine del supporto: il 10 settembre 2025, AWS
interromperà il supporto per. AWS RoboMaker Dopo il 10 settembre 2025, non potrai più accedere alla AWS RoboMaker console o alle risorse. AWS RoboMaker Per ulteriori informazioni sulla transizione AWS Batch verso l'esecuzione di simulazioni containerizzate, consulta questo post del blog.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Cosa sono le politiche?
Puoi controllare l'accesso AWS creando policy e collegandole a identità o AWS risorse IAM.
Nota
Per iniziare rapidamente, consulta le informazioni introduttive su Autenticazione e controllo degli accessi per AWS RoboMaker e poi consulta. Nozioni di base su IAM
Una policy è un oggetto AWS che, se associato a un'entità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste politiche quando un principale, ad esempio un utente, effettua una richiesta. Le autorizzazioni nelle policy determinano l'approvazione o il rifiuto della richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON.
Le policy IAM definiscono le autorizzazioni relative a un'operazione, a prescindere dal metodo utilizzato per eseguirla. Ad esempio, se una policy consente l'GetUserazione, un utente con quella policy può ottenere informazioni sull'utente dall' AWS Management Console API o dall' AWS API. AWS CLI Quando crei un utente IAM, puoi configurare l'utente per consentire l'accesso da console o programmatico. L'utente IAM può accedere alla console utilizzando un nome utente e una password. oppure può usare le chiavi di accesso per utilizzare l'API o l'interfaccia a riga di comando.
Per fornire l'accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
-
Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Create a role for a third-party identity provider (federation) della Guida per l'utente IAM.
-
Utenti IAM:
-
Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella pagina Create a role for an IAM user della Guida per l'utente IAM.
-
(Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente IAM.
-
Politiche non supportate con AWS RoboMaker
Le politiche basate sulle risorse e le liste di controllo degli accessi (ACLs) non sono supportate da. AWS RoboMaker Per ulteriori informazioni, consulta Tipi di policy nella IAM User Guide.
Policy basate sull'identità
Puoi collegare le policy alle identità IAM. Ad esempio, puoi eseguire le operazioni seguenti:
-
Allega una politica di autorizzazioni a un utente o a un gruppo del tuo account: per concedere a un utente l'autorizzazione a creare una AWS RoboMaker risorsa, ad esempio un'applicazione robotica, puoi allegare una politica di autorizzazioni a un utente o a un gruppo a cui appartiene l'utente.
-
Collega una policy di autorizzazione a un ruolo (assegnazione di autorizzazioni tra account): per concedere autorizzazioni tra più account, è possibile collegare una policy di autorizzazione basata su identità a un ruolo IAM. Ad esempio, l'amministratore dell'account A può creare un ruolo per concedere autorizzazioni su più account a un altro account (ad esempio, l' AWS account B) o a un servizio nel modo seguente: AWS
-
L'amministratore dell'account A crea un ruolo IAM e attribuisce una policy di autorizzazione al ruolo che concede le autorizzazioni per le risorse nell'account A.
-
L'amministratore dell'account A collega una policy di attendibilità al ruolo, identificando l'account B come principale per tale ruolo.
-
L'amministratore dell'account B può quindi delegare le autorizzazioni per assumere il ruolo a qualsiasi utente dell'account B. In questo modo gli utenti dell'account B possono creare o accedere alle risorse nell'account A. Il responsabile della politica di fiducia può anche essere un responsabile del AWS servizio se si desidera concedere a un servizio le autorizzazioni per assumere il ruolo. AWS
Per ulteriori informazioni sull'uso di IAM per delegare le autorizzazioni, consulta Gestione degli accessi nella Guida per l'utente di IAM.
-
Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta Identità (utenti, gruppi e ruoli) nella Guida per l'utente di IAM.
Classificazioni dei livelli di accesso alle politiche
Nella console IAM, le azioni sono raggruppate utilizzando le seguenti classificazioni dei livelli di accesso:
-
Elenco: autorizza a elencare le risorse all'interno del servizio per determinare se esiste un oggetto. Le operazioni con questo livello di accesso possono elencare gli oggetti, ma consentono di visualizzare i contenuti di una risorsa. La maggior parte delle operazioni all'interno del livello di accesso List (Elenco) non può essere eseguita su una risorsa specifica. Quando si crea una dichiarazione di policy con queste operazioni, è necessario specificare All resources (Tutte le risorse) (
"*"
). -
Lettura: consente di leggere ma non modificare i contenuti e gli attributi delle risorse del servizio. Ad esempio, le operazioni di Amazon S3
GetObject
eGetBucketLocation
hanno un livello di accesso Lettura. -
Scrittura: autorizza a creare, eliminare o modificare le risorse del servizio. Ad esempio, le azioni
CreateBucket
di Amazon S3PutObject
hanno ilDeleteBucket
livello di accesso Write. -
Gestione delle autorizzazioni: autorizza a concedere o modificare le autorizzazioni delle risorse nel servizio. Ad esempio, la maggior parte delle azioni IAM e AWS Organizations politiche hanno il livello di accesso alla gestione delle autorizzazioni.
Suggerimento
Per migliorare la sicurezza del tuo AWS account, limita o monitora regolarmente le politiche che includono la classificazione del livello di accesso alla gestione delle autorizzazioni.
-
Etichettatura: autorizza a creare, eliminare o modificare i tag allegati a una risorsa del servizio. Ad esempio, Amazon EC2
CreateTags
andDeleteTags
actions hanno il livello di accesso Tagging.