Cosa sono le politiche? - AWS RoboMaker
Policy basate sull'identità Classificazioni dei livelli di accesso alle politiche

Avviso di fine del supporto: il 10 settembre 2025, AWS interromperà il supporto per. AWS RoboMaker Dopo il 10 settembre 2025, non potrai più accedere alla AWS RoboMaker console o alle risorse. AWS RoboMaker Per ulteriori informazioni sulla transizione AWS Batch verso l'esecuzione di simulazioni containerizzate, consulta questo post del blog.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Cosa sono le politiche?

Puoi controllare l'accesso AWS creando policy e collegandole a identità o AWS risorse IAM.

Nota

Per iniziare rapidamente, consulta le informazioni introduttive su Autenticazione e controllo degli accessi per AWS RoboMaker e poi consulta. Nozioni di base su IAM

Una policy è un oggetto AWS che, se associato a un'entità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste politiche quando un principale, ad esempio un utente, effettua una richiesta. Le autorizzazioni nelle policy determinano l'approvazione o il rifiuto della richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON.

Le policy IAM definiscono le autorizzazioni relative a un'operazione, a prescindere dal metodo utilizzato per eseguirla. Ad esempio, se una policy consente l'GetUserazione, un utente con quella policy può ottenere informazioni sull'utente dall' AWS Management Console API o dall' AWS API. AWS CLI Quando crei un utente IAM, puoi configurare l'utente per consentire l'accesso da console o programmatico. L'utente IAM può accedere alla console utilizzando un nome utente e una password. oppure può usare le chiavi di accesso per utilizzare l'API o l'interfaccia a riga di comando.

Per fornire l'accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:

  • Utenti e gruppi in AWS IAM Identity Center:

    Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .

  • Utenti gestiti in IAM tramite un provider di identità:

    Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Create a role for a third-party identity provider (federation) della Guida per l'utente IAM.

  • Utenti IAM:

Politiche non supportate con AWS RoboMaker

Le politiche basate sulle risorse e le liste di controllo degli accessi (ACLs) non sono supportate da. AWS RoboMaker Per ulteriori informazioni, consulta Tipi di policy nella IAM User Guide.

Policy basate sull'identità

Puoi collegare le policy alle identità IAM. Ad esempio, puoi eseguire le operazioni seguenti:

  • Allega una politica di autorizzazioni a un utente o a un gruppo del tuo account: per concedere a un utente l'autorizzazione a creare una AWS RoboMaker risorsa, ad esempio un'applicazione robotica, puoi allegare una politica di autorizzazioni a un utente o a un gruppo a cui appartiene l'utente.

  • Collega una policy di autorizzazione a un ruolo (assegnazione di autorizzazioni tra account): per concedere autorizzazioni tra più account, è possibile collegare una policy di autorizzazione basata su identità a un ruolo IAM. Ad esempio, l'amministratore dell'account A può creare un ruolo per concedere autorizzazioni su più account a un altro account (ad esempio, l' AWS account B) o a un servizio nel modo seguente: AWS

    1. L'amministratore dell'account A crea un ruolo IAM e attribuisce una policy di autorizzazione al ruolo che concede le autorizzazioni per le risorse nell'account A.

    2. L'amministratore dell'account A collega una policy di attendibilità al ruolo, identificando l'account B come principale per tale ruolo.

    3. L'amministratore dell'account B può quindi delegare le autorizzazioni per assumere il ruolo a qualsiasi utente dell'account B. In questo modo gli utenti dell'account B possono creare o accedere alle risorse nell'account A. Il responsabile della politica di fiducia può anche essere un responsabile del AWS servizio se si desidera concedere a un servizio le autorizzazioni per assumere il ruolo. AWS

    Per ulteriori informazioni sull'uso di IAM per delegare le autorizzazioni, consulta Gestione degli accessi nella Guida per l'utente di IAM.

Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta Identità (utenti, gruppi e ruoli) nella Guida per l'utente di IAM.

Classificazioni dei livelli di accesso alle politiche

Nella console IAM, le azioni sono raggruppate utilizzando le seguenti classificazioni dei livelli di accesso:

  • Elenco: autorizza a elencare le risorse all'interno del servizio per determinare se esiste un oggetto. Le operazioni con questo livello di accesso possono elencare gli oggetti, ma consentono di visualizzare i contenuti di una risorsa. La maggior parte delle operazioni all'interno del livello di accesso List (Elenco) non può essere eseguita su una risorsa specifica. Quando si crea una dichiarazione di policy con queste operazioni, è necessario specificare All resources (Tutte le risorse) ("*").

  • Lettura: consente di leggere ma non modificare i contenuti e gli attributi delle risorse del servizio. Ad esempio, le operazioni di Amazon S3 GetObject e GetBucketLocation hanno un livello di accesso Lettura.

  • Scrittura: autorizza a creare, eliminare o modificare le risorse del servizio. Ad esempio, le azioni CreateBucket di Amazon S3 PutObject hanno il DeleteBucket livello di accesso Write.

  • Gestione delle autorizzazioni: autorizza a concedere o modificare le autorizzazioni delle risorse nel servizio. Ad esempio, la maggior parte delle azioni IAM e AWS Organizations politiche hanno il livello di accesso alla gestione delle autorizzazioni.

    Suggerimento

    Per migliorare la sicurezza del tuo AWS account, limita o monitora regolarmente le politiche che includono la classificazione del livello di accesso alla gestione delle autorizzazioni.

  • Etichettatura: autorizza a creare, eliminare o modificare i tag allegati a una risorsa del servizio. Ad esempio, Amazon EC2 CreateTags and DeleteTags actions hanno il livello di accesso Tagging.