Avviso di fine del supporto: il 10 settembre 2025, AWS
interromperà il supporto per. AWS RoboMaker Dopo il 10 settembre 2025, non potrai più accedere alla AWS RoboMaker console o alle risorse. AWS RoboMaker Per ulteriori informazioni sulla transizione AWS Batch verso l'esecuzione di simulazioni containerizzate, consulta questo post del blog.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Cosa sono le politiche?
Puoi controllare l'accesso AWS creando policy e associandole a IAM identità o AWS risorse.
Nota
Per iniziare rapidamente, consulta le informazioni introduttive su Autenticazione e controllo degli accessi per AWS RoboMaker e poi consulta. Iniziare con IAM
Una policy è un oggetto AWS che, se associato a un'entità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste politiche quando un principale, ad esempio un utente, effettua una richiesta. Le autorizzazioni nelle policy determinano l'approvazione o il rifiuto della richiesta. La maggior parte delle politiche viene archiviata AWS come JSON documenti.
IAMle politiche definiscono le autorizzazioni per un'azione indipendentemente dal metodo utilizzato per eseguire l'operazione. Ad esempio, se un criterio consente l'GetUserazione, un utente con tale criterio può ottenere informazioni sull'utente dal AWS Management Console AWS CLI, dal o dal AWS API. Quando si crea un IAM utente, è possibile configurarlo per consentire l'accesso da console o programmatico. L'IAMutente può accedere alla console utilizzando un nome utente e una password. Oppure possono utilizzare le chiavi di accesso per lavorare con CLI oAPI.
Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:
-
Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate in Creare un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'IAMutente.
-
IAMutenti:
-
Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate in Creare un ruolo per un IAM utente nella Guida per l'IAMutente.
-
(Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate in Aggiungere autorizzazioni a un utente (console) nella Guida per l'IAMutente.
-
Politiche non supportate con AWS RoboMaker
Le politiche basate sulle risorse e le liste di controllo degli accessi (ACLs) non sono supportate da. AWS RoboMakerPer ulteriori informazioni, consulta Tipi di policy nella Guida per l'IAMutente.
Policy basate su identità
È possibile allegare politiche alle IAM identità. Ad esempio, puoi eseguire le operazioni seguenti:
-
Allega una politica di autorizzazioni a un utente o a un gruppo del tuo account: per concedere a un utente le autorizzazioni per creare una AWS RoboMaker risorsa, ad esempio applicazioni robotiche, puoi allegare una politica di autorizzazioni a un utente o a un gruppo a cui appartiene l'utente.
-
Associare una politica di autorizzazioni a un ruolo (concedere autorizzazioni per più account): puoi allegare una politica di autorizzazioni basata sull'identità a un ruolo per concedere autorizzazioni su più account. IAM Ad esempio, l'amministratore dell'account A può creare un ruolo per concedere autorizzazioni su più account a un altro account (ad esempio, l'account B) o a un AWS servizio nel modo seguente: AWS
-
L'amministratore dell'account A crea un IAM ruolo e attribuisce una politica di autorizzazioni al ruolo che concede le autorizzazioni sulle risorse dell'account A.
-
L'amministratore dell'account A collega una policy di attendibilità al ruolo, identificando l'account B come principale per tale ruolo.
-
L'amministratore dell'account B può quindi delegare le autorizzazioni per assumere il ruolo a qualsiasi utente dell'account B. In questo modo gli utenti dell'account B possono creare o accedere alle risorse nell'account A. Il responsabile della politica di fiducia può anche essere un responsabile del servizio se si desidera concedere a un AWS servizio le autorizzazioni per assumere il ruolo. AWS
Per ulteriori informazioni sull'utilizzo per IAM delegare le autorizzazioni, vedere Gestione degli accessi nella Guida per l'utente. IAM
-
Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta Identità (utenti, gruppi e ruoli) nella Guida per l'utente. IAM
Classificazioni dei livelli di accesso alle policy
Nella IAM console, le azioni sono raggruppate utilizzando le seguenti classificazioni dei livelli di accesso:
-
Elenco: autorizza a elencare le risorse all'interno del servizio per determinare se esiste un oggetto. Le operazioni con questo livello di accesso possono elencare gli oggetti, ma consentono di visualizzare i contenuti di una risorsa. La maggior parte delle operazioni all'interno del livello di accesso List (Elenco) non può essere eseguita su una risorsa specifica. Quando si crea una dichiarazione di policy con queste operazioni, è necessario specificare All resources (Tutte le risorse) (
"*"
). -
Lettura: consente di leggere ma non modificare i contenuti e gli attributi delle risorse del servizio. Ad esempio, le operazioni di Amazon S3
GetObject
eGetBucketLocation
hanno un livello di accesso Lettura. -
Scrittura: autorizza a creare, eliminare o modificare le risorse del servizio. Ad esempio, le azioni
CreateBucket
di Amazon S3PutObject
hanno ilDeleteBucket
livello di accesso Write. -
Gestione delle autorizzazioni: autorizza a concedere o modificare le autorizzazioni delle risorse nel servizio. Ad esempio, la maggior parte delle azioni IAM e delle AWS Organizations policy hanno il livello di accesso alla gestione delle autorizzazioni.
Suggerimento
Per migliorare la sicurezza del tuo AWS account, limita o monitora regolarmente le politiche che includono la classificazione del livello di accesso alla gestione delle autorizzazioni.
-
Etichettatura: autorizza a creare, eliminare o modificare i tag allegati a una risorsa del servizio. Ad esempio, Amazon EC2
CreateTags
andDeleteTags
actions hanno il livello di accesso Tagging.