Crea un set di autorizzazioni per le funzioni lavorative - AWS IAM Identity Center
Crea un set di autorizzazioni che applichi le autorizzazioni con privilegi minimi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un set di autorizzazioni per le funzioni lavorative

I set di autorizzazioni sono archiviati in IAM Identity Center e definiscono il livello di accesso di utenti e gruppi a un Account AWS. Il primo set di autorizzazioni creato è il set di autorizzazioni amministrative. Se ne hai completato uno, IAMTutorial sui sorgenti di Identity Center Identity hai già creato il set di autorizzazioni amministrative. Utilizzare questa procedura per creare set di autorizzazioni come descritto nell'argomento Politiche AWS gestite per le funzioni lavorative della Guida per l'IAMutente.

  1. Effettuate una delle seguenti operazioni per accedere a AWS Management Console.

    • Nuovo utente AWS (utente root): accedi come proprietario dell'account scegliendo Utente root e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.

    • Già in uso AWS (IAMcredenziali): accedi utilizzando IAM le tue credenziali con autorizzazioni amministrative.

  2. Apri la console IAMIdentity Center.

  3. Nel riquadro di navigazione di IAM Identity Center, in Autorizzazioni multiaccount, scegli Set di autorizzazioni.

  4. Scegli Create permission set (Crea set di autorizzazioni).

    1. Nella pagina Seleziona il tipo di set di autorizzazioni, nella sezione Tipo di set di autorizzazioni, scegli Set di autorizzazioni predefinito.

    2. Nella sezione Politica per il set di autorizzazioni predefinito, scegli una delle seguenti opzioni:

      • AdministratorAccess

      • Fatturazione

      • DatabaseAdministrator

      • DataScientist

      • NetworkAdministrator

      • PowerUserAccess

      • ReadOnlyAccess

      • SecurityAudit

      • SupportUser

      • SystemAdministrator

      • ViewOnlyAccess

  5. Nella pagina Specificare i dettagli del set di autorizzazioni, mantieni le impostazioni predefinite e scegli Avanti. L'impostazione predefinita limita la sessione a un'ora.

  6. Nella pagina Rivedi e crea, conferma quanto segue:

    1. Per il passaggio 1: Seleziona il tipo di set di autorizzazioni, visualizza il tipo di set di autorizzazioni scelto.

    2. Per la Fase 2: Definizione dei dettagli del set di autorizzazioni, visualizza il nome del set di autorizzazioni scelto.

    3. Scegli Create (Crea) .

Crea un set di autorizzazioni che applichi le autorizzazioni con privilegi minimi

Per seguire la procedura ottimale di applicazione delle autorizzazioni con privilegi minimi, dopo aver creato un set di autorizzazioni amministrative, è necessario creare un set di autorizzazioni più restrittivo e assegnarlo a uno o più utenti. I set di autorizzazioni creati nella procedura precedente forniscono un punto di partenza per valutare la quantità di accesso alle risorse di cui gli utenti hanno bisogno. Per passare alle autorizzazioni con privilegi minimi, è possibile eseguire IAM Access Analyzer per monitorare i principali con policy gestite. AWS Dopo aver appreso quali autorizzazioni stanno utilizzando, puoi scrivere una policy personalizzata o generare una policy con solo le autorizzazioni richieste per il tuo team.

Con IAM Identity Center, puoi assegnare più set di autorizzazioni allo stesso utente. All'utente amministrativo devono inoltre essere assegnati set di autorizzazioni aggiuntivi e più restrittivi. In questo modo, possono accedere al tuo solo Account AWS con le autorizzazioni richieste, anziché utilizzare sempre le proprie autorizzazioni amministrative.

Ad esempio, se sei uno sviluppatore, dopo aver creato il tuo utente amministrativo in IAM Identity Center, puoi creare un nuovo set di autorizzazioni che concede le autorizzazioni e quindi assegnare tale set di PowerUserAccess autorizzazioni a te stesso. A differenza del set di autorizzazioni amministrative, che utilizza AdministratorAccess le autorizzazioni, il set di autorizzazioni non consente la gestione di PowerUserAccess IAM utenti e gruppi. Quando accedi al portale di AWS accesso per accedere al tuo AWS account, puoi scegliere PowerUserAccess invece di AdministratorAccess eseguire attività di sviluppo nell'account.

Tieni a mente le seguenti considerazioni:

  • Per iniziare rapidamente a creare un set di autorizzazioni più restrittivo, utilizza un set di autorizzazioni predefinito anziché un set di autorizzazioni personalizzato.

    Con un set di autorizzazioni predefinito, che utilizza autorizzazioni predefinite, puoi scegliere una singola politica AWS gestita da un elenco di politiche disponibili. Ogni politica concede un livello specifico di accesso a AWS servizi e risorse o autorizzazioni per una funzione lavorativa comune. Per informazioni su ciascuna di queste politiche, consulta le politiche AWS gestite per le funzioni lavorative.

  • È possibile configurare la durata della sessione per un set di autorizzazioni per controllare il periodo di tempo in cui un utente è connesso a un Account AWS.

    Quando gli utenti si federano Account AWS e utilizzano la console di AWS gestione o l'interfaccia a riga di AWS comando (AWS CLI), IAM Identity Center utilizza l'impostazione della durata della sessione nel set di autorizzazioni per controllare la durata della sessione. Per impostazione predefinita, il valore della durata della sessione, che determina il periodo di tempo in cui un utente può accedere e Account AWS prima AWS di disconnetterlo dalla sessione, è impostato su un'ora. È possibile specificare un valore massimo di 12 ore. Per ulteriori informazioni, consulta Imposta la durata della sessione per Account AWS.

  • È inoltre possibile configurare la durata della sessione del portale di AWS accesso per controllare il periodo di tempo in cui un utente della forza lavoro è connesso al portale.

    Per impostazione predefinita, il valore di Durata massima della sessione, che determina il periodo di tempo in cui un utente della forza lavoro può accedere al portale di AWS accesso prima di dover effettuare nuovamente l'autenticazione, è di otto ore. È possibile specificare un valore massimo di 90 giorni. Per ulteriori informazioni, consulta Configura la durata della sessione del portale di AWS accesso e delle applicazioni integrate di IAM Identity Center.

  • Quando accedi al portale di AWS accesso, scegli il ruolo che fornisce le autorizzazioni con privilegi minimi.

    Ogni set di autorizzazioni creato e assegnato all'utente viene visualizzato come ruolo disponibile nel portale di accesso. AWS Quando accedi al portale come utente, scegli il ruolo che corrisponde al set di autorizzazioni più restrittivo che puoi utilizzare per eseguire attività nell'account, anziché. AdministratorAccess

  • È possibile aggiungere altri utenti a IAM Identity Center e assegnare set di autorizzazioni nuovi o esistenti a tali utenti.

    Per informazioni, consulta,Assegna Account AWS l'accesso ai gruppi.