Panoramica sulla gestione delle autorizzazioni di accesso alle risorse IAM dell'Identity Center - AWS IAM Identity Center
IAMRisorse e operazioni dell'Identity CenterInformazioni sulla proprietà delle risorseGestione dell'accesso alle risorseSpecificazione degli elementi delle politiche: azioni, effetti, risorse e principiSpecifica delle condizioni in una policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Panoramica sulla gestione delle autorizzazioni di accesso alle risorse IAM dell'Identity Center

Ogni AWS risorsa è di proprietà di un Account AWS utente e le autorizzazioni per creare o accedere alle risorse sono regolate da politiche di autorizzazione. Per fornire l'accesso, un amministratore dell'account può aggiungere autorizzazioni alle IAM identità (ovvero utenti, gruppi e ruoli). Alcuni servizi (ad esempio AWS Lambda) supportano anche l'aggiunta di autorizzazioni alle risorse.

Nota

Un amministratore account (o un utente amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni, consulta le IAM best practice nella Guida per l'IAMutente.

IAMRisorse e operazioni dell'Identity Center

In IAM Identity Center, le risorse principali sono le istanze delle applicazioni, i profili e i set di autorizzazioni.

Informazioni sulla proprietà delle risorse

Il proprietario della risorsa è colui Account AWS che ha creato una risorsa. Cioè, il proprietario Account AWS della risorsa è l'entità principale (l'account, un utente o un IAM ruolo) che autentica la richiesta che crea la risorsa. Negli esempi seguenti viene illustrato il funzionamento:

  • Se Utente root dell'account AWS crea una risorsa IAM Identity Center, ad esempio un'istanza dell'applicazione o un set di autorizzazioni, l'utente Account AWS è il proprietario di quella risorsa.

  • Se crei un utente nel tuo AWS account e concedi a quell'utente le autorizzazioni per creare risorse IAM Identity Center, l'utente può quindi creare risorse IAM Identity Center. Tuttavia, l' AWS account a cui appartiene l'utente è proprietario delle risorse.

  • Se crei un IAM ruolo nel tuo AWS account con le autorizzazioni per creare risorse IAM Identity Center, chiunque possa assumere il ruolo può creare risorse IAM Identity Center. L'utente Account AWS, a cui appartiene il ruolo, possiede le risorse dell'IAMIdentity Center.

Gestione dell'accesso alle risorse

La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

Nota

Questa sezione illustra l'utilizzo IAM nel contesto di IAM Identity Center. Non fornisce informazioni dettagliate sul IAM servizio. Per la IAM documentazione completa, vedi Cos'èIAM? nella Guida IAM per l'utente. Per informazioni sulla sintassi e le descrizioni delle IAM politiche, vedere il riferimento alle AWS IAM politiche nella Guida per l'IAMutente.

Le politiche associate a un'IAMidentità vengono chiamate politiche basate sull'identità (politiche). IAM Le policy collegate a una risorsa sono denominate policy basate sulle risorse. IAMIdentity Center supporta solo politiche (politiche) basate sull'identità. IAM

Politiche basate sull'identità (politiche) IAM

È possibile aggiungere autorizzazioni alle identità. IAM Ad esempio, puoi eseguire le operazioni seguenti:

  • Allega una politica di autorizzazioni a un utente o a un gruppo del tuo Account AWS: un amministratore dell'account può utilizzare una politica di autorizzazioni associata a un particolare utente per concedere a quell'utente le autorizzazioni per aggiungere una risorsa dell'IAMIdentity Center, ad esempio una nuova applicazione.

  • Associare una politica di autorizzazioni a un ruolo (concedere autorizzazioni per più account): è possibile allegare una politica di autorizzazioni basata sull'identità a un ruolo per concedere autorizzazioni su più account. IAM

    Per ulteriori informazioni sull'utilizzo per delegare le autorizzazioni, consulta Gestione degli IAM accessi nella Guida per l'utente. IAM

La seguente policy di autorizzazione concede a un utente le autorizzazioni per eseguire tutte le operazioni che iniziano con List. Queste azioni mostrano informazioni su una risorsa di IAM Identity Center, ad esempio un'istanza dell'applicazione o un set di autorizzazioni. Nota che il carattere jolly (*) nell'Resourceelemento indica che le azioni sono consentite per tutte le risorse di IAM Identity Center di proprietà dell'account. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"sso:List*",
         "Resource":"*"
      }
   ]
}

Per ulteriori informazioni sull'utilizzo delle politiche basate sull'IAMidentità con Identity Center, vedere. Esempi di policy basate sull'identità per Identity Center IAM Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta Identità (utenti, gruppi e ruoli) nella Guida per l'utente. IAM

Policy basate su risorse

Anche altri servizi, ad esempio Amazon S3, supportano policy di autorizzazioni basate su risorse. Ad esempio, è possibile associare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket. IAMIdentity Center non supporta politiche basate sulle risorse.

Specificazione degli elementi delle politiche: azioni, effetti, risorse e principi

Per ogni risorsa IAM Identity Center (vediIAMRisorse e operazioni dell'Identity Center), il servizio definisce una serie di API operazioni. Per concedere le autorizzazioni per queste API operazioni, IAM Identity Center definisce una serie di azioni che è possibile specificare in una politica. Tieni presente che l'esecuzione di un'APIoperazione può richiedere autorizzazioni per più di un'azione.

Di seguito sono elencati gli elementi di base di una policy:

  • Risorsa: in una policy, utilizzi un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy.

  • Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, l'sso:DescribePermissionsPoliciesautorizzazione consente all'utente di eseguire il DescribePermissionsPolicies funzionamento dell'IAMIdentity Center.

  • Effetto: l'effetto prodotto quando l'utente richiede l'operazione specifica, ovvero un'autorizzazione o un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.

  • Principal: nelle politiche basate sull'identità (IAMpolitiche), l'utente a cui è associata la policy è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse). IAMIdentity Center non supporta politiche basate sulle risorse.

Per ulteriori informazioni sulla sintassi e sulle descrizioni delle IAM policy, consulta il riferimento alle AWS IAM policy nella Guida per l'utente. IAM

Specifica delle condizioni in una policy

Quando concedi le autorizzazioni, puoi utilizzare la sintassi della/e policy di accesso per specificare le condizioni necessarie per l'applicazione di una policy. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni sulla specificazione delle condizioni in un linguaggio di policy, vedere Condition nella Guida per l'IAMutente.

Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Non esistono chiavi di condizione specifiche per IAM Identity Center. Tuttavia, esistono chiavi di AWS condizione che è possibile utilizzare in modo appropriato. Per un elenco completo delle AWS chiavi, consulta la sezione Chiavi di condizione globali disponibili nella Guida IAM per l'utente.