AWS Systems Manager esempi di politiche basate sull'identità - AWS Systems Manager
Best practice per le policyUtilizzo della consoleConsentire agli utenti di visualizzare le loro autorizzazioniEsempi di policy gestite dal clienteVisualizzazione Systems Manager documenti basati su tag

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Systems Manager esempi di politiche basate sull'identità

Per impostazione predefinita, AWS Identity and Access Management (IAM) le entità (utenti e ruoli) non dispongono dell'autorizzazione per creare o modificare AWS Systems Manager risorse. Inoltre, non possono eseguire attività utilizzando la console Systems Manager, AWS Command Line Interface (AWS CLI) o AWS API. Un amministratore deve creare IAM politiche che concedano a utenti e ruoli il permesso di eseguire API operazioni specifiche sulle risorse specifiche di cui hanno bisogno. L'amministratore devi quindi collegare queste policy a utenti o gruppi che richiedono tali autorizzazioni.

Di seguito è riportato un esempio di politica di autorizzazioni che consente a un utente di eliminare documenti con nomi che iniziano con MyDocument- negli Stati Uniti orientali (Ohio) (us-east-2). Regione AWS

{
  "Version": "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "ssm:DeleteDocument"
      ],
      "Resource" : [
        "arn:aws:ssm:us-east-2:111122223333:document/MyDocument-*"
      ]
    }
  ]
}

Per informazioni su come creare una politica IAM basata sull'identità utilizzando questi documenti di esempio, consulta Creazione di JSON politiche nella Guida per l'utente. IAM IAM

Argomenti

Best practice per le policy

Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare Systems Manager risorse nel tuo account. Queste azioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:

  • Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche AWS gestite che concedono le autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta le politiche AWS gestite o le politiche AWS gestite per le funzioni lavorative nella Guida per l'IAMutente.

  • Applica le autorizzazioni con privilegi minimi: quando imposti le autorizzazioni con le IAM politiche, concedi solo le autorizzazioni necessarie per eseguire un'attività. Puoi farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo per applicare le autorizzazioni, consulta Politiche e autorizzazioni nella Guida IAM per l'utente. IAM IAM

  • Utilizza le condizioni nelle IAM politiche per limitare ulteriormente l'accesso: puoi aggiungere una condizione alle tue politiche per limitare l'accesso ad azioni e risorse. Ad esempio, puoi scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzandoSSL. È inoltre possibile utilizzare condizioni per concedere l'accesso alle azioni di servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta Elementi IAM JSON della politica: Condizione nella Guida IAM per l'utente.

  • Usa IAM Access Analyzer per convalidare IAM le tue policy e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio delle IAM policy () e alle best practice. JSON IAM IAMAccess Analyzer fornisce più di 100 controlli delle politiche e consigli pratici per aiutarti a creare policy sicure e funzionali. Per ulteriori informazioni, vedere Convalida delle policy di IAM Access Analyzer nella Guida per l'utente. IAM

  • Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede l'utilizzo di IAM utenti o di un utente root Account AWS, attiva questa opzione MFA per una maggiore sicurezza. Per richiedere MFA quando vengono richiamate API le operazioni, aggiungi MFA delle condizioni alle tue politiche. Per ulteriori informazioni, vedere Configurazione dell'APIaccesso MFA protetto nella Guida per l'IAMutente.

Per ulteriori informazioni sulle procedure consigliate inIAM, consulta la sezione Procedure consigliate in materia di sicurezza IAM nella Guida per l'IAMutente.

Utilizzo di Systems Manager console

Per accedere alla console di Systems Manager è necessario disporre di un insieme di autorizzazioni minimo. Queste autorizzazioni devono consentire all'utente di elencare e visualizzare i dettagli relativi a Systems Manager risorse e altre risorse presenti nel tuo Account AWS.

Da utilizzare appieno Systems Manager nel Systems Manager console, è necessario disporre delle autorizzazioni dei seguenti servizi:

  • AWS Systems Manager

  • Amazon Elastic Compute Cloud (AmazonEC2)

  • AWS Identity and Access Management (IAM)

È possibile concedere le autorizzazioni necessarie con la seguente dichiarazione di policy.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:*",
                "ec2:describeInstances",
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ssm.amazonaws.com"
                }
            }
        }
    ]
}

Se crei una policy basata sull'identità che è più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per le IAM entità (utenti o ruoli) con quella policy.

Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso il o il. AWS CLI AWS API Consenti invece l'accesso solo alle azioni che corrispondono all'APIoperazione che stai cercando di eseguire.

Consentire agli utenti di visualizzare le loro autorizzazioni

Questo esempio mostra come è possibile creare una politica che consenta IAM agli utenti di visualizzare le politiche in linea e gestite allegate alla loro identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando o a livello di codice. AWS CLI AWS API

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Esempi di policy gestite dal cliente

È possibile creare policy autonome amministrate nel proprio Account AWS. Facciamo riferimento a queste policy con il nome di policy gestite dal cliente. È possibile collegare queste politiche a più entità principali del proprio Account AWS. Quando si allega una policy a un'entità principale, è necessario fornire all'entità le autorizzazioni definite nella policy. Per ulteriori informazioni, consulta Esempi di policy gestite dai clienti nella Guida IAM per l'utente.

I seguenti esempi di policy utente concedono le autorizzazioni per varie operazioni di Systems Manager. Usali per limitare il Systems Manager accesso per le tue IAM entità (utenti e ruoli). Queste politiche funzionano quando si eseguono azioni in Systems Manager API AWS SDKs, oppure AWS CLI. Per gli utenti che utilizzano la console, devi concedere autorizzazioni aggiuntive specifiche per la console. Per ulteriori informazioni, consulta Utilizzo di Systems Manager console.

Nota

Tutti gli esempi utilizzano la regione degli Stati Uniti occidentali (Oregon) (us-west-2) e contengono account fittizi. IDs L'ID dell'account non deve essere specificato in Amazon Resource Name (ARN) per i documenti AWS pubblici (documenti che iniziano conAWS-*).

Examples (Esempi)

Esempio 1: consentire a un utente di eseguire Systems Manager operazioni in una singola regione

L'esempio seguente concede le autorizzazioni per eseguire Systems Manager operazioni solo nella regione degli Stati Uniti orientali (Ohio) (us-east-2).

{
  "Version": "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "ssm:*"
      ],
      "Resource" : [
        "arn:aws:ssm:us-east-2:aws-account-ID:*"
      ]
    }
  ]
}

Esempio 2: permettere a un utente di elencare i documenti per una sola regione

Nell'esempio seguente vengono concesse autorizzazioni per elencare tutti i nomi dei documenti che iniziano con Update nella regione Stati Uniti orientali (Ohio) (us-east-2)..

{
  "Version": "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "ssm:ListDocuments"
      ],
      "Resource" : [
        "arn:aws:ssm:us-east-2:aws-account-ID:document/Update*"
      ]
    }
  ]
}

Esempio 3: consentire a un utente di utilizzare un SSM documento specifico per eseguire comandi su nodi specifici

La seguente IAM politica di esempio consente a un utente di eseguire le seguenti operazioni nella regione Stati Uniti orientali (Ohio) (us-east-2):

  • Elenco Systems Manager documenti (SSMdocumenti) e versioni dei documenti.

  • Visualizzare i dettagli sui documenti.

  • Inviare un comando utilizzando il documento specificato nella policy. Il nome del documento è determinato dalla seguente voce:

    arn:aws:ssm:us-east-2:aws-account-ID:document/Systems-Manager-document-name

  • Inviare un comando a tre nodi. I nodi sono determinati dalle seguenti voci nella seconda sezione Resource.

    "arn:aws:ec2:us-east-2:aws-account-ID:instance/i-02573cafcfEXAMPLE",
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-0471e04240EXAMPLE",
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-07782c72faEXAMPLE"

  • Visualizzare i dettagli di un comando dopo che è stato inviato.

  • Avviare e arrestare i flussi di lavoro in Automazione, una funzionalità di AWS Systems Manager.

  • Informazioni sui flussi di lavoro di Automazione.

Se vuoi concedere un'autorizzazione utente per utilizzare questo documento per inviare comandi a un nodo per il quale l'utente dispone dell'accesso, puoi specificare una voce simile alla seguente nella sezione Resource e rimuovere le altre voci di nodo. L'esempio seguente utilizza la regione Stati Uniti orientali (Ohio) (us-east-2).

"arn:aws:ec2:us-east-2:*:instance/*"
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ssm:ListDocuments",
                "ssm:ListDocumentVersions",
                "ssm:DescribeDocument",
                "ssm:GetDocument",
                "ssm:DescribeInstanceInformation",
                "ssm:DescribeDocumentParameters",
                "ssm:DescribeInstanceProperties"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "ssm:SendCommand",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ec2:us-east-2:aws-account-ID:instance/i-02573cafcfEXAMPLE",
                "arn:aws:ec2:us-east-2:aws-account-ID:instance/i-0471e04240EXAMPLE",
                "arn:aws:ec2:us-east-2:aws-account-ID:instance/i-07782c72faEXAMPLE",
                
                "arn:aws:ssm:us-east-2:aws-account-ID:document/Systems-Manager-document-name"
            ]
        },
        {
            "Action": [
                "ssm:CancelCommand",
                "ssm:ListCommands",
                "ssm:ListCommandInvocations"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "ec2:DescribeInstanceStatus",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "ssm:StartAutomationExecution",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:us-east-2:aws-account-ID:automation-definition/*"
            ]
        },
        {
            "Action": "ssm:DescribeAutomationExecutions",
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        },
        {
            "Action": [
                "ssm:StopAutomationExecution",
                "ssm:GetAutomationExecution"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        }
    ]
}

Visualizzazione Systems Manager documenti basati su tag

Puoi utilizzare le condizioni della tua politica basata sull'identità per controllare l'accesso a Systems Manager risorse basate su tag. Questo esempio mostra come è possibile creare una politica che consenta la visualizzazione di un SSM documento. Tuttavia, l'autorizzazione viene concessa solo se il valore del tag del documento Owner è quello del nome utente. Questa policy concede anche le autorizzazioni necessarie per completare questa azione nella console.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListDocumentsInConsole",
            "Effect": "Allow",
            "Action": "ssm:ListDocuments",
            "Resource": "*"
        },
        {
            "Sid": "ViewDocumentIfOwner",
            "Effect": "Allow",
            "Action": "ssm:GetDocument",
            "Resource": "arn:aws:ssm:*:*:document/*",
            "Condition": {
                "StringEquals": {"ssm:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}

Puoi collegare questa policy agli utenti nel tuo account. Se un utente denominato richard-roe tenta di visualizzare un Systems Manager documento, il documento deve essere taggato Owner=richard-roe oowner=richard-roe. In caso contrario, l'accesso viene negato. La chiave di tag di condizione Owner corrisponde a Owner e owner perché i nomi delle chiavi di condizione non effettuano la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta Elementi IAM JSON della politica: Condizione nella Guida IAM per l'utente.