Gestione delle autorizzazioni

Gestisci le autorizzazioni per controllare l'accesso alle identità di persone e macchine che richiedono l'accesso ad AWS e ai tuoi carichi di lavoro. Le autorizzazioni consentono di controllare chi può accedere a cosa e a quali condizioni. Impostando le autorizzazioni per specifiche identità umane e di macchine, si concede loro l'accesso a determinate azioni di servizio su risorse specifiche. Inoltre, è possibile specificare le condizioni che devono essere vere per concedere l'accesso.

Esistono modi diversi per concedere l'accesso a diversi tipi di risorse. Un modo è tramite l'uso di diversi tipi di policy.

Le policy basate sull'identità in IAM sono gestite o in linea e si collegano alle identità IAM, il che comprende utenti, gruppi o ruoli. Queste policy consentono di specificare cosa può fare quell'identità (le sue autorizzazioni). Le policy basate sulle identità possono essere ulteriormente categorizzate.

Policy gestite: le policy autonome basate sulle identità che possono essere collegate a più utenti, gruppi o ruoli nell'account AWS. Sono disponibili due tipi di policy gestite.

Le policy gestite sono il metodo migliore per applicare le autorizzazioni. Tuttavia, puoi anche usare policy inline che aggiungi direttamente a un singolo utente, gruppo o ruolo. Le policy inline sono utili per mantenere una stretta relazione uno a uno tra una policy e un'identità. Le policy inline vengono eliminate quando elimini l'identità.

Nella maggior parte dei casi, devi creare policy gestite dal cliente proprietarie seguendo il principio del privilegio minimo.

Le policy basate su risorse sono collegate a una risorsa. Ad esempio, una policy del bucket S3 è una policy basata su risorse. Queste policy concedono l'autorizzazione a un principale che può essere nello stesso account della risorsa o in un altro account. Per un elenco dei servizi che supportano le policy basate sulle risorse, consulta Servizi AWS che funzionano con IAM.

I limiti delle autorizzazioni usano una policy gestita per impostare il numero massimo di autorizzazioni che un amministratore può impostare. In questo modo puoi delegare la possibilità di creare e gestire le autorizzazioni agli sviluppatori, ad esempio la creazione di un ruolo IAM, ma limitare le autorizzazioni che possono concedere in modo che non possano inoltrare l'autorizzazione utilizzando ciò che hanno creato.

Il controllo degli accessi basato su attributi (ABAC) in AWS consente di concedere autorizzazioni in base agli attributi, che sono detti tag. I tag possono essere collegati alle entità principali IAM (utenti o ruoli) e alle risorse AWS. Gli amministratori possono creare policy IAM riutilizzabili che applicano le autorizzazioni in base agli attributi dell'entità principale IAM. Ad esempio, in qualità di amministratore puoi utilizzare una singola policy IAM che concede agli sviluppatori dell'organizzazione l'accesso alle risorse AWS che corrispondono ai tag di progetto. Man mano che il team di sviluppatori aggiunge risorse ai progetti, le autorizzazioni vengono applicate automaticamente in base agli attributi, eliminando la necessità di aggiornare le policy per ogni nuova risorsa.

Le policy di controllo dei servizi delle organizzazioni definiscono il numero massimo di autorizzazioni per i membri dell'account di un'organizzazione o un'unità organizzativa (UO). Le SCP limitano le autorizzazioni che le policy basate su identità o le policy basate su risorse concedono alle entità (utenti o ruoli) all'interno dell'account, ma non concedono autorizzazioni.

Le policy di sessione presuppongono un ruolo o un utente federato. Migra le policy di sessione quando usi AWS CLI o AWS API Le policy di sessione limitano le autorizzazioni che le policy del ruolo o dell'utente basate su identità concedono alla sessione. Le policy di sessione limitano le autorizzazioni per una sessione creata, ma non concedono autorizzazioni. Per ulteriori informazioni, consulta la sezione relativa alle policy di sessione.