Identity and Access Management per Amazon EC2 - Amazon Elastic Compute Cloud
Accesso di rete all'istanzaAttributi di autorizzazione Amazon EC2IAM e Amazon EC2

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Identity and Access Management per Amazon EC2

Le tue credenziali di sicurezza ti identificano nei servizi in AWS e ti garantiscono l'uso illimitato delle tue AWS risorse, come le risorse Amazon EC2. Puoi utilizzare le caratteristiche di Amazon EC2 e AWS Identity and Access Management (IAM) per consentire ad altri utenti, servizi e applicazioni di utilizzare le risorse Amazon EC2 senza condividere le credenziali di sicurezza. Puoi utilizzare IAM per controllare il modo in cui gli altri utenti utilizzano le risorse del tuo AWS account e puoi utilizzare i gruppi di sicurezza per controllare l'accesso alle tue istanze Amazon EC2. Puoi decidere di consentire l'uso completo o limitato delle risorse Amazon EC2.

Per le migliori pratiche per proteggere le AWS risorse utilizzando IAM, consulta Best practice di sicurezza in IAM.

Indice

Accesso di rete all'istanza

Un gruppo di sicurezza agisce come un firewall che controlla il traffico a cui è consentito raggiungere una o più istanze. Quando avvii un'istanza, assegni tale istanza a uno o più gruppi di sicurezza. Puoi aggiungere regole a ogni gruppo di sicurezza che controlla il traffico per l'istanza. Puoi modificare le regole per un gruppo di sicurezza in qualunque momento; le nuove regole vengono applicate automaticamente a tutte le istanze a cui è assegnato il gruppo di sicurezza.

Per ulteriori informazioni, consulta Autorizzazione del traffico in entrata per le istanze Windows.

Attributi di autorizzazione Amazon EC2

La tua organizzazione potrebbe avere più AWS account. Amazon EC2 ti consente di specificare AWS account aggiuntivi che possono utilizzare le tue Amazon Machine Images (AMI) e gli snapshot di Amazon EBS. Queste autorizzazioni funzionano solo a livello di AWS account; non puoi limitare le autorizzazioni per utenti specifici all'interno dell'account specificato. AWS Tutti gli utenti nell'account AWS specificato possono utilizzare l'AMI o lo snapshot.

Ogni AMI dispone di un attributo LaunchPermission che controlla gli account AWS che possono accedere all'AMI. Per ulteriori informazioni, consulta Rendere un'AMI pubblica.

Ogni snapshot di Amazon EBS ha un createVolumePermission attributo che controlla quali AWS account possono utilizzare lo snapshot. Per ulteriori informazioni, consulta Share an Amazon EBS snapshot nella Amazon EBS User Guide.

IAM e Amazon EC2

IAM ti consente di:

  • Crea utenti e gruppi sotto il tuo Account AWS

  • Assegna credenziali di sicurezza uniche a ciascun utente del tuo Account AWS

  • Controlla le autorizzazioni di ogni utente per eseguire attività utilizzando le risorse AWS

  • Consenti agli utenti di un altro utente Account AWS di condividere le tue risorse AWS

  • Crea ruoli per te Account AWS e definisci gli utenti o i servizi che possono assumerli

  • Utilizza le identità esistenti per la tua azienda per concedere le autorizzazioni per eseguire attività utilizzando le risorse AWS

Utilizzando IAM con Amazon EC2, puoi controllare se gli utenti all'interno dell'organizzazione sono in grado di eseguire un'attività utilizzando specifiche operazioni API Amazon EC2 e se possono utilizzare risorse AWS specifiche.

Questo argomento fornisce una risposta alle seguenti domande:

  • Come si creano gruppi e utenti in IAM?

  • Come si crea una policy?

  • Quali policy IAM sono necessarie per eseguire i task in Amazon EC2?

  • Come si concedono le autorizzazioni per l'esecuzione di operazioni in Amazon EC2?

  • Come si concedono le autorizzazioni per l'esecuzione di operazioni su risorse specifiche in Amazon EC2?

Creare utenti, gruppi e ruoli

Potete creare utenti e gruppi per voi Account AWS e quindi assegnare loro le autorizzazioni necessarie. Come best practice, gli utenti dovrebbero acquisire le autorizzazioni assumendo ruoli IAM. Per ulteriori informazioni su come configurare utenti e gruppi per il tuo Account AWS, consulta Configurazione per l'uso di Amazon EC2.

Un ruolo IAM è un'identità IAM che puoi creare nel tuo account e che dispone di autorizzazioni specifiche. Un ruolo IAM è simile a quello di un utente IAM in quanto è un' AWS identità con politiche di autorizzazione che determinano ciò che l'identità può e non può fare. AWS Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Tuttavia, quando assumi un ruolo, vengono fornite le credenziali di sicurezza provvisorie per la sessione del ruolo. Per ulteriori informazioni su come creare ruoli IAM e concedere le relative autorizzazioni, consulta Ruoli IAM per Amazon EC2.

Per ulteriori informazioni su IAM, consulta: