Identity and Access Management in CloudFront - Amazon CloudFront

Identity and Access Management in CloudFront

Per eseguire qualsiasi operazione sulle risorse di CloudFront, ad esempio la creazione di una distribuzione Web o l'invalidazione di un oggetto, AWS Identity and Access Management (IAM) ti chiede di confermare che sei un utente AWS approvato. Se stai utilizzando la console di CloudFront, devi autenticare la tua identità fornendo il tuo nome utente AWS e una password. Se accedi a CloudFront a livello di codice, la tua applicazione autentica la tua identità utilizzando chiavi di accesso o firmando le richieste.

Dopo aver autenticato la tua identità, IAM controlla l'accesso a AWS verificando che disponi delle autorizzazioni per eseguire operazioni e accedere alle risorse. Se sei un amministratore account, puoi utilizzare IAM per controllare l'accesso di altri utenti alle risorse associate al tuo account.

Questo capitolo spiega come utilizzare AWS Identity and Access Management (IAM) e CloudFront per proteggere le risorse.

Argomenti

Autenticazione

Puoi accedere ad AWS utilizzando uno dei seguenti tipi di identità.

  • AWS account root user (Utente root dell'account AWS) - Quando crei un account AWS per la prima volta, inizi con una singola identità di accesso che ha accesso completo a tutti i servizi e le risorse AWS nell'account. Tale identità è detta utente root dell'account AWS e puoi accedervi con l'indirizzo e-mail e la password utilizzati per creare l'account. Ti consigliamo di non utilizzare l'utente root per le attività quotidiane, anche quelle amministrative. Rispetta piuttosto la best practice di utilizzare l'utente root soltanto per creare il tuo primo utente &IAM;. Quindi conserva al sicuro le credenziali dell'utente root e utilizzale per eseguire solo alcune attività di gestione dell'account e del servizio.

  • IAM user (Utente IAM) - Un utente IAM è un'identità del tuo account AWS che dispone di autorizzazioni personalizzate specifiche (ad esempio, autorizzazioni per creare una distribuzione web in CloudFront). Puoi usare un nome utente e una password IAM per accedere a pagine Web AWS sicure, ad esempio alla Console di gestione AWS, ai forum di discussione AWS o al Centro AWS Support.

     

    Oltre a un nome utente e una password, puoi anche generare chiavi di accesso per ciascun utente. Puoi utilizzare queste chiavi per accedere sistematicamente ai servizi AWS, tramite uno dei molti SDK o utilizzando l'interfaccia a riga di comando (CLI) di AWS. L'SDK e gli strumenti dell'interfaccia a riga di comando utilizzano le chiavi di accesso per firmare crittograficamente la tua richiesta. Se non utilizzi gli strumenti di AWS, devi firmare la richiesta personalmente. CloudFront supporta Signature Version 4, un protocollo per l'autenticazione di richieste API in entrata. Per ulteriori informazioni sull'autenticazione delle richieste API, consulta la sezione relativa al processo di firma Signature Version 4 nella Guida di riferimento generale di AWS.

     

  • IAM role (Ruolo IAM) - Un ruolo IAM) è un'identità IAM che è possibile creare nell'account e che dispone di autorizzazioni specifiche. Un ruolo IAM è simile a un utente IAM, in quanto è un'identità AWS con policy di autorizzazioni che determinano ciò che l'identità può e non può fare in AWS. Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Tuttavia, quando assumi un ruolo, vengono fornite le credenziali di sicurezza provvisorie per la sessione del ruolo. I ruoli IAM con credenziali temporanee sono utili nelle seguenti situazioni:

     

    • Accesso utente federato - Invece di creare un utente IAM, è possibile utilizzare identità preesistenti da AWS Directory Service, dalla directory di utenti aziendali o da un provider di identità Web (IdP). Questi sono noti come utenti federati. &AWS; assegna un ruolo a un utente federato quando è richiesto l'accesso tramite un provider di identità. Per ulteriori informazioni sugli utenti federati, consultare la sezione relativa a Utenti e ruoli federati nella Guida per l'utente di IAM.

       

    • Accesso al servizio AWS - Un ruolo di servizio è un ruolo IAM assunto da un servizio per eseguire operazioni per conto dell'utente. I ruoli del servizio forniscono l'accesso all'interno del tuo account e non possono essere utilizzati per concedere l'accesso ai servizi in altri account. Un amministratore di IAM può creare, modificare ed eliminare un ruolo di servizio da IAM. Per ulteriori informazioni, consultare la sezione Creazione di un ruolo per delegare le autorizzazioni a un servizio AWS nella Guida per l'utente di IAM.

       

    • Applicazioni in esecuzione su Amazon EC2: è possibile utilizzare un ruolo IAM per gestire credenziali temporanee per le applicazioni in esecuzione su un'istanza EC2 che eseguono richieste AWS CLI o AWS API. Ciò è preferibile all'archiviazione delle chiavi di accesso nell'istanza EC2. Per assegnare un ruolo AWS a un'istanza EC2, affinché sia disponibile per tutte le relative applicazioni, puoi creare un profilo di istanza collegato all'istanza. Un profilo di istanza contiene il ruolo e consente ai programmi in esecuzione sull'istanza EC2 di ottenere le credenziali temporanee. Per ulteriori informazioni, consultare Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni in esecuzione su istanze di Amazon EC2 nella Guida per l'utente di IAM.

Controllo degli accessi

Per creare, aggiornare, eliminare o elencare risorse di CloudFront, devi avere le autorizzazioni per eseguire l'operazione e le autorizzazioni per accedere alle risorse corrispondenti. Inoltre, per eseguire l'operazione a livello di codice, devi disporre di chiavi di accesso valide.

Le seguenti sezioni descrivono come gestire le autorizzazioni per CloudFront: