Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Casi d'uso di business per IAM
Un semplice caso d'uso aziendale per IAM può aiutarti a comprendere i modi di base per implementare il servizio per controllare l' AWS accesso degli utenti. Il caso d'uso viene descritto in termini generali, senza i meccanismi del modo in cui si desidera utilizzare l'API IAM per ottenere i risultati desiderati.
Questo caso d'uso esamina due modi tipici in cui un'azienda fittizia chiamata Example Corp può utilizzare IAM. Il primo scenario considera Amazon Elastic Compute Cloud (Amazon EC2). Il secondo considera Amazon Simple Storage Service (Amazon S3).
Per ulteriori informazioni sull'utilizzo di IAM con altri servizi di AWS, consultaAWS servizi che funzionano con IAM.
Argomenti
Configurazione iniziale di Example Corp
Nikki Wolf e Mateo Jackson sono i fondatori di Example Corp. Dopo aver avviato l'azienda, creano un Account AWS e configurato AWS IAM Identity Center(IAM Identity Center) per creare account amministrativi da utilizzare con le proprie risorse. AWS Quando si configura l'accesso all'account per l'utente amministrativo, il Centro identità IAM crea un ruolo IAM corrispondente. Questo ruolo, controllato da IAM Identity Center, viene creato nel pertinente Account AWS e le politiche specificate nel set di AdministratorAccessautorizzazioni sono allegate al ruolo.
Poiché ora dispongono di account di amministratore, Nikki e Mateo non devono più utilizzare il proprio utente root per accedere all' Account AWS. Pianificano l'uso dell'utente root solo per completare le attività che possono essere eseguite soltanto dall'utente root. Dopo aver esaminato le best practice di sicurezza, configurano l'autenticazione a più fattori MFA per le credenziali dell'utente root e decidono come proteggere tali credenziali.
Man mano che l'azienda cresce, assume dipendenti che lavorano come sviluppatori, amministratori, tester, manager e amministratori di sistema. Nikki è responsabile delle operazioni, mentre Mateo gestisce i team di ingegneria. Hanno creato un server di dominio Active Directory per gestire gli account dei dipendenti e gestire l'accesso alle risorse interne dell'azienda.
Per consentire ai dipendenti di accedere alle AWS risorse, utilizzano IAM Identity Center per connettere Active Directory della propria azienda ai propri Account AWS.
Poiché hanno collegato Active Directory al Centro identità IAM, gli utenti, il gruppo e l'appartenenza al gruppo vengono sincronizzati e definiti. Devono assegnare set di autorizzazioni e ruoli ai diversi gruppi per offrire agli utenti il livello corretto di accesso alle AWS risorse. AWS politiche gestite per le funzioni lavorativeUtilizzano AWS Management Console per creare questi set di autorizzazioni:
-
Amministratore
-
Fatturazione
-
Sviluppatori
-
Amministratori di rete
-
Amministratori di database
-
Amministratori di sistema
-
Utenti del gruppo Supporto
Quindi assegnano i set di autorizzazioni ai ruoli assegnati ai rispettivi gruppi di Active Directory.
Per una step-by-step guida che descrive la configurazione iniziale di IAM Identity Center, consulta Guida introduttiva nella Guida per l'AWS IAM Identity Center utente. Per ulteriori informazioni sul provisioning dell'accesso utente del Centro identità IAM, consulta Accesso Single Sign-on agli account AWS nella Guida per l'utente di AWS IAM Identity Center .
Caso d'uso per IAM con Amazon EC2
Un'azienda come Example Corp normalmente utilizza IAM per interagire con servizi come Amazon EC2. Per capire questa parte del caso d'uso, è necessaria una conoscenza di base di Amazon EC2. Per ulteriori informazioni su Amazon EC2, consulta la Amazon EC2 User Guide.
Autorizzazioni Amazon EC2 per i gruppi di utenti
Per fornire un controllo «perimetrale», Nikki attribuisce una policy al gruppo di utenti. AllUsers Questa politica nega qualsiasi AWS richiesta da parte di un utente se l'indirizzo IP di origine è esterno alla rete aziendale di Example Corp.
Presso Example Corp, gruppi diversi richiedono autorizzazioni diverse:
-
Amministratori di sistema: è necessaria l'autorizzazione per creare e gestire le AMI, le istanze, gli snapshot, i volumi, i gruppi di sicurezza e così via. Nikki allega la policy
AmazonEC2FullAccessAWS gestita al gruppo di SysAdmins utenti che concede ai membri del gruppo l'autorizzazione a utilizzare tutte le azioni di Amazon EC2. -
Sviluppatori: è necessaria la possibilità di collaborare solo con le istanze. Mateo quindi crea e collega una policy al gruppo di utenti Sviluppatori che consente agli sviluppatori di chiamare
DescribeInstances,RunInstances,StopInstances,StartInstanceseTerminateInstances.Nota
Amazon EC2 utilizza chiavi SSH, password Windows e gruppi di sicurezza per controllare chi ha accesso al sistema operativo di istanze Amazon EC2 specifiche. Non esiste un metodo nel sistema IAM per consentire o rifiutare l'accesso al sistema operativo di una determinata istanza.
-
Utenti del gruppo Supporto: non devono essere in grado di eseguire operazioni Amazon EC2 eccetto elencare risorse Amazon EC2 correntemente disponibili. Pertanto, Nikki crea e collega una policy al gruppo di utenti Supporto che consente di chiamare solo le operazioni API "Describe" di Amazon EC2.
Per esempi di come potrebbero essere queste policy, consulta Esempi di policy basate su identità IAM e Using AWS Identity and Access Management nella Amazon EC2 User Guide.
Modifica della funzione lavorativa dell'utente
A un certo punto, uno degli sviluppatori, Paulo Santos, cambia le funzioni lavorative e diventa un responsabile. In qualità di responsabile, Paulo entra a far parte del gruppo di utenti Supporto in modo da poter aprire casi di supporto per i suoi sviluppatori. Mateo sposta Paulo dal gruppo di utenti Sviluppatori al gruppo di utenti Supporto. Come risultato di questa mossa, la sua possibilità di interagire con le istanze Amazon EC2 è limitata. Non può avviare istanze. Inoltre, non può arrestare o terminare le istanze esistenti, anche se era l'utente che ha avviato l'istanza. Può elencare solo le istanze che gli utenti di Example Corp hanno lanciato.
Caso d'uso per IAM con Amazon S3
Le aziende come Example Corp in genere utilizzano IAM anche con Amazon S3. John ha creato un bucket Amazon S3 per l'azienda chiamato aws-s3-bucket.
Creazione di altri utenti e gruppi di utenti
Come dipendenti, Zhang Wei e Mary Major devono essere in grado di creare i propri dati nel bucket dell'azienda. Devono anche leggere e scrivere dati condivisi sui quali lavorano tutti gli sviluppatori. Per farlo, Mateo dispone logicamente i dati in aws-s3-bucket utilizzando uno schema di prefisso della chiave Amazon S3 come illustrato nella seguente figura.
/aws-s3-bucket
/home
/zhang
/major
/share
/developers
/managersMateo divide il /aws-s3-bucket in un set di directory principali per ogni dipendente e un'area condivisa per gruppi di sviluppatori e responsabili.
A questo punto Mateo crea un set di policy per assegnare le autorizzazioni agli utenti e ai gruppi di utenti:
-
Accesso alla directory principale per Zhang: Mateo collega una policy a Wei che gli permette di leggere, scrivere ed elencare tutti gli oggetti con il prefisso della chiave Amazon S3
/aws-s3-bucket/home/zhang/ -
Accesso alla directory principale per Major: Mateo collega una policy a Mary che le permette di leggere, scrivere ed elencare tutti gli oggetti con il prefisso della chiave Amazon S3
/aws-s3-bucket/home/major/ -
Accesso alla directory condivisa per il gruppo di utenti Sviluppatori: Mateo collega una policy al gruppo di utenti che consente agli sviluppatori di leggere, scrivere ed elencare qualsiasi oggetto in
/aws-s3-bucket/share/developers/ -
Accesso alla directory condivisa per il gruppo di utenti Responsabili: Mateo collega una policy al gruppo di utenti che consente ai responsabili di leggere, scrivere ed elencare qualsiasi oggetto in
/aws-s3-bucket/share/managers/
Nota
Amazon S3 non fornisce automaticamente l'autorizzazione a un utente che crea un bucket o un oggetto di eseguire altre operazioni su quell'oggetto o bucket. Pertanto, nelle policy IAM è necessario fornire esplicitamente agli utenti l'autorizzazione per utilizzare le risorse Amazon S3 che creano.
Per esempi della probabile struttura di queste policy, consulta Controllo accessi nella Guida per l'utente di Amazon Simple Storage Service. Per informazioni su come le policy vengono valutate in fase di runtime, consulta Logica di valutazione delle policy.
Modifica della funzione lavorativa dell'utente
A un certo punto, uno degli sviluppatori, Zhang Wei, cambia le funzioni lavorative e diventa un responsabile. Si presuppone che non abbia più bisogno di accedere ai documenti nella directory share/developers. Mateo, come amministratore, sposta Wei nel gruppo di utenti Managers e lo rimuove dal gruppo Developers. Con quella semplice riassegnazione, Wei ottiene automaticamente tutte le autorizzazioni concesse al gruppo di utenti Managers, ma non è più in grado di accedere a dati nella directory share/developers.
Integrazione con un business di terze parti
Le organizzazioni spesso lavorano con aziende partner, consulenti e appaltatori. Example Corp ha un partner che si chiama Widget Company e un dipendente di Widget Company che si chiama Shirley Rodriguez deve inserire dati in un bucket perché siano utilizzati da Example Corp. Nikki crea un gruppo di utenti chiamato WidgetCoe un nome utente Shirley e aggiunge Shirley al gruppo di utenti. WidgetCo Nikki crea anche un bucket speciale per Shirley chiamato aws-s3-bucket1.
Nikki aggiorna le policy esistenti o ne aggiunge di nuove per aiutare l'azienda partner Widget Company. Ad esempio, Nikki può creare una nuova politica che nega ai membri del gruppo di WidgetCo utenti la possibilità di utilizzare azioni diverse dalla scrittura. Questa policy è necessaria solo se è presente una policy ampia che offre a tutti gli utenti l'accesso a un'ampia gamma di operazioni Amazon S3.
