Scelta fra policy gestite e policy inline - AWS Identity and Access Management
Utilizzo delle policy inline

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scelta fra policy gestite e policy inline

Al momento di scegliere tra policy gestite e policy inline, prendi in considerazione i casi d'uso. Nella maggior parte dei casi, si consiglia di usare le policy gestite anziché le policy inline.

Nota

È possibile utilizzare insieme le policy gestite e policy inline per definire autorizzazioni comuni e univoche per un'entità principale.

Le policy gestite offrono le seguenti caratteristiche:

Riutilizzo

Una singola policy gestita può essere collegata a più entità principali (utenti, gruppi e ruoli). È possibile creare una libreria di politiche che definiscono le autorizzazioni utili per l'utente Account AWS e quindi allegarle alle entità principali in base alle esigenze.

Gestione centralizzata delle modifiche

Quando si modifica una policy gestita, la modifica viene applicata a tutte le entità principali a cui la policy è collegata. Ad esempio, se desideri aggiungere l'autorizzazione per una nuova AWS API, puoi aggiornare una politica gestita dal cliente o associare una politica AWS gestita per aggiungere l'autorizzazione. Se utilizzi una policy AWS gestita, AWS aggiorna la policy. Quando una politica gestita viene aggiornata, le modifiche vengono applicate a tutte le principali entità a cui è associata la politica gestita. Al contrario, per modificare una politica in linea, è necessario modificare singolarmente ogni identità che contiene la politica in linea. Ad esempio, se un gruppo e un ruolo contengono la stessa policy inline, è necessario modificare individualmente entrambe le entità principali per modificare tale policy.

Controllo delle versioni e rollback

Quando si modifica una policy gestita dal cliente, la policy modificata non sovrascriverà la policy esistente. IAM crea invece una nuova versione della policy gestita. IAM memorizza fino a cinque versioni di una policy gestita dal cliente. È possibile utilizzare le versioni della policy per ripristinare una policy a una versione precedente, se necessario.

Nota

Una versione di policy è diversa da un elemento Version della policy. L'elemento di policy Version viene utilizzato all'interno di una policy e definisce la versione del linguaggio di policy. Per ulteriori informazioni sulle versioni di policy, consultare Controllo delle versioni delle policy IAM. Per ulteriori informazioni sull'elemento di policy Version, consultare Elementi delle policy JSON IAM: Version.

Delega della gestione delle autorizzazioni

Puoi consentire agli utenti del tuo account Account AWS di allegare e scollegare le policy mantenendo il controllo sulle autorizzazioni definite in tali politiche. A tale scopo, è possibile designare alcuni utenti come amministratori completi, ossia amministratori che possono creare, aggiornare ed eliminare le policy. È quindi possibile designare altri utenti come amministratori limitati. Tali amministratori limitati possono collegare delle policy ad altre entità principali, ma solo nel caso delle policy per le quali sono stati autorizzati.

Per ulteriori informazioni sulla delega della gestione delle autorizzazioni, consultare Controllo dell'accesso alle policy.

Limiti di caratteri per le policy più grandi

Il limite massimo di caratteri per le policy gestite è maggiore del limite di caratteri per le policy in linea. Se raggiungi il limite di dimensione dei caratteri della policy in linea, puoi creare altri gruppi IAM e collegare la policy gestita al gruppo.

Per ulteriori informazioni su quote e limiti, consulta Quote di IAM e AWS STS.

Aggiornamenti automatici per AWS le politiche gestite

AWS mantiene le politiche AWS gestite e le aggiorna quando necessario, ad esempio per aggiungere autorizzazioni per nuovi AWS servizi, senza che l'utente debba apportare modifiche. Gli aggiornamenti vengono applicati automaticamente alle principali entità a cui è stata allegata la politica AWS gestita.

Utilizzo delle policy inline

Le politiche in linea sono utili se si desidera mantenere una one-to-one relazione stretta tra una politica e l'identità a cui viene applicata. Ad esempio, se si desidera essere certi che le autorizzazioni di una policy non vengano inavvertitamente assegnate a un'identità diversa da quella per la quale sono state concepite. Quando si utilizza una policy inline, le autorizzazioni della policy non possono essere collegate inavvertitamente a un'identità errata. Inoltre, quando si utilizza il AWS Management Console per eliminare tale identità, vengono eliminate anche le politiche incorporate nell'identità perché fanno parte dell'entità principale.