Scegli tra policy gestite e policy in linea - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scegli tra policy gestite e policy in linea

Al momento di scegliere tra policy gestite e policy inline, prendi in considerazione i casi d'uso. Nella maggior parte dei casi, si consiglia di usare le policy gestite anziché le policy inline.

Nota

È possibile utilizzare insieme le policy gestite e policy inline per definire autorizzazioni comuni e univoche per un'entità principale.

Le policy gestite offrono le seguenti caratteristiche:

Riutilizzo

Una singola policy gestita può essere collegata a più entità principali (utenti, gruppi e ruoli). Puoi creare una libreria di politiche che definiscono autorizzazioni utili per Account AWS, quindi allega queste politiche alle entità principali secondo necessità.

Gestione centralizzata delle modifiche

Quando si modifica una policy gestita, la modifica viene applicata a tutte le entità principali a cui la policy è collegata. Ad esempio, se si desidera aggiungere l'autorizzazione per una nuova AWS API, puoi aggiornare una politica gestita dai clienti o associare un AWS politica gestita per aggiungere l'autorizzazione. Se stai usando un AWS politica gestita, AWS aggiorna la politica. Quando una policy gestita viene aggiornata, le modifiche vengono applicate a tutte le principali entità a cui è associata la policy gestita. Al contrario, per modificare una politica in linea, è necessario modificare singolarmente ogni identità che contiene la politica in linea. Ad esempio, se un gruppo e un ruolo contengono la stessa policy inline, è necessario modificare individualmente entrambe le entità principali per modificare tale policy.

Controllo delle versioni e rollback

Quando si modifica una policy gestita dal cliente, la policy modificata non sovrascriverà la policy esistente. IAMCrea invece una nuova versione della policy gestita. IAMmemorizza fino a cinque versioni delle policy gestite dai clienti. È possibile utilizzare le versioni della policy per ripristinare una policy a una versione precedente, se necessario.

Nota

Una versione di policy è diversa da un elemento Version della policy. L'elemento di policy Version viene utilizzato all'interno di una policy e definisce la versione del linguaggio di policy. Per ulteriori informazioni sulle versioni di policy, consultare Funzione Versioni multiple di policy IAM. Per ulteriori informazioni sull'elemento di policy Version, consultare IAMJSONelementi politici: Version.

Delega della gestione delle autorizzazioni

Puoi consentire agli utenti di accedere al tuo Account AWS per allegare e scollegare le politiche mantenendo il controllo sulle autorizzazioni definite in tali politiche. A tale scopo, è possibile designare alcuni utenti come amministratori completi, ossia amministratori che possono creare, aggiornare ed eliminare le policy. È quindi possibile designare altri utenti come amministratori limitati. Tali amministratori limitati possono collegare delle policy ad altre entità principali, ma solo nel caso delle policy per le quali sono stati autorizzati.

Per ulteriori informazioni sulla delega della gestione delle autorizzazioni, consultare Controllo dell'accesso alle policy.

Limiti di caratteri per le policy più grandi

Il limite massimo di caratteri per le policy gestite è maggiore del limite di caratteri per le policy in linea. Se raggiungi il limite di dimensione dei caratteri della policy in linea, puoi creare più IAM gruppi e allegare la policy gestita al gruppo.

Per ulteriori informazioni su quote e limiti, consulta IAMe AWS STS quote.

Aggiornamenti automatici per AWS policy gestite

AWS mantiene AWS gestisce le politiche e le aggiorna quando necessario, ad esempio per aggiungere autorizzazioni per nuove AWS servizi, senza che l'utente debba apportare modifiche. Gli aggiornamenti vengono applicati automaticamente alle entità principali a cui hai collegato il AWS politica gestita a.

Inizia con le politiche gestite

Consigliamo di utilizzare le policy che concedono il privilegio minimo o che concedono solo le autorizzazioni richieste per eseguire un processo. Il modo più sicuro per concedere il privilegio minimo consiste nello scrivere una policy gestita dal cliente solo con le autorizzazioni necessarie al team. È necessario creare un processo per consentire al team di richiedere ulteriori autorizzazioni quando necessario. Ci vogliono tempo ed esperienza per creare politiche gestite dai IAM clienti che forniscano al tuo team solo le autorizzazioni di cui ha bisogno.

Per iniziare ad aggiungere autorizzazioni alle tue IAM identità (utenti, gruppi di utenti e ruoli), puoi utilizzare. AWS politiche gestite AWS le politiche gestite non concedono i privilegi minimi. Considera il rischio per la sicurezza di concedere ai principali più autorizzazioni di quelle necessarie per svolgere il proprio lavoro.

Puoi allegare AWS politiche gestite, incluse le funzioni lavorative, a qualsiasi IAM identità. Per ulteriori informazioni, consulta Aggiungere e rimuovere le autorizzazioni di IAM identità.

Per passare alle autorizzazioni con privilegi minimi, puoi eseguire AWS Identity and Access Management Accedi ad Analyzer per monitorare i principali con AWS politiche gestite. Dopo aver appreso quali autorizzazioni stanno utilizzando, puoi scrivere o generare una policy gestita dal cliente che contenga soltanto le autorizzazioni richieste per il team. È meno sicuro, ma offre maggiore flessibilità man mano che impari a utilizzare il tuo team AWS. Per ulteriori informazioni, vedereIAMGenerazione di policy di Access Analyzer.

AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni. Per ulteriori informazioni sull' AWS politiche gestite progettate per funzioni lavorative specifiche, vedereAWS politiche gestite per le funzioni lavorative.

Per un elenco di AWS politiche gestite, vedere AWS Guida di riferimento alle policy gestite.

Utilizzo delle policy inline

Le policy in linea sono utili se si desidera mantenere una stretta one-to-one relazione tra una policy e l'identità a cui viene applicata. Ad esempio, se si desidera essere certi che le autorizzazioni di una policy non vengano inavvertitamente assegnate a un'identità diversa da quella per la quale sono state concepite. Quando si utilizza una policy inline, le autorizzazioni della policy non possono essere collegate inavvertitamente a un'identità errata. Inoltre, quando si utilizza il AWS Management Console per eliminare tale identità, vengono eliminate anche le politiche incorporate nell'identità, in quanto fanno parte dell'entità principale.