Scelta fra policy gestite e policy inline - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scelta fra policy gestite e policy inline

Al momento di scegliere tra policy gestite e policy inline, prendi in considerazione i casi d'uso. Nella maggior parte dei casi, si consiglia di usare le policy gestite anziché le policy inline.

Nota

È possibile utilizzare insieme le policy gestite e policy inline per definire autorizzazioni comuni e univoche per un'entità principale.

Le policy gestite offrono le seguenti caratteristiche:

Riutilizzo

Una singola policy gestita può essere collegata a più entità principali (utenti, gruppi e ruoli). È possibile creare una libreria di policy che definiscono le autorizzazioni utili per il proprio Account AWS, quindi collegare tali policy alle entità principali secondo necessità.

Gestione centralizzata delle modifiche

Quando si modifica una policy gestita, la modifica viene applicata a tutte le entità principali a cui la policy è collegata. Ad esempio, se si desidera aggiungere le autorizzazioni per una nuova AWS API policy gestita dal cliente o collegare una policy AWS gestita da per aggiungere l'autorizzazione. Se utilizzi una policy AWS gestita da, la policy viene AWS aggiornata da. Quando una policy gestita da viene aggiornata, le modifiche vengono applicate a tutte le entità principali a cui è collegata la policy gestita. Al contrario, per modificare una policy inline, è necessario modificare singolarmente ciascuna identità che contiene la policy inline. Ad esempio, se un gruppo e un ruolo contengono la stessa policy inline, è necessario modificare individualmente entrambe le entità principali per modificare tale policy.

Controllo delle versioni e rollback

Quando si modifica una policy gestita dal cliente, la policy modificata non sovrascriverà la policy esistente. IAMcreata invece una nuova versione della policy gestita. IAMmemorizza fino a cinque versioni di una policy gestita dal cliente. È possibile utilizzare le versioni della policy per ripristinare una policy a una versione precedente, se necessario.

Nota

Una versione di policy è diversa da un elemento Version della policy. L'elemento di policy Version viene utilizzato all'interno di una policy e definisce la versione del linguaggio di policy. Per ulteriori informazioni sulle versioni di policy, consultare Funzione Versioni multiple di policy IAM. Per ulteriori informazioni sull'elemento di policy Version, consultare IAMJSONelementi politici: Version.

Delega della gestione delle autorizzazioni

È possibile permettere agli utenti del proprio Account AWS di collegare e distaccare le policy, mantenendo il controllo sulle autorizzazioni definite in tali policy. A tale scopo, è possibile designare alcuni utenti come amministratori completi, ossia amministratori che possono creare, aggiornare ed eliminare le policy. È quindi possibile designare altri utenti come amministratori limitati. Tali amministratori limitati possono collegare delle policy ad altre entità principali, ma solo nel caso delle policy per le quali sono stati autorizzati.

Per ulteriori informazioni sulla delega della gestione delle autorizzazioni, consultare Controllo dell'accesso alle policy.

Limiti di caratteri per le policy più grandi

Il limite massimo di caratteri per le policy gestite da è maggiore del limite di caratteri per le policy inline di gruppo. Se raggiungi il limite di dimensione dei caratteri della policy in linea, puoi creare altri IAM gruppi e collegare la policy gestita al gruppo.

Per ulteriori informazioni su quote e limiti, consulta IAMe AWS STS quote.

Aggiornamenti automatici delle policy AWS gestite

AWS AWS amministra le policy gestite da e le aggiorna quando necessario, ad esempio per aggiungere autorizzazioni per AWS i nuovi servizi, senza che l'utente debba apportare modifiche. Gli aggiornamenti vengono applicati automaticamente alle entità principali a cui è stata collegata la policy AWS gestita.

Nozioni di base sulle policy gestite

Consigliamo di utilizzare le policy che concedono il privilegio minimo o che concedono solo le autorizzazioni richieste per eseguire un processo. Il modo più sicuro per concedere il privilegio minimo consiste nello scrivere una policy gestita dal cliente solo con le autorizzazioni necessarie al team. È necessario creare un processo per consentire al team di richiedere ulteriori autorizzazioni quando necessario. La creazione di policy gestite dai IAM clienti che forniscono al tuo team solo le autorizzazioni necessarie ci vuole tempo e competenza.

Per iniziare ad aggiungere autorizzazioni alle IAM identità (utenti, gruppi di utenti e ruoli), è possibile utilizzare. AWS politiche gestite AWS le politiche gestite non concedono i privilegi minimi. Considera il rischio per la sicurezza di concedere ai principali più autorizzazioni di quelle necessarie per svolgere il proprio lavoro.

È possibile collegare policy AWS gestite da, incluse le funzioni di lavoro, a qualsiasi IAM identità. Per ulteriori informazioni, consulta Aggiunta e rimozione di autorizzazioni per le IAM identità.

Per passare alle autorizzazioni con privilegi minimi, è possibile eseguire AWS Identity and Access Management Access Analyzer per monitorare i principali con le policy gestite da. AWS Dopo aver appreso quali autorizzazioni stanno utilizzando, puoi scrivere o generare una policy gestita dal cliente che contenga soltanto le autorizzazioni richieste per il team. Questo metodo è meno sicuro, ma offre una maggiore flessibilità man mano che capisci il modo in cui il tuo team utilizza AWS. Per ulteriori informazioni, consulta IAMGenerazione di policy per Access Analyzer.

AWS Le policy gestite da sono progettate per fornire autorizzazioni per molti casi d'uso comuni. Per ulteriori informazioni sulle policy AWS gestite da progettate per funzioni di lavoro specifiche, consultaAWS Policy gestite per le funzioni lavorative.

Per un elenco delle policy AWS gestite da, consulta la Guida di riferimento sulle policy AWS gestite da.

Utilizzo delle policy inline

Le policy inline sono utili per mantenere una stretta one-to-one relazione tra una policy e l'identità a cui si applica. Ad esempio, se si desidera essere certi che le autorizzazioni di una policy non vengano inavvertitamente assegnate a un'identità diversa da quella per la quale sono state concepite. Quando si utilizza una policy inline, le autorizzazioni della policy non possono essere collegate inavvertitamente a un'identità errata. Inoltre, quando si utilizza la AWS Management Console per eliminare tale identità, vengono eliminate anche le policy incorporate nell'identità perché fanno parte dell'entità principale.