Politiche e autorizzazioni in AWS Identity and Access Management - AWS Identity and Access Management
Tipi di policyPolicy e utente rootPanoramica delle policy JSONGrant least privilege

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Politiche e autorizzazioni in AWS Identity and Access Management

Gestisci l'accesso AWS creando policy e associandole a IAM identità (utenti, gruppi di utenti o ruoli) o risorse. AWS Una policy è un oggetto AWS che, se associato a un'identità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste politiche quando un IAM principale (utente o ruolo) effettua una richiesta. Le autorizzazioni nelle policy determinano l'approvazione o il rifiuto della richiesta. La maggior parte delle politiche viene archiviata AWS come JSON documenti. AWS supporta sei tipi di politiche: politiche basate sull'identità, politiche basate sulle risorse, limiti delle autorizzazioni, politiche di controllo dei servizi di Organizations (), liste di controllo degli accessi (SCPs) e politiche di sessione. ACLs

IAMle politiche definiscono le autorizzazioni per un'azione indipendentemente dal metodo utilizzato per eseguire l'operazione. Ad esempio, se un criterio consente l'GetUserazione, un utente con tale criterio può ottenere informazioni sull'utente dal AWS Management Console AWS CLI, dal o dal AWS API. Quando si crea un IAM utente, è possibile scegliere di consentire l'accesso tramite console o programmatico. Se l'accesso alla console è consentito, l'IAMutente può accedere alla console utilizzando le proprie credenziali di accesso. Se l'accesso programmatico è consentito, l'utente può utilizzare le chiavi di accesso per lavorare con o. CLI API

Tipi di policy

I tipi di policy elencati di seguito in ordine da quello utilizzato più frequentemente a quello meno frequentemente sono disponibili per l'uso in AWS. Per ulteriori informazioni, consulta le sezioni seguenti per ogni tipo di policy.

  • Criteri basati sull'identità: associa politiche gestite e in linea alle IAM identità (utenti, gruppi a cui appartengono gli utenti o ruoli). Le policy basate su identità concedono le autorizzazioni a un'identità.

  • Policy basate sulle risorse: collegano le policy in linea alle risorse. Gli esempi più comuni di policy basate sulle risorse sono le bucket policy di Amazon S3 e le policy di role trust. IAM Le policy basate su risorse concedono le autorizzazioni a un'identità principale specificata nella policy. Le entità principali possono essere nello stesso account della risorsa o in altri account.

  • Limiti delle autorizzazioni: utilizza una policy gestita come limite delle autorizzazioni per un'entità (utente o ruolo). IAM Questa policy definisce il numero massimo di autorizzazioni che la policy basata su identità può concedere a un'entità, ma non concede autorizzazioni. I limiti delle autorizzazioni non definiscono il numero massimo di autorizzazioni che una policy basata su risorse può concedere a un'entità.

  • Organizzazioni SCPs: utilizza una policy di controllo del AWS Organizations servizio (SCP) per definire le autorizzazioni massime per i membri dell'account di un'organizzazione o di un'unità organizzativa (OU). SCPslimita le autorizzazioni che le politiche basate sull'identità o le politiche basate sulle risorse concedono alle entità (utenti o ruoli) all'interno dell'account, ma non concedono le autorizzazioni.

  • Liste di controllo degli accessi (ACLs): vengono utilizzate ACLs per controllare quali responsabili di altri account possono accedere alla risorsa a cui è collegato. ACL ACLssono simili alle politiche basate sulle risorse, sebbene siano l'unico tipo di policy che non utilizza la struttura dei documenti relativi alle JSON policy. ACLssono politiche di autorizzazione tra account che concedono autorizzazioni al principale specificato. ACLsnon possono concedere autorizzazioni a entità all'interno dello stesso account.

  • Criteri di sessione: passa i criteri di sessione avanzati quando utilizzi AWS CLI o AWS API per assumere un ruolo o un utente federato. Le policy di sessione limitano le autorizzazioni che le policy basate su identità dell'utente o del ruolo concedono alla sessione. Le policy di sessione limitano le autorizzazioni per una sessione creata, ma non possono concedere autorizzazioni. Per ulteriori informazioni, consulta la sezione relativa alle policy di sessione.

Policy basate su identità

Le politiche basate sull'identità sono documenti relativi alle politiche di JSON autorizzazione che controllano le azioni che un'identità (utenti, gruppi di utenti e ruoli) può eseguire, su quali risorse e in quali condizioni. Le policy basate su identità possono essere ulteriormente suddivise:

  • Politiche gestite: politiche autonome basate sull'identità che puoi allegare a più utenti, gruppi e ruoli nel tuo. Account AWS Sono disponibili due tipi di policy gestite.

    • AWS politiche gestite: politiche gestite create e gestite da. AWS

    • Policy gestite dal cliente: le policy gestite che sono create e gestite nel tuo Account AWS. Le politiche gestite dal cliente forniscono un controllo più preciso sulle politiche rispetto alle politiche AWS gestite.

  • Policy in linea: le policy che vengono aggiunte direttamente a un singolo utente, gruppo o ruolo. Le politiche in linea mantengono una stretta one-to-one relazione tra una politica e un'identità. Vengono eliminate quando elimini l'identità.

Per informazioni su come scegliere tra una policy gestita o una policy in linea, consulta Scegli tra policy gestite e policy in linea.

Policy basate su risorse

Le policy basate sulle risorse sono documenti di JSON policy allegati a una risorsa come un bucket Amazon S3. Queste policy concedono all'entità principale specificata l'autorizzazione per eseguire operazioni specifiche sulla risorsa e definiscono le condizioni in cui ciò si applica. Le policy basate su risorse sono policy inline. Non esistono policy basate su risorse gestite.

Per abilitare l'accesso tra più account, puoi specificare un intero account o IAM entità in un altro account come principale in una politica basata sulle risorse. L'aggiunta di un principale multi-account a una policy basata sulle risorse rappresenta solo una parte della relazione di trust. Quando il principale e la risorsa sono separati Account AWS, è inoltre necessario utilizzare una politica basata sull'identità per concedere al principale l'accesso alla risorsa. Tuttavia, se una policy basata su risorse concede l'accesso a un principale nello stesso account, non sono richieste ulteriori policy basate su identità. Per istruzioni dettagliate sulla concessione dell'accesso tra servizi, consulta IAMtutorial: delega l'accesso attraverso AWS account che utilizzano ruoli IAM.

Il IAM servizio supporta solo un tipo di politica basata sulle risorse, denominata politica di attendibilità dei ruoli, associata a un ruolo. IAM Un IAM ruolo è sia un'identità che una risorsa che supporta le politiche basate sulle risorse. Per questo motivo, è necessario associare a un ruolo sia una politica di fiducia che una politica basata sull'identità. IAM Le policy di attendibilità definiscono quali entità principali (account, utenti, ruoli e utenti federati) possono assumere il ruolo. Per scoprire in che modo IAM i ruoli sono diversi dalle altre politiche basate sulle risorse, consulta. Accesso alle risorse su più account in IAM

Per scoprire quali altri servizi supportano le policy basate su risorse, consulta AWS servizi che funzionano con IAM. Per ulteriori informazioni sulle policy basate su risorse, consulta la pagina Policy basate sulle identità e policy basate su risorse. Per sapere se i responsabili di account che non rientrano nella tua zona di fiducia (organizzazione o account attendibile) possono assumere i tuoi ruoli, vedi Cos'è Access Analyzer? IAM .

IAMlimiti delle autorizzazioni

Un limite di autorizzazioni è una funzionalità avanzata in cui si impostano le autorizzazioni massime che una politica basata sull'identità può concedere a un'entità. IAM Quando si imposta un limite delle autorizzazioni per un'entità, l'entità può eseguire solo le operazioni consentite dalle sue policy basate su identità e dai suoi limiti delle autorizzazioni. Le policy basate su risorse che specificano l'utente o il ruolo come entità principale non sono limitate dal limite delle autorizzazioni. Tuttavia, se le politiche basate sulle risorse specificano il ruolo principale, sono limitate dal limite delle autorizzazioni. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione. Per ulteriori informazioni sui limiti delle autorizzazioni, consultare Limiti delle autorizzazioni per le entità IAM.

Politiche di controllo del servizio () SCPs

AWS Organizations è un servizio per il raggruppamento e la gestione centralizzata dei dati Account AWS di proprietà dell'azienda. Se abiliti tutte le funzionalità di un'organizzazione, puoi applicare le politiche di controllo del servizio (SCPs) a uno o tutti i tuoi account. SCPssono JSON politiche che specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa (OU). I SCP limiti delle autorizzazioni per le entità negli account dei membri, inclusa ciascuna. Utente root dell'account AWS Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione.

Per ulteriori informazioni su Organizations andSCPs, consulta le politiche di controllo dei servizi nella Guida AWS Organizations per l'utente.

Elenchi di controllo degli accessi (ACLs)

Le liste di controllo degli accessi (ACLs) sono politiche di servizio che consentono di controllare quali responsabili di un altro account possono accedere a una risorsa. ACLsnon possono essere utilizzate per controllare l'accesso di un principale all'interno dello stesso account. ACLssono simili alle politiche basate sulle risorse, sebbene siano l'unico tipo di policy che non utilizza il formato del documento di JSON policy. Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioniACLs, consulta la panoramica di Access Control List (ACL) nella Amazon Simple Storage Service Developer Guide.

Policy di sessione

Le policy di sessione sono policy avanzate che si passano come parametro quando si crea in modo programmatico una sessione temporanea per un ruolo o un utente federato. Le autorizzazioni per una sessione sono l'intersezione delle politiche basate sull'identità per l'IAMentità (utente o ruolo) utilizzate per creare la sessione e le politiche della sessione. Le autorizzazioni possono anche provenire da una policy basata su risorse. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione.

È possibile creare una sessione di ruolo e passare le politiche di sessione a livello di codice utilizzando le operazioni, o. AssumeRole AssumeRoleWithSAML AssumeRoleWithWebIdentity API È possibile passare un singolo documento di policy di sessione JSON in linea utilizzando il parametro. Policy Puoi utilizzare il parametro PolicyArns per specificare fino a 10 policy di sessione gestite. Per ulteriori informazioni sulla creazione di una sessione del ruolo, consulta Autorizzazioni per credenziali di sicurezza temporanee.

Quando si crea una sessione utente federata, si utilizzano le chiavi di accesso dell'IAMutente per richiamare l'operazione a livello di codice. GetFederationToken API È inoltre necessario passare policy di sessione. Le autorizzazioni della sessione risultanti sono l'intersezione tra la policy basata su identità e la policy di sessione. Per ulteriori informazioni sulla creazione di una sessione per l'utente federato, consulta Richiesta di credenziali tramite un broker di identità personalizzato.

Una politica basata sulle risorse può specificare l'utente o il ARN ruolo come principale. In questo caso, le autorizzazioni della policy basata sulle risorse vengono aggiunte alla policy basata su identità dell'utente o del ruolo prima che la sessione venga creata. La policy di sessione limita le autorizzazioni totali concesse dalla policy basata sulle risorse e dalla policy basata su identità. Le autorizzazioni della sessione risultante sono l'intersezione delle policy di sessione e della policy basata sulle risorse più l'intersezione delle policy di sessione e delle policy basate su identità.

Valutazione della politica di sessione con una politica basata sulle risorse che specifica l'entità ARN

Una politica basata sulle risorse può specificare la sessione come principaleARN. In questo caso, le autorizzazioni della policy basata sulle risorse vengono aggiunte dopo che la sessione viene creata. Le autorizzazioni della policy basate sulle risorse non sono limitate dalla policy di sessione. La sessione risultante dispone di tutte le autorizzazioni della policy basata sulle risorse più l'intersezione della policy basata su identità e della policy di sessione.

Valutazione della politica della sessione con una politica basata sulle risorse che specifica la sessione ARN

Un limite delle autorizzazioni è in grado di impostare il numero massimo di autorizzazioni per un utente o un ruolo che viene utilizzato per creare una sessione. In tal caso, le autorizzazioni della sessione risultante sono l'intersezione della policy di sessione, il limite delle autorizzazioni e la policy basata su identità. Tuttavia, un limite di autorizzazioni non limita le autorizzazioni concesse da una politica basata sulle risorse che specifica la sessione risultante. ARN

Valutazione della policy di sessione con un limite delle autorizzazioni

Policy e utente root

Utente root dell'account AWS È influenzato da alcuni tipi di policy ma non da altri. Non è possibile collegare policy basate su identità all'utente root e non è possibile impostare il limite delle autorizzazioni per questo utente. Tuttavia, è possibile specificare l'utente root come principale in una politica basata sulle risorse o in un. ACL Un utente root è ancora membro di un account. Se tale account è membro di un'organizzazione in AWS Organizations, l'utente root è interessato da qualsiasi SCPs account.

Panoramica delle policy JSON

La maggior parte delle politiche viene archiviata AWS come JSON documenti. Le politiche basate sull'identità e le politiche utilizzate per impostare i limiti delle autorizzazioni sono documenti di JSON policy allegati a un utente o a un ruolo. Le politiche basate sulle risorse sono documenti di policy allegati a JSON una risorsa. SCPssono documenti di JSON policy con sintassi limitata allegati a un'unità AWS Organizations organizzativa (OU). ACLssono anche allegati a una risorsa, ma è necessario utilizzare una sintassi diversa. Le politiche di sessione sono JSON politiche fornite quando si assume un ruolo o una sessione utente federata.

Non è necessario che tu comprenda la JSON sintassi. È possibile utilizzare l'editor visivo di cui è dotato AWS Management Console per creare e modificare le politiche gestite dai clienti senza mai JSON utilizzarle. Tuttavia, se utilizzi politiche in linea per gruppi o politiche complesse, devi comunque creare e modificare tali politiche nell'JSONeditor utilizzando la console. Per ulteriori informazioni sull'uso dell'editor grafico, consultare Definisci IAM autorizzazioni personalizzate con policy gestite dal cliente e Modifica IAM le politiche.

Quando crei o modifichi una JSON politica, IAM puoi eseguire la convalida della politica per aiutarti a creare una politica efficace. IAMidentifica gli errori di JSON sintassi, mentre IAM Access Analyzer fornisce controlli aggiuntivi delle politiche con consigli per aiutarti a perfezionare ulteriormente le politiche. Per ulteriori informazioni sulla convalida delle policy, consulta IAMconvalida delle politiche. Per ulteriori informazioni sui controlli delle policy di IAM Access Analyzer e sui consigli attuabili, consulta Convalida delle policy di Access Analyzer. IAM

JSONstruttura dei documenti politici

Come illustrato nella figura seguente, un documento JSON politico include questi elementi:

  • Informazioni opzionali sulla policy nella parte superiore del documento

  • Una o più istruzioni singole

Ogni istruzione include informazioni su una singola autorizzazione. Se una politica include più dichiarazioni, AWS applica una logica a OR tutte le istruzioni durante la valutazione. Se a una richiesta si applicano più politiche, AWS applica una logica a OR tutte quelle politiche durante la valutazione.

JSONstruttura del documento politico

Le informazioni di un'istruzione sono contenute all'interno di una serie di elementi.

  • Version: specifica la versione del linguaggio di policy che desideri utilizzare. Consigliamo di utilizzare la versione 2012-10-17 più recente. Per ulteriori informazioni, consulta IAMJSONelementi politici: Version

  • Statement: utilizza questo elemento principale della policy come container per i seguenti elementi. Puoi includere più istruzioni in una policy.

  • Sid (facoltativo): includi un ID istruzione opzionale per distinguere le varie istruzioni.

  • Effect: utilizza Allow o Deny per indicare se la policy consente l'accesso o lo rifiuta.

  • Principal (obbligatorio solo in alcune circostanze): se crei una policy basata sulle risorse, devi indicare l'account, l'utente, il ruolo o l'utente federato a cui desideri consentire o rifiutare l'accesso. Se si sta creando una politica di IAM autorizzazioni da associare a un utente o a un ruolo, non è possibile includere questo elemento. L'entità principale è implicita come l'utente o il ruolo.

  • Action: includi un elenco delle operazioni consentite o rifiutate dalla policy.

  • Resource(Obbligatorio solo in alcune circostanze): se si crea una politica di IAM autorizzazioni, è necessario specificare un elenco di risorse a cui si applicano le azioni. Se crei una policy basata sulle risorse, questo elemento è facoltativo. Se non includi questo elemento, la risorsa a cui si applica l'operazione è la risorsa a cui è collegata la policy.

  • Condition (facoltativo): specifica le circostanze in base alle quali la policy concede l'autorizzazione.

Per informazioni su questi e altri elementi di policy più avanzati, consulta IAMJSONriferimento all'elemento della politica.

Istruzioni e policy multiple

Per definire più di un'autorizzazione per un'entità (utente o ruolo), puoi utilizzare più istruzioni in una singola policy. Puoi anche collegare più policy. Se tenti di definire più autorizzazioni in un'unica istruzione, la policy potrebbe non concedere l'accesso come previsto. Ti consigliamo di suddividere le policy in base al tipo di risorsa.

A causa delle dimensioni limitate delle policy, può essere necessario utilizzare più policy per le autorizzazioni più complesse. È inoltre consigliabile creare raggruppamenti funzionali di autorizzazioni in una policy gestita dal cliente separata. Ad esempio, crea una politica per la gestione IAM degli utenti, una per l'autogestione e un'altra politica per la gestione dei bucket S3. Indipendentemente dalla combinazione di più dichiarazioni e più politiche, AWS valuta le tue politiche allo stesso modo.

Ad esempio, la policy seguente include tre istruzioni, ciascuna delle quali definisce un set di autorizzazioni separato all'interno di un unico account. Le istruzioni definiscono quanto segue:

  • La prima istruzione, con un Sid (ID istruzione) di FirstStatement, consente all'utente con la policy collegata di modificare la propria password. In questa istruzione l'elemento Resource è * (che significa "tutte le risorse"). Ma in pratica, l'ChangePasswordAPIoperazione (o il change-password CLI comando equivalente) influisce solo sulla password dell'utente che effettua la richiesta.

  • La seconda istruzione consente all'utente di elencare tutti i bucket Amazon S3 del proprio Account AWS. In questa istruzione l'elemento Resource è "*" (che significa "tutte le risorse"). Tuttavia, poiché le policy non concedono l'accesso alle risorse di altri account, l'utente può elencare solo i bucket del proprio Account AWS.

  • La terza istruzione consente all'utente di elencare e recuperare qualsiasi oggetto contenuto in un bucket denominatoamzn-s3-demo-bucket-confidential-data, ma solo quando l'utente è autenticato con l'autenticazione a più fattori (). MFA L'Conditionelemento della policy impone l'autenticazione. MFA

    Quando un'istruzione della policy contiene un elemento Condition, l'istruzione risulta valida solo se per l'elemento Condition viene restituito un valore True. In questo caso, Condition restituisce true quando l'utente è MFA autenticato. Se l'utente non è MFA autenticato, il risultato è falso. Condition In tal caso, la terza istruzione della policy non è applicabile e l'utente non può accedere al bucket amzn-s3-demo-bucket-confidential-data.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "FirstStatement",
      "Effect": "Allow",
      "Action": ["iam:ChangePassword"],
      "Resource": "*"
    },
    {
      "Sid": "SecondStatement",
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*"
    },
    {
      "Sid": "ThirdStatement",
      "Effect": "Allow",
      "Action": [
        "s3:List*",
        "s3:Get*"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket-confidential-data",
        "arn:aws:s3:::amzn-s3-demo-bucket-confidential-data/*"
      ],
      "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
    }
  ]
}

Esempi di sintassi delle politiche JSON

La policy basata sulle identità riportata di seguito consente all'entità principale implicita di elencare un singolo bucket Amazon S3 denominato amzn-s3-demo-bucket: 

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
  }
}

La policy basata su risorse riportata di seguito può essere collegata a un bucket Amazon S3. La policy consente ai membri di uno specifico utente di Account AWS eseguire qualsiasi azione di Amazon S3 nel bucket denominato. amzn-s3-demo-bucket Consente qualsiasi operazione che possa essere eseguita su un bucket o sugli oggetti in esso contenuti. Poiché la policy concede la fiducia solo agli account, i singoli utenti dell'account dovranno comunque ricevere le autorizzazioni per le operazioni Amazon S3 specificate. 

{
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "1",
    "Effect": "Allow",
    "Principal": {"AWS": ["arn:aws:iam::account-id:root"]},
    "Action": "s3:*",
    "Resource": [
      "arn:aws:s3:::amzn-s3-demo-bucket",
      "arn:aws:s3:::amzn-s3-demo-bucket/*"
    ]
  }]
}

Per alcuni esempi di policy per scenari comuni, consulta Esempi di policy basate su identità IAM.

Grant least privilege

Quando crei IAM politiche, segui i consigli di sicurezza standard che prevedono la concessione del privilegio minimo o la concessione solo delle autorizzazioni necessarie per eseguire un'attività. Determina i compiti di utenti e ruoli, quindi crea policy che consentono loro di eseguire solo tali attività.

Inizia con un set di autorizzazioni minimo e concedi autorizzazioni aggiuntive quando necessario. Questo è più sicuro che iniziare con autorizzazioni che siano troppo permissive e cercare di limitarle in un secondo momento.

In alternativa al minimo privilegio, puoi usare le autorizzazioni di policy gestite da AWS o policy con carattere jolly * per iniziare a utilizzare le policy. Considera il rischio per la sicurezza di concedere ai principali più autorizzazioni di quelle necessarie per svolgere il proprio lavoro. Monitora tali principali per sapere quali autorizzazioni stanno utilizzando. Quindi scrivi le policy con il privilegio minimo.

IAMoffre diverse opzioni per aiutarti a rifinire le autorizzazioni concesse.

  • Informazioni sui raggruppamenti a livello di accesso: puoi utilizzare i raggruppamenti a livello di accesso per comprendere il livello di accesso concesso da una policy. Le operazioni delle policy sono classificate come List, Read, Write, Permissions management o Tagging. Ad esempio, è possibile selezionare operazioni dai livelli di accesso List e Read per concedere accesso in sola lettura agli utenti. Per ulteriori informazioni su come utilizzare i riepiloghi delle policy per comprendere le autorizzazioni a livello di accesso, consultare Livelli di accesso nei riepiloghi delle policy.

  • Convalida le politiche: è possibile eseguire la convalida delle politiche utilizzando IAM Access Analyzer durante la creazione e la modifica delle politiche. JSON Consigliamo di rivedere e convalidare tutte le policy esistenti. IAMAccess Analyzer fornisce oltre 100 controlli delle politiche per convalidare le politiche. Genera avvisi di sicurezza quando una istruzione nella tua policy consente l'accesso che consideriamo eccessivamente permissivo. È possibile utilizzare i suggerimenti utili forniti tramite gli avvisi di sicurezza mentre si lavora per concedere il minimo privilegio. Per ulteriori informazioni sui controlli delle policy forniti da IAM Access Analyzer, vedi Convalida delle policy di IAMAccess Analyzer.

  • Genera una politica basata sull'attività di accesso: per aiutarti a perfezionare le autorizzazioni concesse, puoi generare una IAM politica basata sull'attività di accesso per un'IAMentità (utente o ruolo). IAMAccess Analyzer esamina AWS CloudTrail i log e genera un modello di policy che contiene le autorizzazioni utilizzate dall'entità nel periodo di tempo specificato. È possibile utilizzare il modello per creare una politica gestita con autorizzazioni dettagliate e quindi collegarla all'entità. IAM In questo modo, concedi solo le autorizzazioni necessarie all'utente o al ruolo per interagire con le AWS risorse per il tuo caso d'uso specifico. Per ulteriori informazioni, consulta Generazione di policy di IAM Access Analyzer.

  • Utilizza informazioni sull'ultimo accesso: un'altra funzionalità che può aiutarti con il minimo privilegio èInformazioni sull'ultimo accesso. Visualizza queste informazioni nella scheda Access Advisor nella pagina dei dettagli della IAM console per un IAM utente, gruppo, ruolo o policy. Le informazioni sull'ultimo accesso includono anche informazioni sulle azioni a cui è stato effettuato l'ultimo accesso per alcuni servizi, come Amazon EC2IAM, Lambda e Amazon S3. Se accedi utilizzando le credenziali dell'account di AWS Organizations gestione, puoi visualizzare le informazioni sull'ultimo accesso al servizio nella AWS Organizationssezione della console. IAM È inoltre possibile utilizzare AWS CLI o AWS API per recuperare un rapporto con le informazioni dell'ultimo accesso per entità o politiche nelle IAM nostre Organizzazioni. Puoi utilizzare queste informazioni per identificare le autorizzazioni non necessarie in modo da perfezionare IAM le tue politiche o quelle di Organizations per aderire meglio al principio del privilegio minimo. Per ulteriori informazioni, consulta Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso.

  • Rivedi gli eventi dell'account in AWS CloudTrail: per ridurre ulteriormente le autorizzazioni, puoi visualizzare gli eventi del tuo account nella Cronologia degli eventi. AWS CloudTrail CloudTrail i registri degli eventi includono informazioni dettagliate sugli eventi che puoi utilizzare per ridurre le autorizzazioni della politica. I registri includono solo le azioni e le risorse di cui le IAM entità hanno bisogno. Per ulteriori informazioni, vedere Visualizzazione CloudTrail degli eventi nella CloudTrail console nella Guida per l'AWS CloudTrail utente.

Per ulteriori informazioni, consulta i seguenti argomenti di policy per singoli servizi, che forniscono esempi di come scrivere policy per le risorse specifiche del servizio.