Creazione dei ruoli e collegamento delle policy (console) - AWS Identity and Access Management
Esempio 1: configurazione di un utente come amministratore di database (console)Esempio 2: configurazione di un utente come amministratore di rete (console)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione dei ruoli e collegamento delle policy (console)

Molte delle politiche elencate in precedenza concedono la possibilità di configurare AWS servizi con ruoli che consentono a tali servizi di eseguire operazioni per conto dell'utente. Le policy della funzione lavorativa specificano i nomi di ruolo esatti che è necessario utilizzare o almeno includono un prefisso che specifica la prima parte del nome che può essere utilizzato. Per creare uno di questi ruoli, eseguire le operazioni descritte nella procedura seguente.

Per creare un ruolo per una Servizio AWS (console IAM)

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione della console IAM, scegliere Ruoli e quindi Crea ruolo.

  3. Per Trusted entity type (Tipo di entità attendibile), scegli Servizio AWS.

  4. Per Servizio o caso d'uso, scegli un servizio, quindi scegli il caso d'uso. I casi d'uso sono definiti dal servizio in modo da includere la policy di attendibilità richiesta dal servizio.

  5. Seleziona Successivo.

  6. Per i criteri di autorizzazione, le opzioni dipendono dal caso d'uso selezionato:

    • Se il servizio definisce le autorizzazioni per il ruolo, non è possibile selezionare le politiche di autorizzazione.

    • Seleziona da un set limitato di politiche di autorizzazione.

    • Seleziona tra tutte le politiche di autorizzazione.

    • Seleziona nessuna politica di autorizzazione, crea le politiche dopo la creazione del ruolo e quindi allega le politiche al ruolo.

  7. (Facoltativo) Impostare un limite delle autorizzazioni. Questa è una caratteristica avanzata disponibile per i ruoli di servizio, ma non per i ruoli collegati ai servizi.

    1. Apri la sezione Imposta i limiti delle autorizzazioni, quindi scegli Usa un limite di autorizzazioni per controllare il numero massimo di autorizzazioni per il ruolo.

      IAM include un elenco delle politiche AWS gestite e gestite dal cliente nel tuo account.

    2. Selezionare la policy da utilizzare per il limite delle autorizzazioni.

  8. Seleziona Successivo.

  9. Per Role name, le opzioni dipendono dal servizio:

    • Se il servizio definisce il nome del ruolo, non è possibile modificare il nome del ruolo.

    • Se il servizio definisce un prefisso per il nome del ruolo, è possibile inserire un suffisso opzionale.

    • Se il servizio non definisce il nome del ruolo, puoi assegnare un nome al ruolo.

      Importante

      Quando assegnate un nome a un ruolo, tenete presente quanto segue:

      • I nomi dei ruoli devono essere univoci all'interno del tuo Account AWS account e non possono essere resi unici per caso.

        Ad esempio, non creare ruoli denominati entrambi PRODROLE eprodrole. Quando un nome di ruolo viene utilizzato in una policy o come parte di un ARN, il nome del ruolo fa distinzione tra maiuscole e minuscole, tuttavia quando un nome di ruolo viene visualizzato dai clienti nella console, ad esempio durante il processo di accesso, il nome del ruolo non fa distinzione tra maiuscole e minuscole.

      • Non è possibile modificare il nome del ruolo dopo averlo creato perché altre entità potrebbero fare riferimento al ruolo.

  10. (Facoltativo) In Descrizione, inserisci una descrizione per il ruolo.

  11. (Facoltativo) Per modificare i casi d'uso e le autorizzazioni per il ruolo, nelle sezioni Passo 1: Seleziona entità attendibili o Passaggio 2: Aggiungi autorizzazioni, scegli Modifica.

  12. (Facoltativo) Per facilitare l'identificazione, l'organizzazione o la ricerca del ruolo, aggiungi tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo di tag in IAM, consulta la sezione Applicazione di tag alle risorse IAM nella Guida per l'utente di IAM.

  13. Verificare il ruolo e quindi scegliere Create role (Crea ruolo).

Esempio 1: configurazione di un utente come amministratore di database (console)

Questo esempio illustra i passaggi necessari per configurare Alice, un utente IAM, come Amministratore del database. Utilizza le informazioni nella prima riga della tabella nella sezione e consenti all'utente di abilitare il monitoraggio Amazon RDS. Alleghi la DatabaseAdministratorpolicy all'utente IAM di Alice in modo che possa gestire i servizi di database Amazon. Questa policy, inoltre, consente ad Alice di passare un ruolo denominato rds-monitoring-role al servizio Amazon RDS, che consente al servizio di monitorare i database Amazon RDS per suo conto.

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Scegli Policy e inserisci database nella casella di ricerca, quindi premi Invio.

  3. Seleziona il pulsante di opzione relativo alla DatabaseAdministratorpolicy, scegli Azioni, quindi scegli Allega.

  4. Nell'elenco di entità, seleziona Alice, quindi scegli Collega policy. Alice ora può amministrare AWS i database. Tuttavia, per consentire ad Alice di monitorare tali database, è necessario configurare il ruolo di servizio.

  5. Nel pannello di navigazione della console IAM, scegliere Ruoli e quindi Crea ruolo.

  6. Seleziona il tipo di ruolo Servizio AWS , quindi scegli Amazon RDS.

  7. Seleziona il caso d'uso Ruolo Amazon RDS per il monitoraggio avanzato.

  8. Amazon RDS definisce le autorizzazioni per il ruolo. Selezionare Next: Review (Successivo: esamina) per continuare.

  9. Il nome del ruolo deve essere uno di quelli specificati dalla DatabaseAdministrator politica di cui dispone ora Alice. Uno di questi è rds-monitoring-role. Inseriscilo in Role name (Nome ruolo).

  10. (Facoltativo) In Descrizione ruolo, immettere una descrizione per il nuovo ruolo.

  11. Dopo aver revisionato i dettagli, selezionare Create role (Crea ruolo).

  12. Alice ora può abilitare Monitoraggio avanzato RDS nella sezione Monitoraggio della console Amazon RDS. Ad esempio, può eseguire questa operazione quando crea un'istanza database, crea una replica di lettura o modifica un'istanza di database. Devono inserire il nome del ruolo che hanno creato (rds-monitoring-role) nella casella Ruolo di monitoraggio quando impostano Abilita monitoraggio avanzato su .

Esempio 2: configurazione di un utente come amministratore di rete (console)

Questo esempio illustra i passaggi necessari per configurare Jorge, un utente IAM, come Amministratore di rete. Utilizza le informazioni nella tabella in tale sezione per consentire a Jorge di monitorare il traffico IP in uscita e in entrata da VPC. Consente inoltre a Jorge di acquisire tali informazioni nei log in CloudWatch Logs. Alleghi la NetworkAdministratorpolicy all'utente IAM di Jorge in modo che possa configurare le risorse di rete. AWS Inoltre, tale policy consente a Jorge di passare un ruolo il cui nome inizia con flow-logs* ad Amazon EC2 al momento della creazione del log di flusso. In questo scenario, diversamente dall'esempio 1, non è disponibile un tipo di ruolo di servizio predefinito, è necessario eseguire pochi passaggi in maniera diversa.

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Policy e inserisci network nella casella di ricerca, quindi premi Invio.

  3. Seleziona il pulsante di opzione accanto alla NetworkAdministratorpolicy, scegli Azioni, quindi scegli Allega.

  4. Nell'elenco degli utenti, seleziona la casella di controllo accanto a Jorge e scegli Attach policy (Collega policy). Jorge ora può amministrare le risorse di AWS rete. Tuttavia, per consentire il monitoraggio di traffico IP nel VPC, è necessario configurare il ruolo del servizio.

  5. Poiché il ruolo del servizio che bisogna creare non dispone di una policy gestita predefinita, è necessario prima crearlo. Nel riquadro di navigazione, selezionare Policies (Policy) e Create Policy (Crea policy).

  6. Nella sezione Editor di policy, seleziona l'opzione JSON e copia il testo dal seguente documento della policy JSON. Incolla il testo nella casella di testo JSON. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  7. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la convalida delle policy, quindi scegli Next (Successivo).

    Nota

    È possibile alternare le opzioni dell'editor Visivo e JSON in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona Successivo nell'editor Visivo, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta Modifica della struttura delle policy.

  8. Nella pagina Verifica e crea, digita vpc-flow-logs-policy-for-service-role come nome della policy. Rivedi il campo Autorizzazioni definite in questa policy per visualizzare le autorizzazioni concesse dalla policy, quindi seleziona Crea policy per salvare il lavoro.

    La nuova policy appare nell'elenco delle policy gestite ed è pronta a collegare.

  9. Nel pannello di navigazione della console IAM, scegliere Ruoli e quindi Crea ruolo.

  10. Seleziona il tipo di ruolo Servizio AWS , quindi scegli Amazon EC2.

  11. Seleziona il caso d'uso Amazon EC2.

  12. Nella pagina Allega criteri di autorizzazione, scegli la politica che hai creato in precedenza, vpc-flow-logs-policy- for-service-role, quindi scegli Avanti: revisione.

  13. Il nome del ruolo deve essere consentito dalla NetworkAdministrator politica attuale di Jorge. Qualsiasi nome che inizia con flow-logs- è consentito. Per questo esempio, inserisci flow-logs-for-jorge come Role name (Nome del ruolo).

  14. (Facoltativo) In Descrizione ruolo, immettere una descrizione per il nuovo ruolo.

  15. Dopo aver revisionato i dettagli, selezionare Create role (Crea ruolo).

  16. Ora è possibile configurare la policy attendibilità necessaria per questo scenario. Nella pagina Ruoli, scegli il flow-logs-for-jorgeruolo (il nome, non la casella di controllo). Nella pagina dei dettagli per il nuovo ruolo, selezionare la scheda Trust relationships (Relazioni di trust) e selezionare Edit trust relationship (Modifica relazione di trust).

  17. Modificare la riga "Servizio" come segue, sostituendo la voce per ec2.amazonaws.com:

            "Service": "vpc-flow-logs.amazonaws.com"

  18. Jorge può ora creare log di flusso da un VPC o una sottorete nella console Amazon EC2. Quando crei il log di flusso, specifica il flow-logs-for-jorgeruolo. Quel ruolo dispone delle autorizzazioni per creare il log e scriverci dati.