Policy gestite obsolete AWS

Per semplificare l'assegnazione delle autorizzazioni, AWS fornisce policy gestite, ossia policy predefinite pronte per essere associate agli utenti, ai gruppi e ai ruoli IAM.

A volte è AWS necessario aggiungere una nuova autorizzazione a una politica esistente, ad esempio quando viene introdotto un nuovo servizio. L'aggiunta di una nuova autorizzazione a una policy esistente non disturba o rimuove qualsiasi caratteristica o possibilità.

Tuttavia, AWS potrebbe scegliere di creare una nuova politica quando le modifiche necessarie potrebbero avere un impatto sui clienti se applicate a una politica esistente. Ad esempio, la rimozione delle autorizzazioni da una policy esistente potrebbe violare le autorizzazioni di qualsiasi entità o applicazione IAM dalla quale dipendeva, disturbando potenzialmente un'operazione critica.

Pertanto, quando è necessaria una tale modifica, AWS crea una politica completamente nuova con le modifiche richieste e la mette a disposizione dei clienti. La policy vecchia viene contrassegnata come obsoleta. Una policy gestita obsoleta appare con un'icona di avviso vicino all'elenco Policy nella console IAM.

Una policy obsoleta presenta le seguenti caratteristiche:

• Continua a funzionare per tutti gli utenti, gruppi e ruoli attualmente collegati. Nessuna interruzione.

• Non può essere collegata a nuovi utenti, gruppi e ruoli. Se viene scollegata da un'entità corrente, non è possibile collegarla nuovamente.

• Dopo averla scollegata da tutte le entità correnti, non è più visibile e non può essere utilizzata in alcun modo.

Se qualsiasi utente, gruppo o ruolo richiede la policy, bisogna invece collegare la nuova policy. Quando si riceve un avviso che una policy è obsoleta, è consigliabile collegare immediatamente tutti gli utenti, gruppi e ruoli per la policy di sostituzione e scollegarli dalla policy obsoleta. Continuare a utilizzare la policy obsoleta può creare rischi mitigati solo dal passaggio alla policy di sostituzione.