Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Policy gestite e policy inline
Quando imposti le autorizzazioni per un'identità inIAM, devi decidere se utilizzare una politica gestita, una politica AWS gestita dal cliente o una politica in linea. Gli argomenti seguenti forniscono ulteriori informazioni su ciascuno dei tipi di policy basate sull'identità e su quando utilizzarli.
Argomenti
AWS politiche gestite
Una policy gestita da AWS è una policy autonoma che viene creata e amministrata da AWS. Una policy autonoma significa che la policy ha un proprio Amazon Resource Name (ARN) che include il nome della policy. Ad esempio, arn:aws:iam::aws:policy/IAMReadOnlyAccess
è una politica AWS gestita. Per ulteriori informazioni suARNs, vedereIAM ARNs. Per un elenco delle politiche AWS gestite per Servizi AWS, consulta le politiche AWS gestite.
AWS le politiche gestite semplificano l'assegnazione delle autorizzazioni appropriate a utenti, IAM gruppi e ruoli. È più veloce della scrittura delle policy in autonomia e include le autorizzazioni per molti casi d'uso comuni.
Non è possibile modificare le autorizzazioni definite nelle AWS politiche gestite. AWS aggiorna occasionalmente le autorizzazioni definite in una politica AWS gestita. In tal caso AWS , l'aggiornamento influisce su tutte le entità principali (IAMutenti, IAM gruppi e IAM ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando viene lanciato un nuovo AWS servizio o quando diventano disponibili nuove API chiamate per i servizi esistenti. Ad esempio, la policy AWS gestita denominata ReadOnlyAccessfornisce l'accesso in sola lettura a tutte Servizi AWS le risorse. Quando AWS avvia un nuovo servizio, AWS aggiorna la ReadOnlyAccesspolitica per aggiungere autorizzazioni di sola lettura per il nuovo servizio. Le autorizzazioni aggiornate vengono applicate a tutte le entità principali a cui la policy è collegata.
Policy AWS gestite ad accesso completo: definiscono le autorizzazioni per gli amministratori del servizio concedendo l'accesso completo a un servizio. Esempi includono:
Politiche AWS gestite dagli utenti esperti: forniscono l'accesso completo alle risorse Servizi AWS e alle risorse, ma non consentono la gestione di utenti e gruppi. IAM Esempi includono:
Policy AWS gestite ad accesso parziale: forniscono livelli di accesso specifici alle autorizzazioni a livello di accesso Servizi AWS senza consentire la gestione delle autorizzazioni. Esempi includono:
Politiche di AWS gestione delle funzioni lavorative: queste politiche si allineano strettamente alle funzioni lavorative comunemente utilizzate nel settore IT e facilitano la concessione delle autorizzazioni per tali funzioni lavorative. Uno dei principali vantaggi dell'utilizzo delle politiche relative alle funzioni lavorative è che vengono mantenute e aggiornate AWS man mano che vengono introdotti nuovi servizi e API operazioni. Ad esempio, la funzione AdministratorAccessjob fornisce l'accesso completo e la delega delle autorizzazioni a ogni servizio e risorsa in AWS uso. Si consiglia di utilizzare questa policy solo per l'amministratore dell'account. Per gli utenti esperti che richiedono l'accesso completo a tutti i servizi tranne l'accesso limitato a IAM e Organizations, utilizza la funzione PowerUserAccessjob. Per un elenco e descrizioni delle policy delle mansioni lavorative, consulta AWS Policy gestite per le funzioni lavorative.
Il diagramma seguente illustra le politiche AWS gestite. Il diagramma mostra tre politiche AWS gestite: AdministratorAccessPowerUserAccess, e _.AWS CloudTrail ReadOnlyAccess Si noti che una singola politica AWS gestita può essere associata a entità principali diverse Account AWS e a diverse entità principali in un'unica Account AWS entità.
Policy gestite dal cliente
È possibile creare politiche autonome personalizzate Account AWS da allegare alle entità principali (IAMutenti, IAM gruppi e IAM ruoli). Puoi creare queste policy gestite dal cliente per i tuoi casi d'uso specifici e modificarle e aggiornarle tutte le volte che desideri. AWS Analogamente alle politiche gestite, quando si allega una politica a un'entità principale, si assegnano all'entità le autorizzazioni definite nella politica. Quando le autorizzazioni della policy vengono aggiornate, le modifiche vengono applicate a tutte le entità principali a cui è collegata la policy.
Un ottimo modo per creare una policy gestita dal cliente è iniziare copiando una policy gestita da AWS esistente. In questo modo è possibile assicurarsi che la policy sia corretta come base ed è sufficiente personalizzarla per il proprio ambiente.
Il diagramma seguente illustra le policy gestite dal cliente. Ogni policy è un'entità IAM con il proprio Amazon Resource Name (ARN) che include il nome della policy. Si noti che la stessa policy può essere associata a più entità principali, ad esempio la stessa policy di DynamoDB-Books-App è associata a due ruoli diversi. IAM
Per ulteriori informazioni, consulta Definisci IAM autorizzazioni personalizzate con policy gestite dal cliente
Policy inline
Una policy in linea è una policy creata per una singola IAM identità (un utente, un gruppo di utenti o un ruolo). Le politiche in linea mantengono una stretta one-to-one relazione tra una politica e un'identità. Vengono eliminate quando elimini l'identità. È possibile creare una policy e incorporarla in un'identità, sia quando si crea l'identità sia in un secondo momento. Se una policy può essere applicata a più di un'entità, è meglio utilizzare una policy gestita.
Il diagramma seguente illustra le policy inline. Ogni policy è parte integrante dell'utente, gruppo o ruolo. Si noti che i due ruoli includono la stessa policy (la policy DynamoDB-books-app), ma non condividono una singola policy. Ogni ruolo dispone di una propria copia della policy.