Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Policy gestite e policy inline
Quando imposti le autorizzazioni per un'identità in IAM, dovrai scegliere tra una policy gestita da AWS, una policy gestita dal cliente o una policy inline. Gli argomenti seguenti forniscono ulteriori informazioni su ciascuno dei tipi di policy basate sull'identità e su quando utilizzarli.
Argomenti
AWS policy gestite
Una policy gestita da AWS è una policy autonoma che viene creata e amministrata da AWS. Policy autonoma significa che la policy ha un proprio Amazon Resource Name (ARN) che include il nome della policy. Ad esempio, arn:aws:iam::aws:policy/IAMReadOnlyAccess è una policy gestita da AWS. Per ulteriori informazioni sugli ARN, consultare la pagina ARN IAM. Per un elenco delle politiche AWS gestite perServizi AWS, consulta le politiche AWS gestite.
Le policy gestite da AWS consentono di assegnare facilmente le autorizzazioni appropriate a utenti, gruppi e ruoli. È più veloce della scrittura delle policy in autonomia e include le autorizzazioni per molti casi d'uso comuni.
Non è possibile modificare le autorizzazioni definite nelle policy gestite da AWS. AWS aggiorna di tanto in tanto le autorizzazioni definite in una policy gestita da AWS. Quando AWS effettua questa operazione, l'aggiornamento interessa tutte le entità principali (utenti, gruppi e ruoli) a cui la policy è collegata. È probabile che AWS aggiorni una policy gestita da AWS quando viene lanciato un nuovo servizio AWS o quando nuove chiamate API diventano disponibili per servizi esistenti. Ad esempio, la policy AWS gestita denominata ReadOnlyAccessfornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando AWS avvia un nuovo servizio, AWS aggiorna la ReadOnlyAccesspolitica per aggiungere autorizzazioni di sola lettura per il nuovo servizio. Le autorizzazioni aggiornate vengono applicate a tutte le entità principali a cui la policy è collegata.
Le policy gestite da AWS con accesso completo definiscono le autorizzazioni per gli amministratori del servizio, concedendo accesso completo a un servizio.
Le policy gestite da AWS per utenti esperti forniscono l'accesso completo ai servizi e alle risorse AWS, ma non consentono la gestione di utenti e gruppi.
Le policy gestite da AWS ad accesso parziale forniscono livelli specifici di accesso ai servizi AWS, ma non consentono la gestione delle autorizzazioni a livello di accesso.
Una categoria particolarmente utile delle policy gestite da AWS è quella progettate per le funzioni lavorative. Queste policy si allineano strettamente alle funzioni lavorative comunemente utilizzate nel settore IT e facilitano la concessione delle autorizzazioni per queste funzioni lavorative. Uno dei principali vantaggi dell'utilizzo di queste policy per le funzioni lavorative è che sono gestite e aggiornate da AWS, quando nuovi servizi e operazioni API vengono introdotte. Ad esempio, la funzione AdministratorAccessjob fornisce l'accesso completo e la delega delle autorizzazioni a ogni servizio e risorsa in uso. AWS Si consiglia di utilizzare questa policy solo per l'amministratore dell'account. Per gli utenti esperti che richiedono l'accesso completo a tutti i servizi tranne l'accesso limitato a IAM and Organizations, utilizza la funzione PowerUserAccessjob. Per un elenco e descrizioni delle policy delle mansioni lavorative, consulta AWS politiche gestite per le funzioni lavorative.
Il diagramma seguente illustra le policy gestite da AWS. Il diagramma mostra tre politiche AWS gestite: AdministratorAccessPowerUserAccess, e AWSCloudTrailReadOnlyAccess. Si noti che una singola policy gestita da AWS può essere collegata alle entità principali in diversi Account AWS e a diverse entità principali in un singolo Account AWS.
Policy gestite dal cliente
Puoi creare policy autonome nel tuo Account AWS che possono essere collegate a entità principali (utenti, gruppi e ruoli). Puoi creare queste policy gestite dal cliente per i tuoi casi d'uso specifici e modificarle e aggiornarle tutte le volte che desideri. Come per le policy gestite da AWS, quando colleghi una policy a un'entità principale, fornisci all'entità le autorizzazioni definite nella policy. Quando le autorizzazioni della policy vengono aggiornate, le modifiche vengono applicate a tutte le entità principali a cui è collegata la policy.
Un ottimo modo per creare una policy gestita dal cliente è iniziare copiando una policy gestita da AWS esistente. In questo modo è possibile assicurarsi che la policy sia corretta come base ed è sufficiente personalizzarla per il proprio ambiente.
Il diagramma seguente illustra le policy gestite dal cliente. Ogni policy è un'entità in IAM con un proprio Amazon Resource Name (ARN) che include il nome della policy. Si noti che la stessa policy può essere collegata a più entità principali, ad esempio, la stessa policy DynamoDB-books-app è collegata a due diversi ruoli IAM.
Per ulteriori informazioni, consultare Creazione di policy IAM
Policy inline
Una policy inline è una policy creata per una singola identità IAM (utente, gruppo o ruolo). Le politiche in linea mantengono una stretta one-to-one relazione tra una politica e un'identità. Vengono eliminate quando elimini l'identità. È possibile creare una policy e incorporarla in un'identità, sia quando si crea l'identità sia in un secondo momento. Se una policy può essere applicata a più di un'entità, è meglio utilizzare una policy gestita.
Il diagramma seguente illustra le policy inline. Ogni policy è parte integrante dell'utente, gruppo o ruolo. Si noti che i due ruoli includono la stessa policy (la policy DynamoDB-books-app), ma non condividono una singola policy. Ogni ruolo dispone di una propria copia della policy.
