Riepilogo della policy (elenco di servizi) - AWS Identity and Access Management
Visualizzazione dei riepiloghi delle policyModifica delle policy per correggere gli avvisiComprendere gli elementi del riepilogo di una policyDocumento di policy JSON SummaryAllElements

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Riepilogo della policy (elenco di servizi)

Le policy sono riassunte in tre tabelle: riepilogo della policy, riepilogo del servizio e riepilogo dell'operazione. La tabella riepilogo della policy include un elenco di servizi e riepiloghi delle autorizzazioni definite dalla policy scelta.

Immagine del diagramma dei riepiloghi delle policy che mostra le 3 tabelle e le loro relazioni

La tabella di riepilogo della policy è raggruppata in una o più sezioni: Uncategorized services (Servizi non categorizzati), Explicit deny (Rifiuto esplicito) e Allow (Permetti). Se la policy include un servizio che IAM non riconosce, il servizio viene incluso nella sezione Servizi non categorizzati della tabella. Se IAM riconosce il servizio, viene incluso nelle sezioni Rifiuto esplicito o Permetti della tabella, a seconda dell'effetto della policy (Deny o Allow).

Visualizzazione dei riepiloghi delle policy

È possibile visualizzare i riepiloghi di tutte le policy allegate a un utente scegliendo il nome della policy nella scheda Autorizzazioni nella pagina dei dettagli dell'utente. È possibile visualizzare i riepiloghi di tutte le policy allegate a un ruolo scegliendo il nome della policy nella scheda Autorizzazioni nella pagina dei dettagli dell'utente. È possibile visualizzare il riepilogo della policy per le policy gestite nella pagina Policies (Policy). Se la policy non include un riepilogo, consultare Riepilogo della policy mancante per scoprire perché.

Per visualizzare il riepilogo della policy dalla pagina Policies (Policy)

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, seleziona Policy.

  3. Nell'elenco delle policy, selezionare il nome della policy che si desidera modificare.

  4. Nella pagina Dettagli della policy per la policy, visualizza la scheda Autorizzazioni per consultare il riepilogo della policy.

Per visualizzare il riepilogo per una policy collegata a un utente

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Selezionare Users (Utenti) dal riquadro di navigazione.

  3. Nell'elenco di utenti, selezionare il nome dell'utente la cui policy si desidera visualizzare.

  4. Nella pagina Summary (Riepilogo) per l'utente, visualizzare la scheda Permissions (Autorizzazioni) per visualizzare l'elenco di policy collegate all'utente direttamente o da un gruppo.

  5. Nella tabella di policy per l'utente, espandere la riga della policy che si desidera visualizzare.

Per visualizzare il riepilogo per una policy collegata a un ruolo

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, seleziona Ruoli.

  3. Nell'elenco di ruoli, selezionare il nome del ruolo la cui policy si desidera visualizzare.

  4. Nella pagina Summary (Riepilogo) per il ruolo, visualizzare la scheda Permissions (Autorizzazioni) per visualizzare l'elenco di policy collegate al ruolo.

  5. Nella tabella di policy per il ruolo, espandere la riga della policy che si desidera visualizzare.

Modifica delle policy per correggere gli avvisi

Durante la visualizzazione di un riepilogo della policy, è possibile che venga rilevato un errore o che la policy non fornisca le autorizzazioni previste. Non è possibile modificare direttamente un riepilogo della policy. Tuttavia, è possibile modificare una policy gestita dal cliente utilizzando l'editor visivo della policy, che rileva molti degli stessi errori e avvisi segnalati dal riepilogo della policy. È quindi possibile visualizzare le modifiche nel riepilogo della policy per verificare se sono stati risolti tutti i problemi. Per ulteriori informazioni su come modificare una policy inline, consultare Modifica delle policy IAM. Non è possibile modificare le politiche AWS gestite.

Per modificare una policy per il riepilogo della policy tramite l'opzione Visivo

  1. Aprire il riepilogo della policy come spiegato nelle procedure precedenti.

  2. Scegli Modifica.

    Se nella pagina Users (Utenti) si sceglie di modificare una policy gestita dal cliente collegata a tale utente, si viene reindirizzati alla pagina Policies (Policy). È possibile modificare le policy gestite dai clienti solo nella pagina Policies (Policy).

  3. Seleziona l'opzione Visivo per visualizzare la rappresentazione visiva modificabile della policy. IAM potrebbe modificare la struttura della policy per ottimizzarla per l'editor visivo e facilitare così la ricerca e la risoluzione di eventuali problemi. Gli avvisi e i messaggi di errore nella pagina possono agevolare la risoluzione di eventuali problemi della policy. Per ulteriori informazioni sul modo in cui IAM modifica la struttura delle policy, consulta Modifica della struttura delle policy.

  4. Modifica la policy e seleziona Successivo per visualizzare le modifiche riflesse nel riepilogo della policy. Se sono presenti ancora problemi, selezionare Previous (Precedente) per tornare alla schermata di modifica.

  5. Per salvare le modifiche, scegliere Salva modifiche.

Per modificare una policy per il riepilogo della policy con l'opzione JSON

  1. Aprire il riepilogo della policy come spiegato nelle procedure precedenti.

  2. Utilizza i pulsanti Riepilogo e JSON per confrontare il riepilogo della policy e il documento della policy JSON. È possibile utilizzare queste informazioni per determinare quali righe del documento di policy modificare.

  3. Scegli Modifica e quindi seleziona l'opzione JSON per modificare il documento della policy JSON.

    Nota

    È possibile alternare le opzioni dell'editor Visivo e JSON in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona Successivo nell'opzione dell'editor Visivo, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta Modifica della struttura delle policy.

    Se nella pagina Users (Utenti) si sceglie di modificare una policy gestita dal cliente collegata a tale utente, si viene reindirizzati alla pagina Policies (Policy). È possibile modificare le policy gestite dai clienti solo nella pagina Policies (Policy).

  4. Modifica la policy. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la convalida delle policy, quindi scegli Next (Successivo). Se sono presenti ancora problemi, selezionare Previous (Precedente) per tornare alla schermata di modifica.

  5. Per salvare le modifiche, scegliere Salva modifiche.

Comprendere gli elementi del riepilogo di una policy

Nel seguente esempio di pagina dei dettagli della policy, la SummaryAllElementspolicy è una policy gestita (policy gestita dal cliente) allegata direttamente all'utente. Questa policy è espansa per visualizzare il riepilogo della policy.

Immagine della finestra di dialogo di riepilogo della policy

Nell'immagine precedente, il riepilogo della policy è visibile all'interno della pagina Policy:

  1. La scheda Autorizzazioni include le autorizzazioni definite nella policy.

  2. Se la policy non concede le autorizzazioni a tutte le operazioni, risorse e condizioni definite per il servizio nella policy, viene visualizzato un banner di avviso o errore nella parte superiore della pagina. Il riepilogo della policy include i dettagli sul problema. Per ulteriori informazioni su come i riepiloghi della policy aiutano a capire e risolvere i problemi delle autorizzazioni che la policy concede, consultare La policy non concede le autorizzazioni previste.

  3. Utilizza i pulsanti Riepilogo e JSON per passare tra il riepilogo della policy e il documento della policy JSON.

  4. Utilizza la casella Cerca per ridurre l'elenco dei servizi e trovare un servizio specifico.

  5. La visualizzazione estesa mostra dettagli aggiuntivi della SummaryAllElementspolitica.

La seguente immagine della tabella di riepilogo della politica mostra la SummaryAllElementspolitica estesa nella pagina dei dettagli della politica.

Immagine della finestra di dialogo di riepilogo della policy

Nell'immagine precedente, il riepilogo della policy è visibile all'interno della pagina Policy:

  1. Per i servizi riconosciuti, IAM li organizza in base al fatto che la policy permetta o rifiuti esplicitamente l'utilizzo del servizio. In questo esempio, la policy include una Deny dichiarazione per il servizio Amazon S3 e Allow dichiarazioni per i servizi di fatturazione e Amazon EC2. CodeDeploy

  2. Servizio: questa colonna riporta i servizi definiti all'interno della policy e fornisce i dettagli per ciascun servizio. Ogni nome di servizio nella tabella di riepilogo della policy è un collegamento alla tabella di riepilogo del servizio illustrata in Riepilogo del servizio (elenco di operazioni). In questo esempio, vengono definite le autorizzazioni per i servizi Amazon S3, Billing CodeDeploy e Amazon EC2.

  3. Livello di accesso: questa colonna indica se le operazioni di ciascun livello di accesso (List, Read, Write, Permission Management e Tagging) dispongono dell'autorizzazione Full o Limited definita nella policy. Per ulteriori informazioni ed esempi del riepilogo del livello di accesso, consultare Comprensione dei livelli di accesso nei riepiloghi delle politiche.

    • Accesso completo: questa voce indica che il servizio ha accesso a tutte le operazioni entro tutti e quattro i livelli di accesso disponibili per il servizio.

    • Se la voce non include Full access (Accesso completo), il servizio ha accesso ad alcune ma non tutte le operazioni per il servizio. L'accesso viene quindi definito dalle seguenti descrizioni per ciascuna delle classificazioni a livello di accesso (List, Read, Write, Permission Management e Tagging):

      Full (Completo): la policy consente l'accesso a tutte le operazioni all'interno di ciascuna classificazione del livello di accesso elencata. In questo esempio, la policy consente l'accesso a tutte le operazioni Read di fatturazione.

      Limited (Limitato): la policy consente l'accesso a una o più operazioni all'interno di ciascuna classificazione del livello di accesso elencata, ma non a tutte. In questo esempio, la policy consente l'accesso ad alcune operazioni Write di fatturazione.

  4. Risorsa: questa colonna mostra le risorse che la policy specifica per ogni servizio.

    • Multiple: la policy include più di una ma non tutte le risorse all'interno del servizio. In questo esempio, l'accesso viene rifiutato esplicitamente a più di una risorsa Amazon S3.

    • Tutte le risorse: la policy è definita per tutte le risorse all'interno del servizio. In questo esempio, la policy permette di eseguire le operazioni elencate per tutte le risorse di fatturazione.

    • Testo della risorsa: la policy include una risorsa all'interno del servizio. In questo esempio, le azioni elencate sono consentite solo sulla risorsa. DeploymentGroupName CodeDeploy A seconda delle informazioni che il servizio fornisce a IAM, è possibile che venga visualizzato un ARN o il tipo di risorsa definita.

      Nota

      Questa colonna può includere una risorsa da un altro servizio. Se l'istruzione di policy che include la risorsa non include entrambe le operazioni e risorse dallo stesso servizio, la policy include le risorse non corrispondenti. IAM non visualizza avvisi per le risorse non corrispondenti al momento della creazione di una policy o della visualizzazione di una policy nel riepilogo della policy. Se questa colonna include una risorsa non corrispondente, è necessario verificare se ci sono errori nella policy. Per verificare meglio le policy, eseguire sempre un test tramite il simulatore di policy.

  5. Condizioni richiesta: questa colonna indica se i servizi o le operazioni associati alla risorsa sono soggetti a condizioni.

    • Nessuna: la policy non include condizioni per il servizio. In questo esempio non vengono applicate condizioni alle operazioni rifiutate nel servizio Amazon S3.

    • Testo della condizione: la policy include una condizione per il servizio. In questo esempio, le operazioni di Fatturazione elencate sono consentite solo se l'indirizzo IP di origine corrisponde a 203.0.113.0/24.

    • Multiple: la policy include più di una condizione per il servizio. Per visualizzare tutte le condizioni multiple per la policy, seleziona JSON per visualizzare il documento della policy.

  6. Mostra servizi rimanenti: attiva/disattiva questo pulsante per espandere la tabella e includere i servizi che non sono definiti dalla policy. Questi servizi vengono rifiutati implicitamente (o rifiutati per impostazione predefinita) all'interno della policy. Tuttavia, un'istruzione in un'altra policy potrebbe permettere o rifiutare esplicitamente l'utilizzo del servizio. Il riepilogo della policy fornisce un elenco delle autorizzazioni di una singola policy. Per informazioni su come il AWS servizio decide se consentire o rifiutare una determinata richiesta, consultaLogica di valutazione delle policy.

Quando una policy o un elemento all'interno della policy non concede autorizzazioni, IAM vengono forniti ulteriori avvisi e informazioni nel riepilogo della policy. La seguente tabella di riepilogo delle politiche mostra la versione estesa dei servizi Mostra i servizi rimanenti nella pagina dei dettagli della SummaryAllElementspolitica con i possibili avvisi.

Immagine della finestra di dialogo di riepilogo della policy

Nell'immagine precedente, è possibile visualizzare tutti i servizi che includono operazioni, risorse o condizioni definite senza autorizzazioni.

  1. Avvisi risorse: per i servizi che non forniscono autorizzazioni per tutte le operazioni o risorse incluse, viene visualizzato uno dei seguenti avvisi nella colonna Risorsa della tabella:

    • No resources are defined (Nessuna risorsa definita) : indica che il servizio ha definito le operazioni, ma nessuna risorsa supportata è inclusa nella policy.

    • One or more actions do not have an applicable resource (Una o più operazioni non hanno una risorsa applicabile) : indica che il servizio ha definito le operazioni, ma che alcune di esse non hanno una risorsa supportata.

    • One or more resources do not have an applicable action (Una o più risorse non hanno un'operazione applicabile) : indica che il servizio ha definito le risorse, ma che alcune di esse non hanno un'operazione di supporto.

    Se un servizio include sia operazioni senza una risorsa applicabile sia risorse con una risorsa applicabile, viene visualizzato solo l'avviso Una o più risorse non hanno un'operazione applicabile. Questo perché quando si visualizza il riepilogo del servizio per il servizio, le risorse che non si applicano a nessuna operazione non vengono visualizzate. Per l'operazione ListAllMyBuckets, questa policy include l'ultimo avvertimento perché l'operazione non supporta le autorizzazioni a livello di risorsa e non supporta la chiave di condizione s3:x-amz-acl. Se si risolve il problema della risorsa o della condizione, il problema rimanente appare in un avviso dettagliato.

  2. Avvisi di condizione richiesta: per i servizi che non forniscono autorizzazioni per tutte le condizioni incluse, viene visualizzato uno dei seguenti avvisi nella colonna Condizione richiesta della tabella:

    • One or more actions do not have an applicable condition (Una o più operazioni non hanno una condizione applicabile) : indica che il servizio ha definito le operazioni, ma che alcune di esse non hanno una condizione supportata.

    • One or more conditions do not have an applicable action (Una o più condizioni non hanno un'operazione applicabile) : indica che il servizio ha definito le condizioni, ma che alcune di esse non hanno un'operazione di supporto.

  3. Multiple | One or more actions do not have an applicable resource (Multiple | Una o più operazioni non hanno una risorsa applicabile). : l'istruzione Deny per Amazon S3 include più di una risorsa. Include anche più di un'operazione e alcune operazioni supportano le risorse, altre no. Per visualizzare questa policy, consulta Documento di policy JSON SummaryAllElements. In questo caso, la policy include tutte le operazioni Amazon S3 e vengono rifiutate solo le operazioni che possono essere eseguite per un oggetto bucket o un bucket.

  4. Nessuna risorsa definita: il servizio ha definito le operazioni, ma nella policy non sono incluse risorse supportate e pertanto il servizio non fornisce autorizzazioni. In questo caso, la politica include CodeCommit azioni ma non CodeCommit risorse.

  5. DeploymentGroupName | string like | All, region | string like | us-west-2 | Una o più azioni non hanno una risorsa applicabile. : il servizio dispone di una operazione definita e di almeno un'altra operazione senza una risorsa di supporto.

  6. Nessuna | Una o più condizioni non hanno un'operazione applicabile. : il servizio dispone almeno di una chiave di condizione che non ha un'operazione di supporto.

Documento di policy JSON SummaryAllElements

La SummaryAllElementspolicy non è pensata per essere utilizzata dall'utente per definire le autorizzazioni nel proprio account. Al contrario, è inclusa per dimostrare gli errori e gli avvisi che possono verificarsi durante la visualizzazione di una policy di riepilogo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "billing:Get*",
                "payments:List*",
                "payments:Update*",
                "account:Get*",
                "account:List*",
                "cur:GetUsage*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "203.0.113.0/24"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "s3:*"
            ],
            "Resource": [
                "arn:aws:s3:::customer",
                "arn:aws:s3:::customer/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetConsoleScreenshots"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "codedploy:*",
                "codecommit:*"
            ],
            "Resource": [
                "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*",
                "arn:aws:codebuild:us-east-1:123456789012:project/my-demo-project"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetObject",
                "s3:DeletObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::developer_bucket",
                "arn:aws:s3:::developer_bucket/*",
                "arn:aws:autoscling:us-east-2:123456789012:autoscalgrp"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": [
                        "public-read"
                    ],
                    "s3:prefix": [
                        "custom",
                        "other"
                    ]
                }
            }
        }
    ]
}