IAMruoli - AWS Identity and Access Management
Quando creare un IAM utente (anziché un ruolo)Termini e concetti dei ruoliRisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

IAMruoli

Un IAM ruolo è un'IAMidentità che puoi creare nel tuo account con autorizzazioni specifiche. Un IAM ruolo è simile a un IAM utente, in quanto è un' AWS identità con politiche di autorizzazione che determinano ciò che l'identità può e non può fare. AWS Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Tuttavia, quando assumi un ruolo, vengono fornite le credenziali di sicurezza provvisorie per la sessione del ruolo.

Puoi utilizzare i ruoli per delegare l'accesso a utenti, applicazioni o servizi che normalmente non hanno accesso alle tue AWS risorse. Ad esempio, potresti voler concedere agli utenti del tuo AWS account l'accesso a risorse che di solito non dispongono o concedere agli utenti di un account Account AWS l'accesso alle risorse di un altro account. Oppure potresti voler consentire a un'app mobile di utilizzare AWS le risorse, ma non incorporare AWS le chiavi all'interno dell'app (dove possono essere difficili da aggiornare e dove gli utenti possono potenzialmente estrarle). A volte si desidera AWS consentire l'accesso a utenti che hanno già identità definite all'esterno AWS, ad esempio nella directory aziendale. In alternativa, è possibile concedere l'accesso all'account a terze parti in modo che possano eseguire un controllo sulle proprie risorse.

In questi scenari, è possibile delegare l'accesso alle AWS risorse utilizzando un IAM ruolo. Questa sezione introduce i ruoli e i diversi modi in cui è possibile utilizzarli, quando e come selezionare gli approcci, come creare, gestire, cambiare (o assumere) ed eliminare i ruoli.

Nota

Quando crei il tuo per la prima volta Account AWS, per impostazione predefinita non viene creato alcun ruolo. Man mano che aggiungi servizi al tuo account, questi possono aggiungere ruoli collegati ai servizi per supportarne i casi d'uso.

Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un IAM amministratore può visualizzare, ma non modificare le autorizzazioni per i ruoli collegati al servizio.

Prima di poter eliminare i ruoli collegati ai servizi, devi eliminare le risorse associate. Questa procedura protegge le risorse di perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Per informazioni su quali servizi supportano i ruoli collegati ai servizi, consulta la pagina AWS servizi che funzionano con IAM e cerca i servizi per cui è indicato nella colonna Ruolo collegato ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Argomenti

Quando creare un IAM utente (anziché un ruolo)

Ti consigliamo di utilizzare IAM gli utenti solo per i casi d'uso non supportati dagli utenti federati. Alcuni dei casi d'uso sono i seguenti:

  • Carichi di lavoro che non possono utilizzare IAM ruoli: potresti eseguire un carico di lavoro da una posizione a cui è necessario accedere. AWS In alcune situazioni, non è possibile utilizzare IAM i ruoli per fornire credenziali temporanee, ad esempio per i plug-in. WordPress In queste situazioni, utilizza le chiavi di accesso a lungo termine IAM dell'utente per il carico di lavoro su cui effettuare l'autenticazione. AWS

  • AWS Client di terze parti: se utilizzi strumenti che non supportano l'accesso con IAM Identity Center, ad esempio AWS client o fornitori di terze parti che non sono ospitati su AWS, utilizza le chiavi di accesso IAM utente a lungo termine.

  • AWS CodeCommit accesso: se lo utilizzi CodeCommit per archiviare il codice, puoi utilizzare un IAM utente con SSH chiavi o credenziali specifiche del servizio CodeCommit per l'autenticazione nei tuoi repository. Ti consigliamo di eseguire questa operazione oltre a utilizzare un utente in IAM Identity Center per la normale autenticazione. Gli utenti di IAM Identity Center sono le persone della tua forza lavoro che hanno bisogno di accedere alle tue applicazioni Account AWS o alle tue applicazioni cloud. Per consentire agli utenti di accedere ai tuoi CodeCommit repository senza configurare IAM gli utenti, puoi configurare l'utilità. git-remote-codecommit Per ulteriori informazioni su IAM and CodeCommit, consulta. IAMcredenziali per CodeCommit: credenziali Git, SSH chiavi e AWS chiavi di accesso Per ulteriori informazioni sulla configurazione dell'git-remote-codecommitutilità, vedere Connessione ai AWS CodeCommit repository con credenziali rotanti nella Guida per l'utente.AWS CodeCommit

  • Accesso ad Amazon Keyspaces (per Apache Cassandra): in una situazione in cui non è possibile utilizzare gli utenti in IAM Identity Center, ad esempio per testare la compatibilità con Cassandra, è possibile utilizzare un IAM utente con credenziali specifiche del servizio per l'autenticazione con Amazon Keyspaces. Gli utenti di IAM Identity Center sono le persone della tua forza lavoro che hanno bisogno di accedere alle tue o alle tue applicazioni cloud. Account AWS Puoi anche connetterti ad Amazon Keyspaces utilizzando credenziali temporanee. Per ulteriori informazioni, consulta Usare le credenziali temporanee per connettersi ad Amazon Keyspaces usando IAM un ruolo e il plug-in SigV4 nella Amazon Keyspaces (for Apache Cassandra) Developer Guide.

  • Accesso di emergenza: in una situazione in cui non puoi accedere al tuo provider di identità e devi intervenire nel tuo Account AWS. La definizione di IAM utenti con accesso di emergenza può far parte del tuo piano di resilienza. Raccomandiamo che le credenziali degli utenti di emergenza siano strettamente controllate e protette utilizzando l'autenticazione a più fattori (). MFA

Termini e concetti dei ruoli

Di seguito sono elencati alcuni termini di base per aiutarti a iniziare a utilizzare i ruoli.

Ruolo

Un'IAMidentità che puoi creare nel tuo account con autorizzazioni specifiche. Un IAM ruolo presenta alcune somiglianze con un IAM utente. Ruoli e utenti sono entrambi identità AWS con policy di autorizzazioni che determinano ciò che l'identità può o non può fare in AWS. Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Tuttavia, quando assumi un ruolo, vengono fornite le credenziali di sicurezza provvisorie per la sessione del ruolo.

I ruoli possono essere assunti nei seguenti modi:

  • Un IAM utente nello stesso Account AWS o in un altro Account AWS

  • IAMruoli nello stesso account

  • Service Principal, da utilizzare con AWS servizi e funzionalità come:

    • Servizi che consentono di eseguire codice su servizi di elaborazione, come Amazon EC2 o AWS Lambda

    • Funzionalità che eseguono azioni sulle tue risorse per tuo conto, come la replica di oggetti Amazon S3

    • Servizi che forniscono credenziali di sicurezza temporanee alle tue applicazioni eseguite all'esterno AWS, come IAM Roles Anywhere o Amazon ECS Anywhere

  • Un utente esterno autenticato da un servizio di identity provider (IdP) esterno compatibile SAML con 2.0 o OpenID Connect

AWS ruolo del servizio

Un ruolo di servizio è un IAMruolo che un servizio assume per eseguire azioni per conto dell'utente. Un IAM amministratore può creare, modificare ed eliminare un ruolo di servizio dall'internoIAM. Per ulteriori informazioni, vedere Creazione di un ruolo per delegare le autorizzazioni a un utente Servizio AWS nella Guida per l'IAMutente.

AWS ruolo collegato al servizio

Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un IAM amministratore può visualizzare, ma non modificare le autorizzazioni per i ruoli collegati al servizio.

Nota

Se stai già utilizzando un servizio quando inizia a supportare i ruoli collegati al servizio, potresti ricevere un'e-mail che annuncia un nuovo ruolo nel tuo account. In questo caso, il servizio ha creato automaticamente il ruolo collegato al servizio nel tuo account. Non è necessario compiere alcuna operazione per supportare questo ruolo e non è necessario eliminarlo manualmente. Per ulteriori informazioni, consulta Un nuovo ruolo appare nell'account AWS.

Per informazioni su quali servizi supportano i ruoli collegati ai servizi, consulta la pagina AWS servizi che funzionano con IAM e cerca i servizi per cui è indicato nella colonna Ruolo collegato ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio. Per ulteriori informazioni, consulta Creazione di un ruolo collegato ai servizi.

Concatenazione del ruolo

Il concatenamento dei ruoli si verifica quando si utilizza un ruolo per assumere un secondo ruolo tramite la sala operatoria. AWS CLI API Ad esempio, RoleA dispone dell'autorizzazione per assumere il ruolo RoleB. È possibile consentire a User1 di assumere RoleA utilizzando le proprie credenziali utente a lungo termine durante l'operazione. AssumeRole API Questa restituisce le credenziali a breve termine del ruolo RoleA. Con la concatenazione del ruolo, puoi utilizzare le credenziali a breve termine del ruolo RoleA per abilitare l'Utente1 ad assumere il ruolo RoleB.

Quando assumi un ruolo, puoi passare un tag di sessione e impostare il tag come transitivo. I tag di sessione transitivi vengono passati a tutte le sessioni successive in una concatenazione del ruolo. Per ulteriori informazioni sui tag di sessione, consulta Passa i tag di sessione AWS STS.

Il concatenamento dei ruoli limita la sessione AWS CLI o la sessione di AWS API ruolo a un massimo di un'ora. Quando si utilizza l'AssumeRoleAPIoperazione per assumere un ruolo, è possibile specificare la durata della sessione di ruolo con il DurationSeconds parametro. Puoi specificare un valore di parametro fino a 43200 secondi (12 ore), che dipende dall'impostazione della durata massima della sessione per il tuo ruolo. Tuttavia, se assumi un ruolo utilizzando la concatenazione dei ruoli e fornisci un valore del parametro DurationSeconds maggiore di un'ora, l'operazione ha esito negativo.

Delega

La concessione delle autorizzazioni a un altro utente per permettere l'accesso alle risorse di controllo. La delega comporta la configurazione di un trust tra due account. Il primo è l'account proprietario della risorsa (l'account che concede fiducia). Il secondo è l'account che contiene gli utenti che devono accedere alla risorsa (l'account attendibile). L'account a cui viene concessa fiducia e l'account che concede fiducia possono essere uno dei seguenti:

  • Lo stesso account.

  • Account diversi che sono comunque sotto il controllo della tua organizzazione.

  • Due account di proprietà di organizzazioni diverse.

Per delegare l'autorizzazione all'accesso a una risorsa, crei un IAM ruolo nell'account di fiducia a cui sono allegate due politiche. Le policy di autorizzazioni concedono all'utente del ruolo le autorizzazioni necessarie per eseguire le attività previste sulla risorsa. La policy di attendibilità specifica quali membri degli account a cui viene concessa fiducia sono autorizzati ad assumere il ruolo.

Quando si crea una politica di attendibilità, non è possibile specificare un carattere jolly (*) come parte e ARN nell'elemento principale. La policy di affidabilità è associata al ruolo nell'account che concede fiducia e rappresenta una metà delle autorizzazioni. L'altra metà è una policy delle autorizzazioni collegata all'utente nell'account a cui viene concessa fiducia che consente a quell'utente di passare al ruolo o di assumerlo. Un utente che assume un ruolo temporaneamente cede le proprie autorizzazioni e ottiene le autorizzazioni del ruolo. Quando l'utente esce o termina l'utilizzo del ruolo, le autorizzazioni originali dell'utente vengono ripristinate. Un parametro aggiuntivo chiamato external ID contribuisce a garantire sicuro l'uso dei ruoli tra gli account che non vengono controllati dalla stessa organizzazione.

Policy di trust

Un documento di JSON policy in cui si definiscono i principi di cui ci si fida per l'assunzione del ruolo. Una politica di fiducia dei ruoli è una politica necessaria basata sulle risorse associata a un ruolo in. IAM I principali che è possibile specificare nella policy di attendibilità includono utenti, ruoli, account e servizi.

Ruolo per l'accesso tra account

Un ruolo che concede l'accesso alle risorse in un account a un principale affidabile in un diverso account. I ruoli sono lo strumento principale per concedere l'accesso multi-account. Tuttavia, alcuni AWS servizi consentono di allegare una policy direttamente a una risorsa (anziché utilizzare un ruolo come proxy). Queste sono chiamate politiche basate sulle risorse ed è possibile utilizzarle per concedere ai responsabili di un'altra persona l' Account AWS accesso alla risorsa. Alcune di queste risorse includono bucket Amazon Simple Storage Service (S3), vault S3 Glacier, argomenti di Amazon Simple Notification Service (SNS) e code Amazon Simple Queue Service (). SQS Per informazioni su quali servizi supportano le policy basate su risorse, consulta AWS servizi che funzionano con IAM. Per ulteriori informazioni sulle policy basate sulle risorse, consulta Accesso alle risorse su più account in IAM.

Risorse aggiuntive

Le seguenti risorse possono aiutarti a saperne di più sulla terminologia relativa ai ruoli. IAM IAM

  • I principali sono entità in AWS grado di eseguire azioni e accedere alle risorse. Un principale può essere un Utente root dell'account AWS, un IAM utente o un ruolo. Un principio che rappresenta l'identità di un AWS servizio è un principale di servizio. Utilizzate l'elemento Principal nelle politiche di fiducia dei ruoli per definire i responsabili di cui ritenete attendibili l'assunzione del ruolo.

    Per ulteriori informazioni ed esempi di dirigenti a cui è possibile consentire l'assunzione di un ruolo, vedere. AWS JSONelementi politici: Principal

  • La federazione delle identità crea una relazione di fiducia tra un provider di identità esterno e AWS. Puoi utilizzare il tuo provider OpenID Connect (OIDC) o Security Assertion Markup Language (SAML) 2.0 esistente per gestire chi può accedere alle risorse. AWS Quando si utilizza OIDC and SAML 2.0 per configurare una relazione di fiducia tra questi provider di identità esterni e AWS , all'utente viene assegnato un ruolo. IAM e riceve credenziali provvisorie che gli consentono di accedere alle tue risorse AWS .

    Per ulteriori informazioni sugli utenti federati, consulta Provider di identità e federazione.

  • Gli utenti federati sono identità esistenti provenienti dall' AWS Directory Service elenco utenti aziendale o da un OIDC provider. Questi sono noti come utenti federati. AWS assegna un ruolo a un utente federato quando l'accesso viene richiesto tramite un provider di identità.

    Per ulteriori informazioni sugli utenti federati, consulta Utenti federati e ruoli.

  • Le politiche di autorizzazione sono politiche basate sull'identità che definiscono le azioni e le risorse che il ruolo può utilizzare. Il documento è scritto secondo le regole del linguaggio delle policy. IAM

    Per ulteriori informazioni, consulta IAMJSONriferimento alla politica.

  • I limiti delle autorizzazioni sono una funzionalità avanzata in cui si utilizzano i criteri per limitare le autorizzazioni massime che una politica basata sull'identità può concedere a un ruolo. Non è possibile applicare un limite delle autorizzazioni a un ruolo collegato al servizio.

    Per ulteriori informazioni, consulta Limiti delle autorizzazioni per le entità IAM.