Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Creazione di un ruolo per un provider di identità di terza parte (federazione)
Puoi utilizzare provider di identità invece di creare utenti IAM nel tuo Account AWS. Con un provider di identità (IdP), puoi gestire le tue identità utente all'esterno AWS e concedere a queste identità utente esterne le autorizzazioni per accedere AWS alle risorse del tuo account. Per ulteriori informazioni sulla federazione e sui provider di identità, consultare Provider di identità e federazione.
Creazione di un ruolo per gli utenti federati (console)
Le procedure per la creazione di un ruolo per gli utenti federati dipendono dai provider di terze parti disponibili:
-
Per OpenID Connect (OIDC), vedere. Creare un ruolo per la federazione OpenID Connect (console)
-
Per SAML 2.0, consulta Creare un ruolo per la federazione SAML 2.0 (console).
Creazione di un ruolo per l'accesso federato (AWS CLI)
Le procedure per creare un ruolo per il provider di identità supportato (OIDC o SAML) dalla AWS CLI sono identiche. La differenza consiste nel contenuto della policy di affidabilità creata in passaggi preliminari. Inizia seguendo le fasi descritte nella sezione dei prerequisiti per il tipo di provider in uso:
-
Per un provider OIDC, consulta Prerequisiti per la creazione di un ruolo per OIDC.
-
Per un provider SAML, consulta Prerequisiti per la creazione di un ruolo per SAML.
La creazione di un ruolo da AWS CLI richiede più passaggi. Quando si utilizza la console per creare un ruolo, molti passaggi vengono eseguiti automaticamente, ma con la console AWS CLI è necessario eseguire esplicitamente ogni passaggio da soli. È necessario creare il ruolo e quindi assegnargli una policy di autorizzazione. Puoi anche scegliere di impostare il limite delle autorizzazioni per il ruolo.
Per creare un ruolo per la federazione delle identità (AWS CLI)
-
Creare un ruolo: aws iam create-role
-
Allega una politica di autorizzazioni al ruolo: aws iam attach-role-policy
oppure
Crea una politica di autorizzazioni in linea per il ruolo: aws iam put-role-policy
-
(Facoltativo) Aggiungere attributi personalizzati al ruolo collegando tag: aws iam tag-role
Per ulteriori informazioni, consulta Gestione dei tag sui ruoli (AWS CLI o AWS API) IAM.
-
(Facoltativo) Imposta il limite delle autorizzazioni per il ruolo: aws iam put-role-permissions-boundary
Il limite delle autorizzazioni controlla il numero massimo di autorizzazioni che è possibile concedere a un ruolo. I limiti delle autorizzazioni sono una funzionalità avanzata. AWS
L'esempio seguente mostra i primi due passaggi, più comuni, per la creazione di un ruolo del provider di identità in un ambiente semplice. Questo esempio permette agli utenti dell'account 123456789012
di assumere il ruolo e visualizzare il bucket example_bucket
di Amazon S3. Questo esempio presuppone inoltre che tu stia eseguendo Windows AWS CLI su un computer che esegue Windows e che lo abbia già configurato AWS CLI con le tue credenziali. Per ulteriori informazioni, consultare la pagina relativa alla configurazione di AWS Command Line Interface.
La policy di attendibilità di esempio riportata di seguito è progettata per un'app per dispositivi mobili in cui l'utente accede tramite Amazon Cognito. In questo esempio, us-east:12345678- ffff-ffff-ffff -123456
rappresenta l'ID del pool di identità assegnato da Amazon Cognito.
{ "Version": "2012-10-17", "Statement": { "Sid": "RoleForCognito", "Effect": "Allow", "Principal": {"Federated": "cognito-identity.amazonaws.com"}, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": {"StringEquals": {"cognito-identity.amazonaws.com:aud": "us-east:12345678-ffff-ffff-ffff-123456"}} } }
La policy delle autorizzazioni seguente consente agli utenti che assumono il ruolo di eseguire solo l'operazione ListBucket
sul bucket example_bucket
di Amazon S3.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::example_bucket" } }
Per creare questo ruolo Test-Cognito-Role
, è prima necessario salvare la policy di attendibilità precedente con il nome trustpolicyforcognitofederation.json
e la policy di autorizzazione precedente con il nome permspolicyforcognitofederation.json
nella cartella policies
dell'unità C:
locale. È quindi possibile utilizzare i comandi seguenti per creare il ruolo e collegare la policy inline.
# Create the role and attach the trust policy that enables users in an account to assume the role. $
aws iam create-role --role-name Test-Cognito-Role --assume-role-policy-document file://C:\policies\trustpolicyforcognitofederation.json
# Attach the permissions policy to the role to specify what it is allowed to do.
aws iam put-role-policy --role-name Test-Cognito-Role --policy-name Perms-Policy-For-CognitoFederation --policy-document file://C:\policies\permspolicyforcognitofederation.json
Creazione di un ruolo per AWS l'accesso federato (API)
Le procedure per creare un ruolo per il provider di identità supportato (OIDC o SAML) dalla AWS CLI sono identiche. La differenza consiste nel contenuto della policy di affidabilità creata in passaggi preliminari. Inizia seguendo le fasi descritte nella sezione dei prerequisiti per il tipo di provider in uso:
-
Per un provider OIDC, consulta Prerequisiti per la creazione di un ruolo per OIDC.
-
Per un provider SAML, consulta Prerequisiti per la creazione di un ruolo per SAML.
Creare un ruolo per la federazione delle identità (AWS API)
-
Crea un ruolo: CreateRole
-
Allega una politica di autorizzazioni al ruolo: AttachRolePolicy
oppure
Crea una politica di autorizzazioni in linea per il ruolo: PutRolePolicy
-
(Facoltativo) Aggiungi attributi personalizzati all'utente allegando tag: TagRole
Per ulteriori informazioni, consulta Gestione dei tag sugli utenti IAM (AWS CLI o AWS API).
-
(Facoltativo) Imposta il limite delle autorizzazioni per il ruolo: PutRolePermissionsBoundary
Il limite delle autorizzazioni controlla il numero massimo di autorizzazioni che è possibile concedere a un ruolo. I limiti delle autorizzazioni sono una funzionalità avanzata. AWS