Concedere le autorizzazioni agli utenti per cambiare ruoli - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concedere le autorizzazioni agli utenti per cambiare ruoli

Quando un amministratore crea un ruolo per l'accesso multi-account, stabilisce l'attendibilità tra l'account proprietario del ruolo e le risorse (account che determina l'attendibilità) e l'account che contiene gli utenti (account attendibile). A tale scopo, l'amministratore dell'account attendibile specifica il numero dell'account attendibile come Principal nella policy di attendibilità del ruolo. Ciò consente potenzialmente a qualsiasi utente nell'account attendibile di assumere il ruolo. Per completare la configurazione, l'amministratore dell'account attendibile deve fornire a determinati gruppi o utenti dell'account l'autorizzazione per il passaggio al ruolo.

Concessione dell'autorizzazione per passare a un ruolo
  1. In qualità di amministratore dell'account attendibile, crea una nuova policy per l'utente oppure modifica una policy esistente per aggiungere gli elementi richiesti. Per informazioni dettagliate, consultare Creazione o modifica della policy.

  2. Quindi decidi come desideri eseguire la condivisione delle informazioni sul ruolo:

    • Role link (Link del ruolo): invia agli utenti un collegamento che indirizza alla pagina Switch Role (Cambia ruolo) con tutti i dettagli già compilati.

    • ID account o alias: fornisci a ciascun utente il nome del ruolo insieme al numero dell'ID account o all'alias dell'account. L'utente accede quindi alla pagina Switch Role (Cambia ruolo) e aggiunge i dettagli manualmente.

    Per informazioni dettagliate, consultare Fornire informazioni all'utente.

Tieni presente che puoi cambiare ruolo solo quando effettui l'accesso come utente IAM, come ruolo federato SAML o come ruolo con federazione delle identità Web. Non è possibile cambiare i ruoli se si effettua l'accesso come Utente root dell'account AWS.

Importante

Non è possibile cambiare i ruoli nella AWS Management Console in un ruolo che richiede un valore ExternalId. È possibile passare a tale ruolo solo chiamando l'API AssumeRole che supporta il parametro ExternalId.

Note
  • In questo argomento sono descritte le policy per un utente poiché sostanzialmente concedi autorizzazioni a un utente per l'esecuzione di un'operazione. Tuttavia, consigliamo di non concedere le autorizzazioni direttamente a un singolo utente. Quando un utente assume un ruolo, gli vengono assegnate le autorizzazioni associate a quel ruolo.

  • Quando si cambiano i ruoli nella AWS Management Console, la console utilizza sempre le credenziali originali dell'utente per autorizzare il cambio. Questo vale sia per l'accesso come utente IAM che come ruolo federato SAML o come ruolo federato di identità Web. Ad esempio, se passi al RuoloA, IAM; utilizza le tue credenziali utente originali o le credenziali del ruolo federato per determinare se è possibile assumere il RuoloA. Se provi quindi a passare al RuoloB mentre stai utilizzando il RuoloA, per autorizzare il tentativo vengono utilizzate le credenziali utente originali o le credenziali del ruolo federato. Le credenziali per RuoloA non vengono utilizzate per questa operazione.

Creazione o modifica della policy

Una policy che concede a un utente l'autorizzazione di assumere un ruolo deve includere una dichiarazione con effetto Allow per quanto segue:

  • L'operazione sts:AssumeRole

  • L'Amazon Resource Name (ARN) del ruolo in un elemento Resource

Agli utenti che ottengono la policy (mediante l'appartenenza a un gruppo o collegata direttamente) è consentito cambiare ruoli sulla risorsa specificata.

Nota

Se Resource è impostato su *, l'utente può assumere qualsiasi ruolo in qualsiasi account che considera l'account utente attendibile. (In altre parole, la policy di attendibilità del ruolo specifica l'account dell'utente come Principal). Come best practice, si consiglia di seguire il principio di privilegio minimo e specificare l'ARN completo solo per i ruoli necessari per l'utente.

L'esempio seguente mostra una policy che consente all'utente di assumere ruoli in un unico account. Inoltre, la policy utilizza un carattere jolly (*) per specificare che l'utente può passare a un ruolo solo se il nome del ruolo inizia con le lettere Test.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::account-id:role/Test*" } }
Nota

Le autorizzazioni che il ruolo concede all'utente non vengono aggiunte alle autorizzazioni già concesse per l'utente. Quando un utente passa a un ruolo, l'utente rinuncia temporaneamente alle proprie autorizzazioni originali in cambio di quelle concesse dal ruolo. Quando l'utente esce dal ruolo, le autorizzazioni originali dell'utente vengono ripristinate automaticamente. Ad esempio, assumiamo che le autorizzazioni dell'utente permettano di utilizzare le istanze Amazon EC2, ma le policy di autorizzazione del ruolo non concedano tali autorizzazioni. In tal caso, durante l'utilizzo del ruolo, l'utente non potrà utilizzare le istanze Amazon EC2 nella console. Inoltre, le credenziali temporanee ottenute tramite AssumeRole non funzioneranno con le istanze Amazon EC2 in modo programmatico.

Fornire informazioni all'utente

Dopo aver creato un ruolo e concesso all'utente le autorizzazioni per passare a tale ruolo, è necessario fornire all'utente quanto segue:

  • Il nome del ruolo

  • L'ID o l'alias dell'account che contiene il ruolo

Puoi semplificare le operazioni per gli utenti inviando loro un collegamento preconfigurato con l'ID account e il nome del ruolo. Puoi visualizzare il collegamento al ruolo dopo aver completato la procedura guidata Crea ruolo selezionando il banner Visualizza ruolo o nella pagina Riepilogo del ruolo per qualsiasi ruolo abilitato per più account.

È inoltre possibile utilizzare il formato seguente per creare manualmente il collegamento. Sostituisci l'ID account o alias e il nome del ruolo per i due parametri nel seguente esempio:

https://signin.aws.amazon.com/switchrole?account=your_account_ID_or_alias&roleName=optional_path/role_name

Consigliamo di suggerire agli utenti di consultare l'argomento Passare da un utente a un IAM ruolo (console) per guidarli nel processo. Per risolvere i problemi più comuni che si possono verificare quando si assume un ruolo, consulta la pagina Non è possibile assumere un ruolo.

Considerazioni
  • Se crei il ruolo in maniera programmatica, puoi crearlo con un percorso e un nome. In tal caso, è necessario fornire il percorso completo e il nome del ruolo agli utenti in modo che possano specificare queste informazioni sulla pagina Cambia ruolo della AWS Management Console. Ad esempio: division_abc/subdivision_efg/role_XYZ.

  • Se crei il ruolo in maniera programmatica, potrai aggiungere un Path con un massimo di 512 caratteri e un RoleName. Il nome del ruolo può contenere un massimo di 64 caratteri. Tuttavia, per utilizzare un ruolo con la caratteristica Cambia ruolo nella AWS Management Console, la combinazione tra Path e RoleName non può superare i 64 caratteri.

  • Per motivi di sicurezza, è possibile esaminare i log AWS CloudTrail per sapere chi ha eseguito un'operazione in AWS. È possibile utilizzare la chiave di condizione sts:SourceIdentity nella policy di attendibilità del ruolo per richiedere agli utenti di specificare un'identità quando assumono un ruolo. Ad esempio, è possibile richiedere che gli utenti IAM specifichino il proprio nome utente come identità di origine. In questo modo è possibile determinare quale utente ha eseguito un'operazione specifica in AWS. Per ulteriori informazioni, consultare sts:SourceIdentity. Puoi utilizzare sts:RoleSessionName anche per richiedere agli utenti di specificare un nome di sessione quando assumono un ruolo. Ciò consente di distinguere tra le sessioni di ruolo quando un ruolo viene utilizzato da principali diversi.