Come IAM funziona - AWS Identity and Access Management
Componenti di una richiestaCome vengono autenticati i principaliNozioni di base sulla politica di autorizzazione e autorizzazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come IAM funziona

AWS Identity and Access Management fornisce l'infrastruttura necessaria per controllare l'autenticazione e l'autorizzazione dei tuoi Account AWS.

Innanzitutto, per autenticarsi con AWS, un utente umano o un'applicazione utilizza le proprie credenziali di accesso. IAMabbina le credenziali di accesso a un principale (un utente, un IAM utente federato, un IAM ruolo o un'applicazione) considerato attendibile da Account AWS e autentica l'autorizzazione di accesso. AWS

Successivamente, IAM effettua una richiesta per concedere l'accesso principale alle risorse. IAMconcede o nega l'accesso in risposta a una richiesta di autorizzazione. Ad esempio, quando accedi per la prima volta alla console e ti trovi nella home page della console, non accedi a un servizio specifico. Quando si seleziona un servizio, si invia una richiesta di autorizzazione IAM a tale servizio. IAMverifica che l'identità dell'utente sia presente nell'elenco degli utenti autorizzati, determina quali politiche controllano il livello di accesso concesso e valuta eventuali altre politiche che potrebbero essere in vigore. I responsabili interni Account AWS o esterni di Account AWS cui ti fidi possono effettuare richieste di autorizzazione.

Una volta autorizzato, il responsabile può eseguire azioni o operazioni sulle risorse del tuo Account AWS. Ad esempio, il principale potrebbe avviare una nuova Amazon Elastic Compute Cloud istanza, modificare l'appartenenza al IAM gruppo o eliminare Amazon Simple Storage Service i bucket. Il diagramma seguente illustra questo processo attraverso l'infrastruttura: IAM

Questo diagramma mostra come un principale viene autenticato e autorizzato dal IAM servizio a eseguire azioni o operazioni su altri AWS servizi o risorse.

Componenti di una richiesta

Quando un principale tenta di utilizzare il AWS Management Console, il AWS API, o il AWS CLI, quel principale invia una richiesta a AWS. La richiesta include le informazioni seguenti:

  • Azioni o operazioni: le azioni o le operazioni che il principale desidera eseguire, ad esempio un'azione in o un'operazione in sala AWS CLI operatoria AWS API. AWS Management Console

  • Risorse: l'oggetto AWS risorsa in base al quale il principale richiede di eseguire un'azione o un'operazione.

  • Principale – Persona o applicazione che utilizza un'entità (utente o ruolo) per inviare la richiesta. Le informazioni sul principale includono le politiche di autorizzazione.

  • Dati ambientali: informazioni sull'indirizzo IP, l'agente utente, lo stato di SSL attivazione e il timestamp.

  • Dati relativi alle risorse: dati relativi alla risorsa richiesta, come il nome di una tabella DynamoDB o un tag su un'istanza Amazon. EC2

AWS raccoglie le informazioni sulla richiesta in un contesto di richiesta, che IAM valuta se autorizzare la richiesta.

Come vengono autenticati i principali

Un principale accede AWS utilizzando le proprie credenziali che si IAM autenticano per consentire al principale di inviare una richiesta a. AWS Alcuni servizi, come Amazon S3 e AWS STS, consentono richieste specifiche da parte di utenti anonimi. Tuttavia, sono l'eccezione alla regola. Ogni tipo di utente passa attraverso l'autenticazione.

  • Utente root: le credenziali di accesso utilizzate per l'autenticazione sono l'indirizzo e-mail utilizzato per creare Account AWS e la password specificata in quel momento.

  • Utente federato: il tuo provider di identità ti autentica e trasmette le tue credenziali a AWS, senza che tu debba accedere direttamente a. AWS Sia IAM Identity Center che supportano gli utenti federati. IAM

  • Utenti in Elenco AWS IAM Identity Center (non federati): gli utenti creati direttamente nella directory predefinita di IAM Identity Center accedono utilizzando Portale di accesso AWS e forniscono nome utente e password.

  • IAMutente: accedi fornendo l'ID o l'alias dell'account, il nome utente e la password. Per autenticare i carichi di lavoro dalla API sala operatoria AWS CLI, è possibile utilizzare credenziali temporanee assumendo un ruolo oppure utilizzare credenziali a lungo termine fornendo la chiave di accesso e la chiave segreta.

    Per ulteriori informazioni sulle entità, consulta eIAM. Utenti IAM IAMruoli

AWS consiglia di utilizzare l'autenticazione a più fattori (MFA) con tutti gli utenti per aumentare la sicurezza del proprio account. Per ulteriori informazioni su MFA, consulta AWS Autenticazione a più fattori in IAM.

Nozioni di base sulla politica di autorizzazione e autorizzazione

L'autorizzazione si riferisce al preside che dispone delle autorizzazioni necessarie per completare la richiesta. Durante l'autorizzazione, IAM identifica le politiche che si applicano alla richiesta utilizzando i valori del contesto della richiesta. Quindi, utilizza le policy per determinare se accettare o rifiutare la richiesta. IAMarchivia la maggior parte delle politiche di autorizzazione come JSONdocumenti che specificano le autorizzazioni per le entità principali.

Esistono diversi tipi di politiche che possono influire su una richiesta di autorizzazione. Per fornire ai tuoi utenti le autorizzazioni per accedere alle AWS risorse del tuo account, puoi utilizzare politiche basate sull'identità. Le politiche basate sulle risorse possono consentire l'accesso a più account. Per effettuare una richiesta in un altro account, una politica nell'altro account deve consentire l'accesso alla risorsa e l'IAMentità utilizzata per effettuare la richiesta deve disporre di una politica basata sull'identità che consenta la richiesta.

IAMcontrolla ogni politica che si applica al contesto della richiesta. IAMla valutazione delle politiche utilizza un rifiuto esplicito, il che significa che se una singola politica di autorizzazioni include un'azione negata, IAM nega l'intera richiesta e interrompe la valutazione. Poiché le richieste vengono rifiutate per impostazione predefinita, le politiche di autorizzazione applicabili devono consentire a ogni parte della richiesta di autorizzare la richiesta. IAM La logica di valutazione per una richiesta all'interno di un singolo account segue queste regole di base:

  • Come impostazione predefinita, tutte le richieste vengono negate. (In generale, le richieste effettuate utilizzando le credenziali Utente root dell'account AWS per risorse nell'account sono sempre consentite).

  • Un'autorizzazione esplicita in una policy di autorizzazione qualsiasi (basata su identità o basata su risorse) sostituisce questa impostazione predefinita.

  • L'esistenza di un OrganizationsSCP, di un limite di IAM autorizzazioni o di una politica di sessione ha la precedenza sull'autorizzazione. Se esiste uno o più di questi tipi di policy, devono tutti consentire la richiesta. Altrimenti, viene negato implicitamente.

  • Un rifiuto esplicito in qualsiasi politica ha la precedenza su qualsiasi autorizzazione in qualsiasi politica.

Per ulteriori informazioni, consulta Logica di valutazione delle policy.

Dopo aver IAM autenticato e autorizzato il principale, IAM approva le azioni o le operazioni contenute nella richiesta valutando la politica di autorizzazione applicabile al principale. Ogni AWS servizio definisce le azioni (operazioni) che supporta e include le operazioni che è possibile eseguire su una risorsa, come la visualizzazione, la creazione, la modifica e l'eliminazione di tale risorsa. La politica di autorizzazione che si applica al principale deve includere le azioni necessarie per eseguire un'operazione. Per ulteriori informazioni su come IAM valuta le politiche di autorizzazione, consultaLogica di valutazione delle policy.

Il servizio definisce una serie di azioni che un principale può eseguire su ciascuna risorsa. Quando crei le politiche di autorizzazione, assicurati di includere le azioni che desideri che l'utente sia in grado di eseguire. Ad esempio, IAM supporta oltre 40 azioni per una risorsa utente, incluse le seguenti azioni di base:

  • CreateUser

  • DeleteUser

  • GetUser

  • UpdateUser

Inoltre, è possibile specificare condizioni nella politica di autorizzazione che consentano l'accesso alle risorse quando la richiesta soddisfa le condizioni specificate. Ad esempio, potresti volere che una dichiarazione politica abbia effetto dopo una data specifica o che controlli l'accesso quando un valore specifico viene visualizzato in unAPI. Per specificare le condizioni, si utilizza l'IAMJSONelementi politici: Condition OperatorsConditionelemento di una dichiarazione politica.

Dopo aver IAM approvato le operazioni contenute in una richiesta, il responsabile può utilizzare le risorse correlate del tuo account. Una risorsa è un oggetto esistente all'interno di un servizio. Gli esempi includono un'EC2istanza Amazon, un IAM utente e un bucket Amazon S3. Se il principale crea una richiesta per eseguire un'azione su una risorsa che non è inclusa nella politica di autorizzazione, il servizio nega la richiesta. Ad esempio, se disponi dell'autorizzazione per eliminare un IAM ruolo ma richiedi di eliminare un IAM gruppo, la richiesta ha esito negativo se non disponi dell'autorizzazione per eliminare i IAM gruppi. Per ulteriori informazioni sulle azioni, le risorse e le chiavi di condizione supportate dai diversi AWS servizi, consulta Azioni, risorse e chiavi di condizione per AWS i servizi.