Panoramica della gestione degli accessi: autorizzazioni e policy - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Panoramica della gestione degli accessi: autorizzazioni e policy

La parte di gestione degli accessi di AWS Identity and Access Management (IAM) ti aiuta a definire cosa può fare un'entità principale in un account. Un'entità principale è una persona o un'applicazione che viene autenticata tramite un'entità IAM (utente o ruolo). La gestione degli accessi viene spesso definita come autorizzazione. Puoi gestire l'accesso AWS creando policy e collegandole a identità o risorse IAM (utenti, gruppi di utenti o ruoli). AWS Una policy è un oggetto AWS che, se associato a un'identità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste politiche quando un principale utilizza un'entità IAM (utente o ruolo) per effettuare una richiesta. Le autorizzazioni nelle policy determinano l'approvazione o il rifiuto della richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per ulteriori informazioni sui tipi di policy e i relativi utilizzi, consulta Policy e autorizzazioni in IAM.

Policy e account

Se gestisci un singolo account in AWS, definisci le autorizzazioni all'interno di quell'account utilizzando le politiche. Se gestisci le autorizzazioni di più account, è più difficile gestire le autorizzazioni per i tuoi utenti. È possibile utilizzare i ruoli IAM, le policy basate su risorse o le liste di controllo accessi (ACL) per le autorizzazioni a più account. Tuttavia, se possiedi più account, ti consigliamo invece di utilizzare il AWS Organizations servizio per aiutarti a gestire tali autorizzazioni. Per ulteriori informazioni, consulta Cos'è AWS Organizations? nella Organizations User Guide.

Policy e utenti

Gli utenti IAM sono identità nel servizio. Quando si crea un utente IAM, l'utente non potrà accedere ad alcun elemento nell'account finché non gli viene concessa l'autorizzazione. È possibile fornire autorizzazioni a un utente creando una policy basata su identità collegata all'utente o a un gruppo a cui appartiene l'utente. L'esempio seguente mostra una policy JSON che consente all'utente di eseguire tutte le operazioni di Amazon DynamoDB (dynamodb:*) sulla tabella Books nell'account 123456789012 all'interno della regione us-east-2.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "dynamodb:*", "Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books" } }

Dopo il collegamento di questa policy all'utente IAM, l'utente disporrà solo di quelle autorizzazioni DynamoDB. La maggior parte degli utenti ha più policy che insieme rappresentano le autorizzazioni per l'utente.

Le operazioni o le risorse che non sono esplicitamente consentite vengono rifiutate per default. Ad esempio, se la policy precedente è l'unica policy collegata a un utente, quell'utente può solo eseguire operazioni DynamoDB nella tabella Books. Le operazioni su tutte le altre tabelle non sono consentite. Allo stesso modo, all'utente non è consentito eseguire alcuna azione in Amazon EC2, Amazon S3 o in qualsiasi altro servizio. AWS Il motivo è che le autorizzazioni per utilizzare questi servizi non sono incluse nella policy.

Policy e gruppi

Puoi organizzare gli utenti IAM in gruppi IAM e collegare una policy a un gruppo. In quel caso, i singoli utenti hanno ancora le proprie credenziali, ma tutti gli utenti in un gruppo dispongono delle autorizzazioni collegate al gruppo. Utilizza i gruppi per facilitare la gestione delle autorizzazioni e per seguire le nostre Best practice per la sicurezza in IAM.

Gli utenti possono essere organizzati in gruppi per rendere più facile la gestione delle autorizzazioni, poiché gli utenti hanno le autorizzazioni assegnate a un gruppo.

Gli utenti o i gruppi possono avere più policy che sono a loro collegate, le quali concedono diverse autorizzazioni. In questo caso, le autorizzazioni degli utenti sono calcolate in base alla combinazione di policy. Tuttavia, il principio di base è ancora applicato: se l'utente non ha ricevuto un'autorizzazione esplicita per un'operazione e una risorsa, l'utente non dispone di tali autorizzazioni.

Utenti federati e ruoli

Gli utenti federati non hanno identità permanenti come gli utenti IAM. Account AWS Per assegnare le autorizzazioni agli utenti federati, puoi creare un'entità definita come ruolo e definire le autorizzazioni per il ruolo. Quando un utente federato accede AWS, l'utente viene associato al ruolo e gli vengono concesse le autorizzazioni definite nel ruolo. Per ulteriori informazioni, consulta Creazione di un ruolo per un provider di identità di terza parte (federazione).

Policy basate su identità e policy basate su risorse.

Le policy basate su identità sono policy di autorizzazione che si collegano a un'identità IAM, come un utente, un gruppo o un ruolo IAM. Le policy basate su risorse sono policy di autorizzazione che si collegano a una risorsa, come un bucket Amazon S3 o una policy di attendibilità del ruolo IAM.

Le policy basate su identità controllano quali operazioni l'identità può eseguire, su quali risorse e in quali condizioni. Le policy basate su identità possono essere ulteriormente suddivise:

  • Politiche gestite: politiche autonome basate sull'identità che puoi allegare a più utenti, gruppi e ruoli nel tuo. Account AWS Puoi utilizzare due tipi di policy gestite:

    • AWS politiche gestite: politiche gestite create e gestite da. AWS Se non conosci l'utilizzo delle politiche, ti consigliamo di iniziare utilizzando le politiche AWS gestite.

    • Policy gestite dal cliente: le policy gestite che sono create e gestite nel tuo Account AWS. Le policy gestite dai clienti offrono un controllo più preciso sulle policy rispetto alle policy AWS gestite. Puoi creare, modificare e convalidare una policy IAM nell'editor visivo oppure creando direttamente il documento di policy JSON. Per ulteriori informazioni, consulta Creazione di policy IAM e Modifica delle policy IAM.

  • Policy in linea: le policy che sono create, gestite e direttamente incorporate in un singolo utente, gruppo o ruolo. Nella maggior parte dei casi, non è consigliato l'uso di policy inline.

Le policy basate su risorse controllano quali operazioni uno specifico principale può eseguire, su quale risorsa e in quali condizioni. Le policy basate risorse sono policy inline. Non esistono policy gestite basate su risorse. Per consentire l'accesso multi-account, puoi specificare un intero account o entità IAM in un altro account come principale in una policy basata sulle risorse.

Il servizio IAM supporta solo un tipo di policy basata su risorse detta policy di attendibilità del ruolo, collegata a un ruolo IAM. Poiché un ruolo IAM è sia un'identità sia una risorsa che supporta policy basate su risorse, a un ruolo IAM è necessario collegare sia una policy di attendibilità che una policy basata su identità. Le policy di attendibilità definiscono quali entità principali (account, utenti, ruoli e utenti federati) possono assumere il ruolo. Per capire in che modo i ruoli IAM si differenziano da altre policy basate su risorse, consulta Accesso alle risorse multi-account in IAM.

Per scoprire quali servizi supportano le policy basate su risorse, consulta la pagina AWS servizi che funzionano con IAM. Per ulteriori informazioni sulle policy basate su risorse, consulta la pagina Policy basate sulle identità e policy basate su risorse.