Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Come le autorizzazioni e le policy forniscono la gestione degli accessi
La parte della gestione degli accessi di AWS Identity and Access Management (IAM) consente di definire cosa può fare un'entità principale in un account. Un'entità principale è una persona o un'applicazione autenticata tramite un'entità IAM (utente o ruolo IAM). La gestione degli accessi viene spesso definita come autorizzazione. È possibile gestire l'accesso in AWS creando policy e collegandole a identità IAM (utenti, gruppi o ruoli IAM) o risorse AWS. Una policy è un oggetto in AWS che, quando viene associato a un'identità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste policy quando un principale utilizza un'entità IAM (utente o ruolo IAM) per effettuare una richiesta. Le autorizzazioni nelle policy determinano l'approvazione o il rifiuto della richiesta. La maggior parte delle policy viene archiviata in AWSsotto forma di documenti JSON. Per ulteriori informazioni sui tipi di policy e i relativi utilizzi, consulta Policy e autorizzazioni in AWS Identity and Access Management.
Policy e account
Se gestisci un singolo account in AWS, definisci le autorizzazioni all'interno di tale account attraverso le policy. Se gestisci le autorizzazioni su più account, è più difficile gestire le autorizzazioni per i tuoi utenti IAM. È possibile utilizzare i ruoli IAM, le policy basate su risorse o le liste di controllo accessi (ACL) per le autorizzazioni a più account. Tuttavia, se possiedi più account, è invece consigliabile utilizzare il servizio AWS Organizations per facilitare la gestione di tali autorizzazioni. Per ulteriori informazioni, consulta Cos'è AWS Organizations?nella Guida per l'utente di Organizations.
Policy e utenti
Gli utenti IAM sono identità nell'Account AWS. Quando si crea un utente IAM, l'utente non potrà accedere ad alcun elemento nell'account finché non gli viene concessa l'autorizzazione. È possibile fornire autorizzazioni a un utente IAM creando una policy basata su identità, che è una policy collegata all'utente IAM o a un gruppo IAM a cui appartiene l'utente IAM. L'esempio seguente mostra una policy JSON che consente all'utente IAM di eseguire tutte le azioni di Amazon DynamoDB (dynamodb:*
) sulla tabella Books
nell'account 123456789012
all'interno della regione us-east-2
.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "dynamodb:*", "Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books" } }
Dopo il collegamento di questa policy all'utente IAM, l'utente disporrà dell'autorizzazione per eseguire tutte le operazioni nella tabella Books
dell'istanza DynamoDB. La maggior parte degli utenti IAM dispone di più policy che si combinano per rappresentare il totale delle autorizzazioni concesse.
Le operazioni o le risorse che non sono esplicitamente consentite da una policy vengono rifiutate per impostazione predefinite. Ad esempio, se la policy precedente è la policy singola collegata a un utente, quell'utente può eseguire operazioni DynamoDB nella tabella Books
, ma non può eseguire operazioni in altre tabelle. Analogamente, all'utente non è consentito eseguire nessuna operazione in Amazon EC2, Amazon S3 o in qualsiasi altro servizio AWS, poiché le autorizzazioni per funzionare con quei servizi non sono incluse nella policy.
Policy e gruppi IAM
Puoi organizzare gli utenti IAM in gruppi IAM e collegare una policy a un gruppo IAM. In quel caso, i singoli utenti IAM hanno ancora le proprie credenziali, ma tutti gli utenti IAM in un gruppo IAM dispongono delle autorizzazioni collegate al gruppo IAM. Utilizza i gruppi IAM per facilitare la gestione delle autorizzazioni.

Gli utenti o i gruppi IAM possono avere più policy a loro collegate, le quali concedono diverse autorizzazioni. In questo caso, la combinazione di policy determina le autorizzazioni effettive del principale. Se il principale non dispone dell'autorizzazione Allow
esplicita sia per un'azione che per una risorsa, il principale non dispone di tali autorizzazioni.
Utenti federati e ruoli
Gli utenti federati non dispongono di identità permanenti nel tuo Account AWS come invece capita per gli utenti IAM. Per assegnare le autorizzazioni agli utenti federati, puoi creare un'entità definita come ruolo e definire le autorizzazioni per il ruolo. Quando un utente federato accede ad AWS, l'utente viene associato al ruolo e ottiene le autorizzazioni definite nel ruolo. Per ulteriori informazioni, consulta Creare un ruolo per un provider di identità di terza parte (federazione).
Policy basate su identità e policy basate su risorse.
Le policy basate su identità sono policy di autorizzazione che si collegano a un'identità IAM, come un utente, un gruppo o un ruolo IAM. Le policy basate su risorse sono policy di autorizzazione che si collegano a una risorsa, come un bucket Amazon S3 o una policy di attendibilità del ruolo IAM.
Le policy basate su identità controllano quali operazioni l'identità può eseguire, su quali risorse e in quali condizioni. Le policy basate su identità possono essere ulteriormente suddivise:
-
Policy gestite: le policy autonome basate sulle identità che possono essere collegate a più utenti, gruppi o ruoli nel tuo Account AWS. Puoi utilizzare due tipi di policy gestite:
-
Policy gestite da AWS: le policy gestite che sono create e gestite da AWS. Se non hai mai utilizzato le policy in precedenza, ti consigliamo di iniziare con le policy gestite da AWS.
-
Policy gestite dal cliente: le policy gestite che sono create e gestite nel tuo Account AWS. Le policy gestite dal cliente forniscono un controllo più preciso rispetto a quelle gestite da AWS. Puoi creare, modificare e convalidare una policy IAM nell'editor visivo oppure creando direttamente il documento di policy JSON. Per ulteriori informazioni, consulta Definire le autorizzazioni IAM personalizzate con policy gestite dal cliente e Modificare le policy IAM.
-
-
Policy in linea: le policy che sono create, gestite e direttamente incorporate in un singolo utente, gruppo o ruolo. Nella maggior parte dei casi, non è consigliato l'uso di policy inline.
Le policy basate su risorse controllano quali operazioni uno specifico principale può eseguire, su quale risorsa e in quali condizioni. Le policy basate risorse sono policy inline. Non esistono policy gestite basate su risorse. Per consentire l'accesso multi-account, puoi specificare un intero account o entità IAM in un altro account come principale in una policy basata sulle risorse.
Il servizio IAM supporta solo un tipo di policy basata su risorse detta policy di attendibilità del ruolo, collegata a un ruolo IAM. Poiché un ruolo IAM è sia un'identità che una risorsa che supporta policy basate su risorse, a un ruolo IAM è necessario collegare sia una policy di attendibilità che una policy basata su identità. Le policy di attendibilità definiscono quali entità principali (account, utenti, ruoli e utenti federati) possono assumere il ruolo. Per capire in che modo i ruoli IAM si differenziano da altre policy basate su risorse, consulta Accesso alle risorse multi-account in IAM.
Per scoprire quali servizi supportano le policy basate su risorse, consulta la pagina AWS servizi che funzionano con IAM. Per ulteriori informazioni sulle policy basate su risorse, consulta la pagina Policy basate sulle identità e policy basate su risorse.