Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Come funziona Amazon Monitron con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon Monitron, è necessario comprendere quali funzionalità IAM sono disponibili per l'uso con Amazon Monitron. Per avere una visione di alto livello di come Amazon Monitron e AWS altri servizi funzionano con IAM, AWS consulta Services That Work with IAM nella IAM User Guide.
Argomenti
Policy basate sull'identità di Amazon Monitron
Per specificare azioni e risorse consentite o negate e le condizioni in base alle quali le azioni sono consentite o negate, utilizza le policy basate sull'identità IAM. Amazon Monitron supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta Documentazione di riferimento degli elementi delle policy JSON IAM nella Guida per l'utente IAM.
Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire azioni su quali risorse, e in quali condizioni.
L'elemento Actiondi una policy JSON descrive le azioni che è possibile utilizzare per consentire o negare l'accesso a un criterio. Le azioni politiche in genere hanno lo stesso nome dell'operazione AWS API associata. Ci sono alcune eccezioni, ad esempio le azioni di sola autorizzazione che non hanno un'operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.
Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.
In Amazon Monitron, le azioni politiche utilizzano il seguente prefisso prima dell'azione:. monitron: Ad esempio, per concedere a qualcuno l'autorizzazione a creare un progetto con l'CreateProjectoperazione Amazon Monitron, includi l'monitron:CreateProjectazione nella sua politica. Le istruzioni della policy devono includere un elemento Action o NotAction. Amazon Monitron definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Nota
Per deleteProject eseguire l'operazione, è necessario disporre delle autorizzazioni AWS IAM Identity Center (SSO) per l'eliminazione. Senza queste autorizzazioni, la funzionalità di eliminazione rimuoverà comunque il progetto. Tuttavia, non rimuoverà le risorse dall'SSO e potreste finire con riferimenti sospesi su SSO.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
"Action": [ "monitron:action1", "monitron:action2" ]
È possibile specificare più azioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola List, includi la seguente azione:
"Action": "monitron:List*"
Risorse
Amazon Monitron non supporta la specificazione di ARN di risorse in una policy.
Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire azioni su quali risorse, e in quali condizioni.
L'elemento Condition(o blocco Condition) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento Conditionè facoltativo. Puoi compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.
Se specifichi più elementi Conditionin un'istruzione o più chiavi in un singolo elemento Condition, questi vengono valutati da AWS utilizzando un'operazione ANDlogica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logica. OR Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.
Puoi anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, puoi autorizzare un utente IAM ad accedere a una risorsa solo se è stata taggata con il relativo nome utente IAM. Per ulteriori informazioni, consulta Elementi delle policy IAM: variabili e tag nella Guida per l'utente di IAM.
AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'utente IAM.
Amazon Monitron definisce il proprio set di chiavi di condizione e supporta anche l'utilizzo di alcune chiavi di condizione globali. Per un elenco di tutte le chiavi di condizione AWS globali, consulta AWS Global Condition Context Keys nella Guida per l'utente IAM.
Per visualizzare un elenco delle chiavi di condizione di Amazon Monitron, consulta Actions defined by Amazon Monitron nella IAM User Guide. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta Condition keys for Amazon Monitron.
Esempi
Per visualizzare esempi di politiche basate sull'identità di Amazon Monitron, consulta. Esempi di policy basate sull'identità di Amazon Monitron
Policy basate sulle risorse di Amazon Monitron
Amazon Monitron non supporta policy basate sulle risorse.
Autorizzazione basata sui tag Amazon Monitron
Puoi associare tag a determinati tipi di risorse Amazon Monitron per l'autorizzazione. Per controllare l'accesso in base ai tag, fornisci le informazioni sui tag nell'elemento condition di una policy utilizzando i tasti Amazon Monitron:TagResource/${TagKey}aws:RequestTag/${TagKey}, o aws:TagKeys condition.
Ruoli IAM di Amazon Monitron
Un ruolo IAM è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche.
Utilizzo di credenziali temporanee con Amazon Monitron
Puoi utilizzare le credenziali temporanee per effettuare l'accesso utilizzando la federazione, assumere un ruolo IAM o assumere un ruolo tra più account. Puoi ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come o. AssumeRoleGetFederationToken
Amazon Monitron supporta l'utilizzo di credenziali temporanee.
Ruoli collegati al servizio
I ruoli collegati ai AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per tuo conto. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.
Amazon Monitron supporta ruoli collegati ai servizi.
Ruoli dei servizi
Questa caratteristica consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questo potrebbe pregiudicare la funzionalità del servizio.
Amazon Monitron supporta i ruoli di servizio.
Esempi di policy basate sull'identità di Amazon Monitron
Per impostazione predefinita, gli utenti e i ruoli IAM non dispongono dell'autorizzazione per creare o modificare risorse Amazon Monitron. Inoltre, non possono eseguire attività utilizzando. AWS Management Console Un amministratore IAM deve concedere le autorizzazioni agli utenti, ai gruppi o ai ruoli IAM che le richiedono. Quindi questi utenti, gruppi o ruoli possono eseguire le operazioni specifiche sulle risorse specifiche di cui hanno bisogno. L'amministratore deve quindi allegare queste policy a utenti o IAM che richiedono tali autorizzazioni.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta Creazione di policy nella scheda JSON nella Guida per l'utente IAM.
Argomenti
Best practice delle policy
Le policy basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon Monitron nel tuo account. Queste azioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:
-
Inizia con le politiche AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta Policy gestite da AWSo Policy gestite da AWS per le funzioni dei processi nella Guida per l'utente IAM.
-
Applica le autorizzazioni con privilegio minimo: quando imposti le autorizzazioni con le policy IAM, concedi solo le autorizzazioni richieste per eseguire un'attività. Puoi farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo di IAM per applicare le autorizzazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente IAM.
-
Condizioni d'uso nelle policy IAM per limitare ulteriormente l'accesso: per limitare l'accesso a operazioni e risorse puoi aggiungere una condizione alle tue policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico AWS servizio, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l'utente IAM.
-
Utilizzo di IAM Access Analyzer per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano alla sintassi della policy IAM (JSON) e alle best practice di IAM. IAM Access Analyzer offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per ulteriori informazioni, consulta Convalida delle policy per IAM Access Analyzer nella Guida per l'utente IAM.
-
Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungi le condizioni MFA alle policy. Per ulteriori informazioni, consulta Configurazione dell'accesso alle API protetto con MFA nella Guida per l'utente IAM.
Per maggiori informazioni sulle best practice in IAM, consulta Best practice di sicurezza in IAM nella Guida per l'utente di IAM.
Utilizzo della console Amazon Monitron
Per configurare Amazon Monitron utilizzando la console, completa la procedura di configurazione iniziale utilizzando un utente con privilegi elevati (ad esempio uno con la policy AdministratorAccess gestita allegata).
Per accedere alla console Amazon Monitron per day-to-day le operazioni dopo la configurazione iniziale, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse Amazon Monitron nel AWS tuo account e includere un set di autorizzazioni relative a IAM Identity Center. Se crei una policy basata sull'identità più restrittiva di queste autorizzazioni minime richieste, la console non funzionerà come previsto per le entità (utenti o ruoli IAM) con quella policy. Per le funzionalità di base della console Amazon Monitron, è necessario allegare la policy AmazonMonitronFullAccess gestita. A seconda delle circostanze, potrebbero essere necessarie anche autorizzazioni aggiuntive per il servizio Organizations and SSO. Contatta l' AWS assistenza se hai bisogno di ulteriori informazioni.
Esempio: elenca tutti i progetti Amazon Monitron
Questa policy di esempio concede a un utente IAM del tuo AWS account l'autorizzazione a elencare tutti i progetti nel tuo account.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "monitron:ListProject" "Resource": "*" } ] }
Esempio: elenca i progetti Amazon Monitron in base ai tag
Puoi utilizzare le condizioni della tua policy basata sull'identità per controllare l'accesso alle risorse Amazon Monitron in base ai tag. Questo esempio mostra come è possibile creare una politica che consenta di elencare i progetti. Tuttavia, l'autorizzazione viene concessa solo se il tag del progetto location ha il valore diSeattle. Questa policy concede anche le autorizzazioni necessarie per completare questa azione nella console.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListProjectsInConsole", "Effect": "Allow", "Action": "monitron:ListProjects", "Resource": "*" "Condition": { "StringEquals": { "aws:ResourceTag/location": "Seattle" } } } ] }
Per ulteriori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l'utente di IAM.
Risoluzione dei problemi relativi a Amazon Monitron Identity and Access
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Amazon Monitron e IAM.
Argomenti
Non sono autorizzato a eseguire un'azione in Amazon Monitron
Se ricevi un errore che indica che non sei autorizzato a eseguire un'operazione, le tue policy devono essere aggiornate per poter eseguire l'operazione.
L'errore di esempio seguente si verifica quando l'utente IAM mateojackson prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa my-example-widgetmonitron: fittizie.GetWidget
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:GetWidgeton resource:my-example-widget
In questo caso, la policy per l'utente mateojackson deve essere aggiornata per consentire l'accesso alla risorsa my-example-widgetmonitron:.GetWidget
Se hai bisogno di assistenza, contatta il tuo AWS amministratore. L'amministratore è la persona che ti ha fornito le credenziali di accesso.
Desidero consentire a persone esterne al mio AWS account di accedere alle mie risorse Amazon Monitron
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all'organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per servizi che supportano policy basate su risorse o liste di controllo degli accessi (ACL), utilizza tali policy per concedere alle persone l’accesso alle tue risorse.
Per ulteriori informazioni, consulta gli argomenti seguenti:
-
Per sapere se Amazon Monitron supporta queste funzionalità, consulta. Come funziona Amazon Monitron con IAM
-
Per sapere come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà nella IAM User Guide.
-
Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta Fornire l'accesso a soggetti Account AWS di proprietà di terze parti nella Guida per l'utente IAM.
-
Per informazioni su come fornire l’accesso tramite la federazione delle identità, consulta Fornire l’accesso a utenti autenticati esternamente (Federazione delle identità) nella Guida per l’utente IAM.
-
Per scoprire la differenza tra l'utilizzo di ruoli e politiche basate sulle risorse per l'accesso tra account diversi, consulta Cross Account Resource Access in IAM nella IAM User Guide.
