Panoramica della sintassi delle policy di accesso per Amazon API Gateway - Amazon API Gateway
Elementi comuni in una policy di accesso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Panoramica della sintassi delle policy di accesso per Amazon API Gateway

Questa pagina descrive gli elementi di base usati nelle policy per le risorse Amazon API Gateway.

Le policy delle risorse vengono specificate utilizzando la stessa sintassi delle policy IAM. Per informazioni complete sulla sintassi delle policy, consulta Panoramica delle policy IAM e Riferimento alle policy AWS Identity and Access Management nella Guida per l'utente di IAM.

Per informazioni su come un AWS servizio decide se una determinata richiesta deve essere consentita o rifiutata, vedere Determinare se una richiesta è consentita o rifiutata.

Elementi comuni in una policy di accesso

In termini basilari, una policy delle risorse contiene i seguenti elementi:

  • Risorse: le API sono le risorse Amazon API Gateway per le quali è possibile concedere o rifiutare autorizzazioni. In una policy, utilizzare l'Amazon Resource Name (ARN) per identificare la risorsa. È inoltre possibile utilizzare la sintassi abbreviata, che API Gateway espande automaticamente fino all'ARN completo quando si salva una policy delle risorse. Per ulteriori informazioni, consulta Esempi di policy delle risorse API Gateway.

    Per il formato dell'elemento Resource completo, consulta Formato dell'elemento Resource delle autorizzazioni per l'esecuzione dell'API in API Gateway.

  • Azioni: per ogni risorsa, Amazon API Gateway supporta un insieme di operazioni. Vengono identificate le operazioni delle risorse che verranno consentite (o rifiutate) utilizzando le parole chiave dell'operazione.

    Ad esempio, l'autorizzazione execute-api:Invoke consentirà all'utente di richiamare un'API in seguito alla richiesta di un client.

    Per il formato dell'elemento Action, consulta Formato dell'elemento Action delle autorizzazioni per l'esecuzione dell'API in API Gateway.

  • Effetto: l'effetto prodotto quando l'utente richiede una determinata operazione; può essere Allow o Deny. È anche possibile rifiutare esplicitamente l'accesso a una risorsa per essere certi che un utente non sia in grado di accedervi, anche quando tale accesso è assegnato da un'altra policy.

    Nota

    "Rifiuto implicito" ha lo stesso significato di "rifiuto per default".

    Un "rifiuto implicito" è diverso da un "rifiuto esplicito". Per ulteriori informazioni, consulta la sezione sulla differenza tra rifiuto per default e rifiuto esplicito.

  • Principale: account o utente autorizzato ad accedere alle operazioni e alle risorse nell'istruzione. In una policy delle risorse, il principale è l'utente o l'account che riceve questa autorizzazione.

L'esempio di policy delle risorse seguente mostra gli elementi di policy comuni descritti in precedenza. La policy concede l'accesso all'API per l'ID-account specificato nella regione indicata a qualsiasi utente il cui indirizzo IP di origine sia incluso nel blocco di indirizzi 123.4.5.6/24. La policy nega l'accesso all'API se l'IP di origine dell'utente non rientra nell'intervallo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "123.4.5.6/24"
                }
            }
        }
    ]
}