Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni e script in esecuzione su istanze di streaming 2.0 AppStream - Amazon AppStream 2.0
Le migliori pratiche per l'utilizzo dei ruoli IAM con le istanze di streaming AppStream 2.0Configurazione di un ruolo IAM esistente da utilizzare con le istanze di streaming AppStream 2.0Come creare un ruolo IAM da utilizzare con le istanze di streaming AppStream 2.0Come utilizzare il ruolo IAM con le istanze di streaming AppStream 2.0

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni e script in esecuzione su istanze di streaming 2.0 AppStream

Le applicazioni e gli script eseguiti su istanze di streaming AppStream 2.0 devono includere AWS credenziali nelle loro richieste API. AWS Per gestire tali credenziali, puoi creare un ruolo IAM. Un ruolo IAM specifica un set di autorizzazioni che puoi utilizzare per accedere alle risorse. AWS Tuttavia, questo ruolo non è associato in modo univoco a una persona. Al contrario, può essere assunto da chiunque ne abbia bisogno.

Puoi applicare un ruolo IAM a un'istanza di streaming AppStream 2.0. Quando l'istanza di streaming passa (assume) al ruolo, questo fornisce credenziali di sicurezza temporanee. L'applicazione o gli script utilizzano queste credenziali per eseguire azioni API e attività di gestione sull'istanza di streaming. AppStream 2.0 gestisce il cambio temporaneo delle credenziali per te.

Le migliori pratiche per l'utilizzo dei ruoli IAM con le istanze di streaming AppStream 2.0

Quando utilizzi i ruoli IAM con istanze di streaming AppStream 2.0, ti consigliamo di seguire queste pratiche:

  • Limita le autorizzazioni concesse alle azioni e alle AWS risorse dell'API.

    Segui i principi del privilegio minimo quando crei e colleghi le policy IAM ai ruoli IAM associati alle istanze di streaming AppStream 2.0. Quando utilizzi un'applicazione o uno script che richiede l'accesso alle azioni o alle risorse dell' AWS API, determina le azioni e le risorse specifiche richieste. Quindi, creare policy che consentono all'applicazione o allo script di eseguire solo tali operazioni. Per ulteriori informazioni, consulta Assegnare il privilegio minimo nella Guida per l'utente di IAM.

  • Crea un ruolo IAM per ogni risorsa AppStream 2.0.

    La creazione di un ruolo IAM unico per ogni risorsa AppStream 2.0 è una pratica che segue i principi del privilegio minimo. Ciò consente inoltre di modificare le autorizzazioni per una risorsa senza influire sulle altre risorse.

  • Limitare l'ambito in cui è possibile utilizzare le credenziali.

    Le policy IAM consentono di definire le condizioni in cui il ruolo IAM può essere utilizzato per accedere a una risorsa. Ad esempio, è possibile includere le condizioni per specificare un intervallo di indirizzi IP da cui le richieste possono provenire. In questo modo si impedisce l'utilizzo delle credenziali al di fuori dell'ambiente. Per ulteriori informazioni, consulta Utilizzare le condizioni della policy per ulteriore sicurezza nella Guida per l'utente IAM.

Configurazione di un ruolo IAM esistente da utilizzare con le istanze di streaming AppStream 2.0

Questo argomento descrive come configurare un ruolo IAM esistente in modo da poterlo utilizzare con gli Image Builder e le istanze di streaming del parco istanze.

Prerequisiti

Il ruolo IAM che desideri utilizzare con un generatore di immagini AppStream 2.0 o un'istanza di streaming della flotta deve soddisfare i seguenti prerequisiti:

  • Il ruolo IAM deve trovarsi nello stesso account Amazon Web Services dell'istanza di streaming AppStream 2.0.

  • Il ruolo IAM non può essere un ruolo di servizio.

  • La politica di relazione di fiducia allegata al ruolo IAM deve includere il servizio AppStream 2.0 come principale. Un principale è un'entità in AWS grado di eseguire azioni e accedere alle risorse. La policy deve includere anche l'operazione sts:AssumeRole. Questa configurazione dei criteri definisce AppStream 2.0 come entità attendibile.

  • Se stai applicando il ruolo IAM a un generatore di immagini, quest'ultimo deve eseguire una versione dell'agente AppStream 2.0 rilasciata a partire dal 3 settembre 2019. Se stai applicando il ruolo IAM a una flotta, la flotta deve utilizzare un'immagine che utilizzi una versione dell'agente rilasciata nella stessa data o dopo la stessa data. Per ulteriori informazioni, consulta AppStream Note sulla versione 2.0 dell'agente.

Per consentire al responsabile del servizio AppStream 2.0 di assumere un ruolo IAM esistente

Per eseguire la procedura seguente, devi accedere all'account come utente IAM che dispone delle autorizzazioni necessarie per elencare e aggiornare i ruoli IAM. Se non disponi delle autorizzazioni necessarie, contatta l'amministratore dell'account Amazon Web Services per eseguire queste fasi nel tuo account o per ottenere le autorizzazioni necessarie.

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, seleziona Ruoli.

  3. Nell'elenco di ruoli dell'account selezionare il nome del ruolo da modificare.

  4. Selezionare la scheda Trust relationships (Relazioni di trust) e scegliere Edit trust relationship (Modifica relazione di trust).

  5. In Policy Document (Documento policy), verificare che la policy della relazione di trust includa l'operazione sts:AssumeRole per l'entità principale del servizio appstream.amazonaws.com:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "appstream.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  6. Una volta completata la modifica della policy di attendibilità, selezionare Update Trust Policy (Aggiorna policy di attendibilità) per salvare le modifiche.

  7. Il ruolo IAM selezionato verrà visualizzato nella console AppStream 2.0. Questo ruolo concede le autorizzazioni alle applicazioni e agli script per eseguire operazioni API e attività di gestione sulle istanze di streaming.

Come creare un ruolo IAM da utilizzare con le istanze di streaming AppStream 2.0

Questo argomento descrive come creare un nuovo ruolo IAM in modo da poterlo utilizzare con gli Image Builder e le istanze di streaming del parco istanze.

  1. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Ruoli e quindi Crea ruolo.

  3. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegli AWS service (Servizio).

  4. Dall'elenco dei AWS servizi, scegli AppStream 2.0.

  5. In Seleziona il tuo caso d'uso, è già selezionata l'opzione AppStream AppStream 2.0: consente alle istanze 2.0 di chiamare i AWS servizi per tuo conto. Scegli Successivo: autorizzazioni.

  6. Se possibile, selezionare la policy delle autorizzazioni da utilizzare o scegliere Crea policy per aprire una nuova scheda del browser e creare una nuova policy da zero. Per ulteriori informazioni, consulta la fase 4 nella procedura Creazione di policy IAM (console) nella Guida per l'utente di IAM.

    Una volta creata la policy, chiudere la scheda e tornare alla scheda originale. Seleziona la casella di controllo accanto ai criteri di autorizzazione che desideri applicare alla AppStream versione 2.0.

  7. (Facoltativo) Impostare un limite delle autorizzazioni. Questa è una caratteristica avanzata disponibile per i ruoli di servizio, ma non per i ruoli collegati ai servizi. Per ulteriori informazioni, consulta Limiti delle autorizzazioni per le entità IAM nella Guida per l'utente di IAM.

  8. Scegli Successivo: Tag. È inoltre possibile collegare tag come coppie chiave-valore. Per ulteriori informazioni, consulta Tagging delle risorse IAM nella Guida per l'utente IAM.

  9. Scegli Prossimo: Rivedi.

  10. Per Nome ruolo, digita un nome di ruolo univoco all'interno dell'account Amazon Web Services. Poiché altre AWS risorse potrebbero fare riferimento al ruolo, non puoi modificare il nome del ruolo dopo che è stato creato.

  11. Per Role description (Descrizione ruolo), mantenere la descrizione del ruolo predefinita o digitarne una nuova.

  12. Verificare il ruolo e quindi scegliere Create role (Crea ruolo).

Come utilizzare il ruolo IAM con le istanze di streaming AppStream 2.0

Dopo aver creato un ruolo IAM, puoi applicarlo a un Image Builder o a un'istanza di streaming del parco istanze quando avvii l'Image Builder o crei un parco istanze. Puoi anche applicare un ruolo IAM ai parchi istanze esistenti. Per informazioni su come applicare un ruolo IAM all'avvio di un Image Builder, consulta Avvio di uno sviluppatore di immagini per installare e configurare applicazioni per lo streaming. Per informazioni su come applicare il ruolo IAM al momento della creazione di un parco istanze, consulta Creazione di un parco istanze.

Quando applichi un ruolo IAM al tuo generatore di immagini o all'istanza di streaming della flotta, AppStream 2.0 recupera le credenziali temporanee e crea il profilo di credenziali appstream_machine_role sull'istanza. Le credenziali temporanee sono valide per 1 ora e nuove credenziali vengono recuperate ogni ora. Le credenziali precedenti non scadono, quindi è possibile utilizzarle per tutto il tempo in cui sono valide. Puoi utilizzare il profilo delle credenziali per chiamare AWS i servizi a livello di codice utilizzando l'interfaccia a riga di AWS comando (AWS CLI), AWS Tools for PowerShell o l' AWS SDK con il linguaggio che preferisci.

Quando si effettuano le chiamate API, specificare appStream_machine_role come profilo delle credenziali. In caso contrario, l'operazione ha esito negativo a causa di autorizzazioni insufficienti.

AppStream 2.0 assume il ruolo specificato durante il provisioning dell'istanza di streaming. Poiché AppStream 2.0 utilizza l'interfaccia di rete elastica collegata al VPC per le chiamate AWS API, l'applicazione o lo script devono attendere che l'interfaccia di rete elastica diventi disponibile prima di effettuare chiamate AWS API. Se le chiamate API vengono effettuate prima che l'interfaccia di rete elastica sia disponibile, le chiamate non vanno a buon fine.

I seguenti esempi mostrano come utilizzare il profilo delle credenziali appStream_machine_role per descrivere le istanze di streaming (istanze EC2) e per creare il client Boto. Boto è l'Amazon Web Services SDK Amazon Web Services (AWS) per Python.

Descrivi le istanze di streaming (istanze EC2) utilizzando la CLI AWS 

aws ec2 describe-instances --region us-east-1 --profile appstream_machine_role

Descrivi le istanze di streaming (istanze EC2) utilizzando gli strumenti per AWS PowerShell

È necessario utilizzare AWS Tools per la PowerShell versione 3.3.563.1 o successiva, con l'Amazon Web Services SDK for .NET versione 3.3.103.22 o successiva. Puoi scaricare il programma di installazione di AWS Tools for Windows, che include AWS Tools for PowerShell e Amazon Web Services SDK for .NET, dal AWS sito Web Tools PowerShell for.

Get-EC2Instance -Region us-east-1 -ProfileName appstream_machine_role

Creazione del client Boto utilizzando l' AWS SDK per Python

session = boto3.Session(profile_name='appstream_machine_role')