Creazione di una policy di accesso per concedere l'accesso a una terza parte

L'account A deve creare un ruolo IAM distinto per l'account Z, l'analista di terza parte dello scenario 2. Quando crei il ruolo, AWS crea automaticamente la relazioni di attendibilità, che specifica che l'account Z è attendibile per l'assunzione del ruolo. La policy di accesso per il ruolo specifica le operazioni che l'account Z può eseguire. Per ulteriori informazioni sulla creazione di ruoli e policy di ruolo, consulta Creazione di un ruolo.

Ad esempio, la relazione di attendibilità creata da AWS specifica che l'account Z è attendibile e può assumere il ruolo creato dall'account A. Di seguito è illustrato un esempio di policy di attendibilità:


{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "",
        "Effect": "Allow",
        "Principal": {"AWS": "arn:aws:iam::account-Z-id:root"},
        "Action": "sts:AssumeRole"
    }]
}

Se quando hai creato il ruolo per l'account Z hai specificato un ID esterno, la policy di accesso contiene un altro elemento Condition che verifica l'ID univoco assegnato dall'account Z. Il test viene eseguito quando viene assunto il ruolo. La policy di accesso di esempio seguente contiene un elemento Condition.

Per ulteriori informazioni, consulta Utilizzo di un ID esterno quando si concede a una terza parte l'accesso alle proprie risorse AWS nella Guida per l'utente di IAM.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "",
        "Effect": "Allow",
        "Principal": {"AWS": "arn:aws:iam::account-Z-id:root"},
        "Action": "sts:AssumeRole",
        "Condition": {"StringEquals": {"sts:ExternalId": "external-ID-issued-by-account-Z"}}
    }]
}

Devi inoltre creare una policy di accesso per il ruolo dell'account A per specificare che l'account Z può leggere tutti i log nel bucket Amazon S3. La policy di accesso dovrebbe essere simile all'esempio seguente. Il carattere jolly (*) dopo il valore Resource indica che l'account Z può accedere a qualsiasi file di log nel bucket S3 per il quale dispone dell'accesso.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": "arn:aws:s3:::bucket-name/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": "arn:aws:s3:::bucket-name"
        }
    ]
}

Dopo aver creato un ruolo per l'account Z e specificato la relazione di attendibilità e la policy di accesso corrette, un utente IAM nell'account Z deve assumere il ruolo a livello di programmazione per poter essere in grado di leggere i file di log nel bucket. Per ulteriori informazioni, consulta . Assunzione di un ruolo.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Creazione di una policy di accesso per concedere l'accesso ad account di proprietà

Assunzione di un ruolo