Questa è la guida per sviluppatori AWS CDK v2. La versione precedente della CDK versione 1 è entrata in manutenzione il 1° giugno 2022 e ha terminato il supporto il 1° giugno 2023.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Creare e applicare i limiti delle autorizzazioni per AWS CDK
Un limite di autorizzazioni è una funzionalità avanzata AWS Identity and Access Management (IAM) che è possibile utilizzare per impostare le autorizzazioni massime che un'IAMentità, ad esempio un utente o un ruolo, può avere. È possibile utilizzare i limiti delle autorizzazioni per limitare le azioni che le IAM entità possono eseguire quando utilizzano. AWS Cloud Development Kit (AWS CDK)
Per ulteriori informazioni sui limiti delle autorizzazioni, consulta Limiti delle autorizzazioni per le IAM entità nella Guida per l'IAMutente.
Quando utilizzare i limiti delle autorizzazioni con AWS CDK
Prendi in considerazione l'applicazione dei limiti delle autorizzazioni quando devi impedire agli sviluppatori della tua organizzazione di eseguire determinate azioni con. AWS CDK Ad esempio, se nel tuo AWS ambiente sono presenti risorse specifiche che non desideri che gli sviluppatori modifichino, puoi creare e applicare un limite di autorizzazioni.
Come applicare i limiti delle autorizzazioni con AWS CDK
Crea il limite delle autorizzazioni
Innanzitutto, crei il limite delle autorizzazioni, utilizzando una politica AWS gestita o una politica gestita dal cliente per impostare il limite per un'IAMentità (utente o ruolo). Questa politica limita le autorizzazioni massime per l'utente o il ruolo. Per istruzioni sulla creazione dei limiti delle autorizzazioni, consulta Limiti di autorizzazione per le IAM entità nella Guida per l'IAMutente.
I limiti delle autorizzazioni stabiliscono le autorizzazioni massime che un'IAMentità può avere, ma non concedono le autorizzazioni da soli. È necessario utilizzare i limiti delle autorizzazioni con IAM politiche per limitare e concedere in modo efficace le autorizzazioni appropriate per l'organizzazione. È inoltre necessario impedire IAM alle entità di sfuggire ai limiti impostati. Per un esempio, vedi Delegare la responsabilità ad altri utilizzando i limiti delle autorizzazioni nella Guida per l'IAMutente.
Applica il limite delle autorizzazioni durante il bootstrap
Dopo aver creato il limite delle autorizzazioni, puoi applicarlo applicandolo durante il bootstrap. AWS CDK
Usa l'--custom-permissions-boundaryopzione e specifica il nome del limite di autorizzazioni da applicare. Di seguito è riportato un esempio che applica un limite di autorizzazioni denominato: cdk-permissions-boundary
$cdk bootstrap --custom-permissions-boundarycdk-permissions-boundary
Per impostazione predefinita, CDK utilizza il CloudFormationExecutionRole IAM ruolo, definito nel modello di bootstrap, per ricevere le autorizzazioni per eseguire le distribuzioni. Applicando il limite delle autorizzazioni personalizzate durante il bootstrap, il limite delle autorizzazioni viene associato a questo ruolo. Il limite delle autorizzazioni imposterà quindi le autorizzazioni massime che possono essere eseguite dagli sviluppatori dell'organizzazione quando utilizzano il. AWS CDK Per ulteriori informazioni su questo ruolo, consulta. IAMruoli creati durante il bootstrap
Quando applichi i limiti delle autorizzazioni in questo modo, questi vengono applicati all'ambiente specifico su cui esegui il bootstrap. Per utilizzare lo stesso limite di autorizzazioni in più ambienti, è necessario applicare il limite delle autorizzazioni per ogni ambiente durante il bootstrap. È inoltre possibile applicare limiti di autorizzazione diversi per ambienti diversi.
Ulteriori informazioni
Per ulteriori informazioni sui limiti delle autorizzazioni, consulta Quando e dove utilizzare i limiti IAM delle autorizzazioni
