Gestisci l'accesso alle risorse - AWS Control Tower
Informazioni sulle politiche (politiche) basate sull'identità IAMPolicy basate su risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestisci l'accesso alle risorse

La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

Nota

Questa sezione illustra l'utilizzo IAM nel contesto di AWS Control Tower. Non fornisce informazioni dettagliate sul IAM servizio. Per la IAM documentazione completa, vedi Cos'èIAM? nella Guida IAM per l'utente. Per informazioni sulla sintassi e le descrizioni delle IAM policy, vedere AWS IAMRiferimento alle politiche nella Guida per l'IAMutente.

Le politiche associate a un'IAMidentità sono denominate politiche basate sull'identità (politiche)IAM. Le policy collegate a una risorsa vengono definite policy basate sulle risorse.

Nota

AWSControl Tower supporta solo policy (policy) IAM basate sull'identità.

Argomenti

Informazioni sulle politiche (politiche) basate sull'identità IAM

È possibile allegare politiche alle identità. IAM Ad esempio, puoi eseguire le operazioni seguenti:

  • Allega una politica di autorizzazioni a un utente o a un gruppo nel tuo account: per concedere a un utente le autorizzazioni per creare una risorsa AWS Control Tower, come la configurazione di una landing zone, puoi allegare una politica di autorizzazioni a un utente o gruppo a cui appartiene l'utente.

  • Associare una politica di autorizzazioni a un ruolo (concedere autorizzazioni per più account): puoi allegare una politica di autorizzazioni basata sull'identità a un ruolo per concedere autorizzazioni su più account. IAM Ad esempio, un amministratore per uno AWS account (Account A) può creare un ruolo che concede autorizzazioni multiaccount a un altro account AWS account (Account B) oppure l'amministratore può creare un ruolo che concede le autorizzazioni a un altro AWS servizio.

    1. L'amministratore dell'Account A crea un IAM ruolo e attribuisce una politica di autorizzazioni al ruolo che concede le autorizzazioni per gestire le risorse nell'Account A.

    2. L'amministratore dell'account A attribuisce una politica di fiducia al ruolo. La politica identifica l'Account B come il principale che può assumere il ruolo.

    3. In qualità di principale, l'amministratore dell'Account B può concedere a qualsiasi utente dell'Account B il permesso di assumere il ruolo. Assumendo il ruolo, gli utenti dell'Account B possono creare o accedere alle risorse dell'Account A.

    4. Per concedere un AWS servizio la capacità (autorizzazioni) di assumere il ruolo, il principale specificato nella politica di fiducia può essere un AWS servizio.

Policy basate su risorse

Anche altri servizi, ad esempio Amazon S3, supportano policy di autorizzazioni basate su risorse. Ad esempio, è possibile associare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket. AWSControl Tower non supporta politiche basate sulle risorse.