Gestisci l'accesso alle risorse - AWS Control Tower
Informazioni sulle politiche basate sull'identità (politiche IAM)Policy basate sulle risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestisci l'accesso alle risorse

La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

Nota

Questa sezione illustra l'utilizzo di IAM nel contesto di AWS Control Tower. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta Che cos'è IAM? nella Guida per l'utente di IAM. Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consulta Riferimento alle policy IAM di AWS nella Guida per l'utente di IAM.

Le politiche associate a un'identità IAM sono denominate politiche basate sull'identità (politiche IAM). Le policy collegate a una risorsa vengono definite policy basate sulle risorse.

Nota

AWS Control Tower supporta solo policy basate sull'identità (policy IAM).

Argomenti

Informazioni sulle politiche basate sull'identità (politiche IAM)

Puoi collegare le policy alle identità IAM. Ad esempio, puoi eseguire le operazioni seguenti:

  • Associa una policy di autorizzazioni a un utente o a un gruppo nel tuo account — Per concedere a un utente le autorizzazioni per creare una risorsa AWS Control Tower, come la configurazione di una landing zone, puoi allegare una policy di autorizzazione a un utente o gruppo a cui appartiene l'utente.

  • Collega una policy di autorizzazione a un ruolo (assegnazione di autorizzazioni tra account): per concedere autorizzazioni tra più account, è possibile collegare una policy di autorizzazione basata su identità a un ruolo IAM. Ad esempio, un amministratore di un AWS account (Account A) può creare un ruolo che concede autorizzazioni su più account a un altro AWS account (Account B) oppure l'amministratore può creare un ruolo che concede autorizzazioni a un altro AWS servizio.

    1. L'amministratore dell'Account A crea un ruolo IAM e attribuisce una politica di autorizzazioni al ruolo che concede le autorizzazioni per gestire le risorse nell'Account A.

    2. L'amministratore dell'account A attribuisce una politica di fiducia al ruolo. La politica identifica l'Account B come il principale che può assumere il ruolo.

    3. In qualità di principale, l'amministratore dell'Account B può concedere a qualsiasi utente dell'Account B il permesso di assumere il ruolo. Assumendo il ruolo, gli utenti dell'Account B possono creare o accedere alle risorse dell'Account A.

    4. Per concedere a un AWS servizio la capacità (autorizzazioni) di assumere il ruolo, il principale specificato nella politica di fiducia può essere un AWS servizio.

Policy basate sulle risorse

Anche altri servizi, ad esempio Amazon S3, supportano policy di autorizzazioni basate su risorse. Ad esempio, è possibile associare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket. AWS Control Tower non supporta policy basate sulle risorse.