Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Panoramica della gestione delle autorizzazioni di accesso alle risorse AWS Control Tower
Ogni AWS risorsa è di proprietà di un Account AWS utente e le autorizzazioni per creare o accedere a una risorsa sono regolate dalle politiche di autorizzazione. Un amministratore dell'account è in grado di collegare le policy relative alle autorizzazioni alle identità IAM (ovvero utenti, gruppi e ruoli). Alcuni servizi (ad esempio AWS Lambda) supportano anche l'associazione di politiche di autorizzazione alle risorse.
Nota
Un amministratore account (o un amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni, consulta Best practice IAM nella Guida per l'utente di IAM.
Quando sei responsabile della concessione delle autorizzazioni a un utente o a un ruolo, devi conoscere e tenere traccia degli utenti e dei ruoli che richiedono autorizzazioni, delle risorse per le quali ogni utente e ruolo richiede autorizzazioni e delle azioni specifiche che devono essere consentite per il funzionamento di tali risorse.
Argomenti
Risorse e operazioni di AWS Control Tower
In AWS Control Tower, la risorsa principale è una landing zone. AWS Control Tower supporta anche un tipo di risorsa aggiuntivo, i controlli, a volte denominati guardrail. Tuttavia, per AWS Control Tower, puoi gestire i controlli solo nel contesto di una landing zone esistente. I controlli possono essere definiti sottorisorse.
Le risorse e le sottorisorse AWS sono associate a Amazon Resource Names (ARNs) univoci, come illustrato nell'esempio seguente.
| Tipo di risorsa | Formato ARN |
|---|---|
| File system | arn:aws:elasticfilesystem: |
AWS Control Tower fornisce una serie di operazioni API per lavorare con le risorse AWS Control Tower. Per un elenco delle operazioni disponibili, consulta AWS Control Tower the AWS Control Tower API Reference.
Per ulteriori informazioni sulle AWS CloudFormation risorse in AWS Control Tower, consulta la Guida AWS CloudFormation per l'utente.
Informazioni sulla proprietà delle risorse
L' AWS account possiede le risorse create nell'account, indipendentemente da chi le ha create. In particolare, il proprietario della risorsa è l' AWS account dell'entità principale (ovvero l'utente Account AWS root, un utente IAM Identity Center, un utente IAM o un ruolo IAM) che autentica la richiesta di creazione della risorsa. Negli esempi seguenti viene illustrato il funzionamento:
-
Se utilizzi le AWS credenziali utente root del tuo AWS account per configurare una landing zone, il tuo AWS account è il proprietario della risorsa.
-
Se crei un utente IAM nel tuo AWS account e concedi le autorizzazioni per configurare una landing zone a quell'utente, l'utente può configurare una landing zone purché il suo account soddisfi i prerequisiti. Tuttavia, il tuo AWS account, a cui appartiene l'utente, possiede la risorsa landing zone.
-
Se crei un ruolo IAM nel tuo AWS account con le autorizzazioni per configurare una landing zone, chiunque possa assumere il ruolo può configurare una landing zone. Il tuo AWS account, a cui appartiene il ruolo, possiede la risorsa landing zone.
Specificate gli elementi della policy: azioni, effetti e principi
Puoi configurare e gestire la tua landing zone tramite la console AWS Control Tower o la landing zone APIs. Per configurare la tua landing zone, devi essere un utente IAM con autorizzazioni amministrative come definito in una policy IAM.
I seguenti elementi sono quelli più basilari che puoi identificare in una policy:
-
Risorsa: in una policy si utilizza il nome della risorsa Amazon (ARN) per identificare la risorsa a cui si applica la policy stessa. Per ulteriori informazioni, consulta Risorse e operazioni di AWS Control Tower.
-
Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Per informazioni sui tipi di azioni disponibili da eseguire, consulta Azioni definite da AWS Control Tower.
-
Effetto: l'effetto prodotto quando l'utente richiede l'operazione specifica, ovvero un'autorizzazione o un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.
-
Principio: nelle politiche basate sull'identità (politiche IAM), l'utente a cui è associata la policy è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse). AWS Control Tower non supporta policy basate sulle risorse.
Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta AWS Riferimento alle policy IAM nella Guida per l'utente di IAM.
Specifica delle condizioni in una policy
Quando si concedono le autorizzazioni, è possibile utilizzare il linguaggio della policy IAM per specificare le condizioni in base a cui la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy, consulta la sezione Condizione nella Guida per l'utente di IAM.
Per esprimere condizioni, puoi utilizzare chiavi di condizione predefinite. Non esistono chiavi di condizione specifiche per AWS Control Tower. Tuttavia, esistono chiavi AWS di condizione estese che puoi utilizzare a seconda delle esigenze. Per un elenco completo delle chiavi AWS-wide, consulta Available Keys for Conditions nella IAM User Guide.
