Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Panoramica sulla gestione delle autorizzazioni di accesso alle risorse AWS Control Tower
Ogni AWS la risorsa è di proprietà di un Account AWS e le autorizzazioni per creare o accedere a una risorsa sono regolate dalle politiche di autorizzazione. Un amministratore di account può associare criteri di autorizzazione alle IAM identità (ovvero utenti, gruppi e ruoli). Alcuni servizi (come AWS Lambda) supportano anche l'associazione di politiche di autorizzazione alle risorse.
Nota
Un amministratore account (o un amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni, consulta IAMBest Practices nella Guida per l'IAMutente.
Quando sei responsabile della concessione delle autorizzazioni a un utente o a un ruolo, devi conoscere e tenere traccia degli utenti e dei ruoli che richiedono autorizzazioni, delle risorse per le quali ogni utente e ruolo richiede le autorizzazioni e delle azioni specifiche che devono essere consentite per il funzionamento di tali risorse.
Argomenti
AWSRisorse e operazioni Control Tower
In AWS Control Tower, la risorsa principale è una landing zone. AWSControl Tower supporta anche un tipo di risorsa aggiuntivo, i controlli, a volte denominati guardrail. Tuttavia, per AWS Control Tower, puoi gestire i controlli solo nel contesto di una landing zone esistente. I controlli possono essere definiti sottorisorse.
Risorse e sottorisorse in AWS sono associati ad Amazon Resource Names (ARNs) univoci, come illustrato nell'esempio seguente.
| Tipo di risorsa | ARNFormato |
|---|---|
| File system | arn:aws:elasticfilesystem: |
AWSControl Tower fornisce una serie di API operazioni per lavorare con le risorse AWS Control Tower. Per un elenco delle operazioni disponibili, vedi AWS Control Tower the AWS Control Tower API Reference.
Per ulteriori informazioni su AWS CloudFormation risorse in AWS Control Tower, vedi il AWS CloudFormation Guida per l'utente.
Informazioni sulla proprietà delle risorse
Il AWS l'account possiede le risorse create nell'account, indipendentemente da chi ha creato le risorse. In particolare, il proprietario della risorsa è AWS conto dell'entità principale (vale a dire, il Account AWS utente root, un utente di IAM Identity Center, un IAM utente o un IAM ruolo) che autentica la richiesta di creazione delle risorse. Negli esempi seguenti viene illustrato il funzionamento:
-
Se utilizzi il plugin AWS credenziali utente root dell'account AWS account per configurare una landing zone, il tuo AWS account è il proprietario della risorsa.
-
Se crei un IAM utente nel tuo AWS account e concedi le autorizzazioni per configurare una landing zone a quell'utente, l'utente può configurare una landing zone purché il suo account soddisfi i prerequisiti. Tuttavia, il tuo AWS l'account, a cui appartiene l'utente, possiede la risorsa landing zone.
-
Se crei un IAM ruolo nel tuo AWS Se si dispone dei permessi necessari per configurare una landing zone, chiunque possa assumere il ruolo può configurare una landing zone. Il tuo AWS l'account, a cui appartiene il ruolo, possiede la risorsa landing zone.
Specificare gli elementi della politica: azioni, effetti e principi
Puoi configurare e gestire la tua landing zone tramite la console AWS Control Tower o la landing zone APIs. Per configurare la landing zone, devi essere un IAM utente con le autorizzazioni amministrative definite in una IAM policy.
I seguenti elementi sono quelli più basilari che è possibile identificare in una policy:
-
Risorsa: in una policy, utilizzi un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy. Per ulteriori informazioni, consulta AWSRisorse e operazioni Control Tower.
-
Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Per informazioni sui tipi di azioni disponibili da eseguire, vedere Azioni definite da AWS Control Tower.
-
Effetto: l'effetto prodotto quando l'utente richiede l'operazione specifica, ovvero un'autorizzazione o un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.
-
Principio: nelle politiche basate sull'identità (IAMpolitiche), l'utente a cui è associata la politica è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse). AWSControl Tower non supporta politiche basate sulle risorse.
Per ulteriori informazioni sulla sintassi e sulle descrizioni IAM delle policy, consulta AWS IAMRiferimento alle politiche nella Guida per l'IAMutente.
Specifica delle condizioni in una policy
Quando si concedono le autorizzazioni, è possibile utilizzare il linguaggio della IAM policy per specificare le condizioni in cui una politica deve avere effetto. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni sulla specificazione delle condizioni in un linguaggio di policy, consulta Condition nella Guida per l'IAMutente.
Per esprimere le condizioni, è possibile utilizzare chiavi di condizione predefinite. Non esistono chiavi di condizione specifiche per AWS Control Tower. Tuttavia, ci sono AWS-chiavi di condizione ampie che è possibile utilizzare a seconda delle esigenze. Per un elenco completo di AWS-wide keys, vedi Available Keys for Conditions nella Guida per l'IAMutente.
