Autenticazione e controllo dell'accesso per Storage Gateway - AWSStorage Gateway

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autenticazione e controllo dell'accesso per Storage Gateway

L'accesso a AWS Storage Gateway richiede credenziali che AWS può utilizzare per autenticare le richieste. Tali credenziali devono disporre delle autorizzazioni per l'accessoAWSrisorse, ad esempio un gateway, una condivisione di file, un volume o un nastro. Nelle seguenti sezioni sono fornite maggiori informazioni su come utilizzareAWS Identity and Access Management(IAM)Storage Gateway per proteggere le risorse attraverso il controllo degli accessi:

Autenticazione

È possibile accedere ad AWS utilizzando uno dei seguenti tipi di identità:

  • Utente root Account AWS: quando crei per la prima volta un Account AWS, si inizia con una singola identità di accesso con accesso completo a tutti i servizi e alle risorse AWS nell'account. Tale identità è detta utente root Account AWS e puoi accedervi con l'indirizzo e-mail e la password utilizzati per creare l'account. È vivamente consigliato di non utilizzare l'utente root per le attività quotidiane, anche quelle amministrative. Rispetta piuttosto la best practice di utilizzare l'utente root soltanto per creare il tuo primo utente IAM. Quindi conserva al sicuro le credenziali dell'utente root e utilizzale per eseguire solo alcune attività di gestione dell'account e del servizio.

  • Utente IAM— UnUtente IAMè un'identità all'interno del tuoAccount AWSche dispone di autorizzazioni personalizzate specifiche (ad esempio le autorizzazioni per creare un gateway in Storage Gateway). Puoi utilizzare nome utente e password IAM per accedere a pagine Web AWS sicure come AWS Management Console, forum di discussione AWS o Center AWS Support.

     

    Oltre a un nome utente e una password, puoi anche generare chiavi di accesso per ciascun utente, che puoi utilizzare per accedere ai servizi AWS in modo programmatico, tramite uno dei vari SDK o l'AWS Command Line Interface (CLI). L'SDK e gli strumenti della CLI utilizzano le chiavi di accesso per firmare crittograficamente la tua richiesta. Se non utilizzi gli strumenti di AWS, devi firmare la richiesta personalmente. Supporta Storage GatewaySignature Version 4, un protocollo per l'autenticazione di richieste API in entrata. Per ulteriori informazioni sull'autenticazione delle richieste API, consulta Processo di firma con Signature Version 4 in Riferimenti generali AWS.

     

  • IAM role (Ruolo IAM): un ruolo IAM) è un'identità IAM che è possibile creare nell'account e che dispone di autorizzazioni specifiche. Un ruolo IAM è simile a un utente IAM, in quanto è un'identità AWS con policy di autorizzazioni che determinano ciò che l'identità può e non può fare in AWS. Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Tuttavia, quando assumi un ruolo, vengono fornite le credenziali di sicurezza provvisorie per la sessione del ruolo. I ruoli IAM con credenziali temporanee sono utili nelle seguenti situazioni:

     

    • Accesso di utenti federati: anziché creare un utente IAM, puoi utilizzare le identità utente preesistenti da AWS Directory Service, la directory utente aziendale o un provider di identità Web. Sono noti come utenti federati. AWS assegna un ruolo a un utente federato quando è richiesto l'accesso tramite un provider di identità. Per ulteriori informazioni sugli utenti federati, consulta la sezione relativa a utenti federati e ruoli nella Guida per l'utente di IAM.

       

    • Accesso al servizioAWS: un ruolo di servizio è un ruolo IAM assunto da un servizio per eseguire operazioni per conto dell'utente. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio da IAM. Per ulteriori informazioni, consulta Creazione di un ruolo per delegare le autorizzazioni a un servizio AWS nella Guida per l'utente di IAM.

       

    • Applicazioni in esecuzione su Amazon EC2: è possibile utilizzare un ruolo IAM per gestire credenziali temporanee per le applicazioni in esecuzione su un'istanza EC2 che eseguono richieste API AWS CLI o AWS. Ciò è preferibile all'archiviazione delle chiavi di accesso nell'istanza EC2. Per assegnare un ruolo AWS a un'istanza EC2, affinché sia disponibile per tutte le relative applicazioni, puoi creare un profilo di istanza collegato all'istanza. Un profilo di istanza contiene il ruolo e consente ai programmi in esecuzione sull'istanza EC2 di ottenere le credenziali temporanee. Per ulteriori informazioni, consulta Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni in esecuzione su istanze di Amazon EC2 nella Guida per l'utente di IAM.

Controllo degli accessi

Per autenticare le richieste devi disporre di credenziali valide, ma a meno che tu non disponga delle autorizzazioni non puoi creare o accedere a risorse Storage Gateway. Ad esempio, per creare un gateway in Storage Gateway, devi avere le autorizzazioni appropriate.

Le seguenti sezioni descrivono come gestire le autorizzazioni per Storage Gateway. Consigliamo di leggere prima la panoramica.