Identity and Access Management

AWS Identity and Access Management (IAM) è un servizio AWS che facilita all'amministratore di un account il controllo dell'accesso in alle risorse AWS in maniera sicura. Ogni risorsa AWS è di proprietà di un account AWS e le autorizzazioni necessarie per creare o accedere a una risorsa sono regolate dalle policy di autorizzazione. Gli amministratori degli account IAM controllano chi può essere autenticato (collegato) e autorizzato (con autorizzazioni) a utilizzare le risorse Amazon IVS. IAM è una funzione del tuo account AWS offerta senza costi aggiuntivi.

Importante: per le informazioni complete, consulta la Pagina del prodotto AWSIAM, la Guida per l'utente IAM e Firma delle richieste dell'API AWS. In questa sezione, forniamo anche collegamenti a sezioni specifiche della Guida per l'utente di IAM. Prima di procedere, dovresti acquisire familiarità con questo materiale.

Destinatari

Il modo in cui IAM viene utilizzato cambia a seconda delle operazioni da eseguire in Amazon IVS:

• Utente del servizio: se utilizzi il servizio Amazon IVS per eseguire il tuo lavoro, l'amministratore ti fornirà le credenziali e le autorizzazioni necessarie. All'aumentare del numero di funzionalità di Amazon IVS utilizzate per il lavoro, potrebbero essere necessarie ulteriori autorizzazioni. La comprensione della gestione dell'accesso consente di richiedere le autorizzazioni corrette all'amministratore. Se non riesci ad accedere a una funzionalità in Amazon IVS, consulta Risoluzione dei problemi.

• Amministratore del servizio: se sei il responsabile delle risorse Amazon IVS presso la tua azienda, probabilmente disponi dell'accesso completo a Amazon IVS. Il tuo compito è determinare le funzionalità e le risorse di Amazon IVS a cui i dipendenti devono accedere. Devi quindi inviare richieste all'amministratore IAM per la modifica delle autorizzazioni degli utenti del servizio. Esamina le informazioni riportate in questa pagina per comprendere i concetti di base relativi a IAM. Per ulteriori informazioni su come la tua azienda può utilizzare IAM con Amazon IVS, consulta Come Amazon IVS funziona con IAM.

• Amministratore IAM: se sei un amministratore IAM, puoi scrivere policy per gestire l'accesso ad Amazon IVS. Per visualizzare policy basate su identità Amazon IVS di esempio che possono essere utilizzate in IAM, consulta Esempi di policy basate su identità.

Come Amazon IVS funziona con IAM

Prima di poter effettuare richieste API Amazon IVS, devi creare uno o più identità IAM (utenti, gruppi e ruoli) e policy IAM, quindi collegare le policy a tali identità. Per la propagazione delle autorizzazioni sono necessari pochi minuti; fino ad allora, le richieste API vengono rifiutate.

Per una panoramica di alto livello della modalità con cui Amazon IVS utilizza IAM, consulta Servizi AWS utilizzati con IAM nella Guida per l'utente IAM.

Identità

Puoi creare identità IAM per fornire l'autenticazione a persone e processi nel tuo account AWS. I gruppi IAM sono raccolte di utenti IAM che è possibile gestire come una singola unità. Consulta Identità (utenti, gruppi e ruoli) nella Guida per l'utente di IAM.

Policy

Consulta le seguenti sezioni nella Guida per l'utente di IAM:

• Gestione degli accessi: sono riportate le informazioni complete sulle policy.

• Operazioni, risorse e chiavi di condizione per Amazon IVS

• Chiavi di contesto della condizione globale di AWS

• Documentazione di riferimento degli elementi delle policy JSON IAM: sono descritti tutti gli elementi che puoi utilizzare in una policy JSON.

Per impostazione predefinita, gli utenti e i ruoli IAM non dispongono dell'autorizzazione per creare o modificare le risorse Amazon IVS (anche per modificare le password). Non possono eseguire attività neppure utilizzando la console AWS, la CLI AWS o l'API AWS. Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specifiche di cui hanno bisogno.

Le policy IAM definiscono le autorizzazioni relative a un'operazione, indipendentemente dal metodo utilizzato per eseguirla. Ad esempio, supponiamo di disporre di una policy che consente l'operazione iam:GetRole. Un utente con tale policy può ottenere informazioni sul ruolo dalla Console di gestione AWS, dalla CLI AWS o dall'API AWS.

Le policy sono documenti con autorizzazioni-policy JSON costituiti da elementi. Amazon IVS supporta tre elementi:

• Operazioni: le operazioni delle policy per Amazon IVS utilizzano il prefisso ivs prima dell'operazione. Ad esempio, per concedere a qualcuno l'autorizzazione per creare un canale Amazon IVS con il metodo API CreateChannel di Amazon IVS, includi l'operazione ivs:CreateChannel nella policy di quella persona. Le istruzioni della policy devono includere un elemento Action o NotAction.

• Risorse: la risorsa del canale Amazon IVS dispone del seguente formato ARN:

  arn:aws:ivs:${Region}:${Account}:channel/${channelId}

  Ad esempio, per specificare il canale VgNkEJgOVX9N nell'istruzione, utilizza il seguente ARN:

  "Resource": "arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N"

  Alcune operazioni Amazon IVS, ad esempio quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*):

  "Resource":"*"

• Condizioni: Amazon IVS supporta alcune chiavi di condizione globali: aws:RequestTag, aws:TagKeys e aws:ResourceTag.

È possibile utilizzare le variabili come segnaposto in una policy. Ad esempio, puoi concedere a un utente IAM l'autorizzazione per accedere a una risorsa solo se questo è stata taggata con il relativo nome utente IAM. Consulta Variabili e tag nella Guida per l'utente di IAM.

Amazon IVS fornisce policy gestite da AWS che possono essere utilizzate per concedere un insieme preconfigurato di autorizzazioni alle identità (sola lettura o accesso completo). È possibile scegliere di utilizzare policy gestite anziché basate sull'identità mostrate di seguito. Per i dettagli, consulta Policy gestite per Amazon IVS.

Autorizzazione basata su tag Amazon IVS

Puoi collegare i tag alle risorse Amazon IVS o inoltrarli in una richiesta ad Amazon IVS. Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'elemento condizione di una policy utilizzando le chiavi di condizione aws:ResourceTag/key-name, aws:RequestTag/key-name o aws:TagKeys. Per ulteriori informazioni sul tagging delle risorse Amazon IVS, consulta la sezione "Tagging" nella Documentazione di riferimento delle API di streaming a bassa latenza IVS, Documentazione di riferimento delle API di streaming in tempo reale IVS e Documentazione di riferimento delle API IVS Chat.

Per vedere un esempio, consulta Visualizzazione di canali Amazon IVS in base ai tag.

Roles

Consulta le sezioni Ruoli IAM e Credenziali di sicurezza temporanee nella Guida per l'utente di IAM.

Un ruolo IAM è un'entità all'interno dell'account AWS che dispone di autorizzazioni specifiche.

Amazon IVS supporta l'uso di credenziali di sicurezza temporanee. Puoi utilizzare le credenziali temporanee per effettuare l'accesso utilizzando la federazione, assumere un ruolo IAM o assumere un ruolo tra più account. Puoi ottenere credenziali di sicurezza temporanee richiamando le operazioni dell'API AWS Security Token Service, ad esempio AssumeRole o GetFederationToken.

Accesso con privilegi e senza privilegi

Le risorse API hanno un accesso con privilegi. L'accesso alla riproduzione senza privilegi può essere configurato tramite canali privati; consulta Configurazione dei canali privati.

Best practice per le policy

Consulta la sezione Best practice IAM nella Guida per l'utente di IAM.

Le policy basate su identità sono molto potenti. Esse determinano se qualcuno può creare, accedere o eliminare risorse Amazon IVS nell'account. Queste operazioni possono comportare costi aggiuntivi per l'account AWS. Segui questi suggerimenti:

• Assegna il privilegio minimo: quando crei policy personalizzate, concedi solo le autorizzazioni richieste per eseguire un'attività. Inizia con un set di autorizzazioni minimo e concedi autorizzazioni aggiuntive quando necessario. Ciò è più sicuro che iniziare con autorizzazioni che sono troppo permissive e cercare di limitarle in un secondo momento. In particolare, conserva ivs:* per l'accesso amministratore; non utilizzarlo nelle applicazioni.

• Abilitare MFA (Multi-Factor Authentication) per operazioni sensibili: per una maggiore sicurezza, richiedi agli utenti IAM di utilizzare l'autenticazione a più fattori (MFA) per accedere a risorse o operazioni API sensibili.

• Utilizza le condizioni della policy per ulteriore sicurezza: per quanto possibile, definisci le condizioni per cui le policy basate su identità consentono l'accesso a una risorsa. Ad esempio, è possibile scrivere condizioni per specificare un intervallo di indirizzi IP consentiti dai quali deve provenire una richiesta. È anche possibile scrivere condizioni per consentire solo le richieste all'interno di un intervallo di date o ore specificato oppure per richiedere l'utilizzo di SSL o MFA.

Esempi di policy basate su identità

Utilizza la console Amazon IVS

Per accedere alla console Amazon IVS, devi disporre di un set minimo di autorizzazioni che consentono di elencare e visualizzare i dettagli sulle risorse Amazon IVS nel tuo account AWS. Se crei una policy basata su identità più restrittiva delle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le identità associate a tale policy. Per garantire l'accesso alla console Amazon IVS, collega le seguenti policy alle identità (consulta Aggiunta e rimozione di autorizzazioni IAM nellaGuida per l'utente di IAM).

Le parti della policy riportata di seguito consentono l'accesso a:

• Tutti gli endpoint API di Amazon IVS

• Le tue quote di servizio Amazon IVS

• Gli endpoint Amazon S3 sono necessari per la funzionalità di registrazione automatica su S3 (streaming a bassa latenza) e la funzionalità di registrazione composita IVS (streaming in tempo reale).

• Creazione di un ruolo collegato ai servizi con registrazione automatica a S3

• Amazon Cloudwatch per ottenere parametri per la sessione di streaming live

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "ivs:*",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "servicequotas:ListServiceQuotas"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "s3:CreateBucket",
        "s3:DeleteBucketPolicy",
        "s3:GetBucketLocation",
        "s3:GetBucketPolicy",
        "s3:ListAllMyBuckets",
        "s3:PutBucketPolicy"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*"
    },
    {
      "Action": [
        "cloudwatch:GetMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "lambda:AddPermission",
        "lambda:ListFunctions"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Consenti agli utenti di visualizzare le loro autorizzazioni

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy in linea e gestite che sono collegate alla relativa identità utente. Questa policy include autorizzazioni per completare questa azione nella console AWS o tramite programmazione con la CLI AWS o l'API AWS.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "ViewOwnUserInfo",
         "Effect": "Allow",
         "Action": [
            "iam:GetUserPolicy",
            "iam:ListGroupsForUser",
            "iam:ListAttachedUserPolicies",
            "iam:ListUserPolicies",
            "iam:GetUser"
         ],
         "Resource": [
            "arn:aws:iam:*:*:user/${aws:username}"
         ]
      },
      {
         "Sid": "NavigateInConsole",
         "Effect": "Allow",
         "Action": [
            "iam:GetGroupPolicy",
            "iam:GetPolicyVersion",
            "iam:GetPolicy",
            "iam:ListAttachedGroupPolicies",
            "iam:ListGroupPolicies",
            "iam:ListPolicyVersions",
            "iam:ListPolicies",
            "iam:ListUsers"
         ],
         "Resource": "*"
      }
   ]
}

Accesso a un canale Amazon IVS

In questo caso desideri concedere a un utente IAM nel tuo account AWS l'accesso a uno dei tuoi canali Amazon IVS, VgNkEJgOVX9N. Desideri anche consentire all'utente di interrompere il flusso (ivs:StopStream), aggiungere metadati (ivs:PutMetadata) e aggiornare il canale (ivs:UpdateChannel). La policy inoltre concede le autorizzazioni richieste dalla console Amazon IVS: ivs:ListChannels, ivs:ListStreams, ivs:GetChannel e ivs:GetStream.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ListChannelsInConsole",
         "Effect":"Allow",
         "Action":[
            "ivs:ListChannels",
            "ivs:ListStreams"

         ],
         "Resource":"arn:aws:ivs:*:*:channel/*"
      },
      {
         "Sid":"ViewSpecificChannelInfo",
         "Effect":"Allow",
         "Action":[
            "ivs:GetChannel",
            "ivs:GetStream"
         ],
         "Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N"
      },
      {
         "Sid":"ManageChannel",
         "Effect":"Allow",
         "Action":[
            "ivs:StopStream",
            "ivs:PutMetadata",
            "ivs:UpdateChannel"
         ],
         "Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N" 
      }
   ]
}

Visualizzazione di canali Amazon IVS in base ai tag

Puoi utilizzare condizioni nella policy basata su identità per controllare l'accesso alle risorse Amazon IVS in base ai tag. Questo esempio mostra come creare una policy che consente di visualizzare un canale. Questa policy concede inoltre le autorizzazioni necessarie per completare questa operazione nella console Amazon IVS.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "ListWidgetsInConsole",
         "Effect": "Allow",
         "Action": "ivs:ListChannels",
         "Resource": "arn:aws:ivs:*:*:channel/*"
      },
      {
         "Sid": "ViewChannelIfOwner",
         "Effect": "Allow",
         "Action": "ivs:GetChannel",
         "Resource": "arn:aws:ivs:*:*:channel/*",
         "Condition": {
            "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
         }
      }
   ]
}

Puoi collegare questa policy agli utenti IAM nel tuo account. Tuttavia, l'autorizzazione viene concessa solo se il canale ha un tag con il nome utente di quell'utente come proprietario. Se un utente denominato richard-roe prova a visualizzare un canale Amazon IVS, il canale deve essere contrassegnato come Owner=richard-roe o owner=richard-roe altrimenti gli verrà negato l'accesso. La chiave di tag di condizione Owner corrisponde a Owner e owner perché i nomi delle chiavi di condizione non effettuano la distinzione tra maiuscole e minuscole.

Risoluzione dei problemi

Utilizza le informazioni seguenti per diagnosticare e risolvere i problemi comuni che possono verificarsi durante l'utilizzo di Amazon IVS e IAM.

• Non sono autorizzato a eseguire un'operazione in Amazon IVS.

  Il seguente errore di esempio si verifica quando l'utente IAM mateojackson prova a utilizzare la console AWS per visualizzare i dettagli su un canale senza disporre dell'autorizzazione ivs:GetChannel.

  User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ivs:GetChannel on resource: arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N

  In questo caso, Mateo richiede al suo amministratore di aggiornare le sue policy per poter accedere alla risorsa arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N utilizzando l'operazione ivs:GetChannel.

• Desidero visualizzare le mie chiavi di accesso.

  Dopo aver creato le chiavi di accesso utente IAM, puoi visualizzare il tuo ID chiave di accesso in qualsiasi momento. Tuttavia, non è possibile visualizzare nuovamente la chiave di accesso segreta. Se perdi la chiave segreta, dovrai creare una nuova coppia di chiavi di accesso. Le chiavi di accesso sono costituite da due parti:

  • Un ID chiave di accesso (ad esempio AKIAIOSFODNN7EXAMPLE)

  • Una chiave di accesso segreta (ad esempio wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)

  Come un nome utente e una password, per autenticare le richieste dell'utente è necessario utilizzare sia l'ID chiave di accesso che la chiave di accesso segreta insieme. Gestisci le tue chiavi di accesso in modo sicuro come fai per nome utente e password.

  Importante: non fornire le tue chiavi di accesso a terzi, neppure per aiutare a trovare il tuo ID utente canonico. In questo modo, potresti dare a qualcuno un accesso permanente al tuo account.

  Quando crei una coppia di chiavi di accesso, ti viene chiesto di salvare l'ID chiave di accesso e la chiave di accesso segreta in una posizione sicura. La chiave di accesso segreta è disponibile solo al momento della creazione. Se perdi la chiave di accesso segreta, dovrai aggiungere nuove chiavi di accesso all'utente IAM.

  È possibile avere al massimo due chiavi di accesso. Se ne hai già due, dovrai eliminare una coppia di chiavi prima di crearne una nuova. Per maggiori dettagli, consulta Gestione delle chiavi di accesso per utenti IAM nella Guida per l'utente di IAM.

• Sono un amministratore e desidero consentire ad altri utenti di accedere ad Amazon IVS.

  Per consentire ad altri utenti di accedere ad Amazon IVS, devi creare un'entità IAM (utente o ruolo) per la persona o l'applicazione che richiede l'accesso. La persona o l'applicazione utilizzerà le credenziali per tale entità per accedere ad AWS. Dovrai quindi collegare all'entità una policy che conceda le autorizzazioni corrette in Amazon IVS.

  Per iniziare immediatamente, consulta Creazione del primo utente delegato e gruppo IAM nella Guida per l'utente di IAM.

• Desidero consentire a persone esterne al mio account AWS l'accesso alle mie risorse Amazon IVS.

  Puoi creare un ruolo che può essere utilizzato dagli utenti in altri account o da persone esterne all'organizzazione in modo che possano accedere alle tue risorse. Puoi specificare chi è attendibile per l'assunzione del ruolo. Per servizi che supportano policy basate su risorse o liste di controllo accessi (ACL), puoi utilizzare tali policy per concedere alle persone l'accesso alle tue risorse. Per informazioni correlate, consulta queste sezioni della Guida per l'utente di IAM:

  Per imparare a...	Consulta…
  Come fornire l'accesso alle tue risorse tra gli account AWS che possiedi	Come fornire l'accesso a un utente IAM in un altro account AWS che possiedi
  Come fornire l'accesso alle tue risorse ad account AWS terzi	Come fornire dell'accesso ad account AWS posseduti da terzi
  Come fornire l'accesso tramite la federazione delle identità	Concessione dell'accesso a utenti autenticati esternamente (Federazione delle identità)
  La differenza tra l'utilizzo di ruoli e policy basate su risorse per l'accesso tra account	Differenza tra i ruoli IAM e le policy basate su risorse