Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di policy basate sull'identità per Amazon Location Service
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse Amazon Location. Inoltre, non possono eseguire attività utilizzando il AWS Management Console, AWS Command Line Interface (AWS CLI), oppure AWS API. Per concedere agli utenti l'autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un IAM amministratore può creare IAM politiche. L'amministratore può quindi aggiungere le IAM politiche ai ruoli e gli utenti possono assumerli.
Per informazioni su come creare una politica IAM basata sull'identità utilizzando questi documenti di esempioJSON, consulta Creazione di IAM politiche nella Guida per l'IAMutente.
Per dettagli sulle azioni e sui tipi di risorse definiti da Amazon Location, incluso il formato di ARNs per ogni tipo di risorsa, consulta Actions, Resources and Condition Keys for Amazon Location Service nel Service Authorization Reference.
Argomenti
- Best practice per le policy
- Utilizzo della console Amazon Location
- Consentire agli utenti di visualizzare le loro autorizzazioni
- Utilizzo delle risorse di Amazon Location Service nella politica
- Autorizzazioni per l'aggiornamento delle posizioni dei dispositivi
- Politica di sola lettura per le risorse del tracker
- Politica per la creazione di geofence
- Politica di sola lettura per i geofence
- Autorizzazioni per il rendering di una risorsa cartografica
- Autorizzazioni per consentire le operazioni di ricerca
- Politica di sola lettura per i calcolatori di percorso
- Controlla l'accesso alle risorse in base alle chiavi di condizione
- Controlla l'accesso alle risorse in base ai tag
Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse di Amazon Location nel tuo account. Queste azioni possono comportare costi per Account AWS. Quando crei o modifichi politiche basate sull'identità, segui queste linee guida e consigli:
-
Inizia con AWS politiche gestite e passaggio alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza il AWS politiche gestite che concedono autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo Account AWS. Si consiglia di ridurre ulteriormente le autorizzazioni definendo AWS politiche gestite dai clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta AWS politiche gestite o AWS politiche gestite per le funzioni lavorative nella Guida per IAM l'utente.
-
Applica le autorizzazioni con privilegi minimi: quando imposti le autorizzazioni con le IAM politiche, concedi solo le autorizzazioni necessarie per eseguire un'attività. Puoi farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo per applicare le autorizzazioni, consulta Politiche e autorizzazioni nella Guida IAM per l'utente. IAM IAM
-
Utilizza le condizioni nelle IAM politiche per limitare ulteriormente l'accesso: puoi aggiungere una condizione alle tue politiche per limitare l'accesso ad azioni e risorse. Ad esempio, puoi scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzandoSSL. È inoltre possibile utilizzare le condizioni per concedere l'accesso alle azioni di servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta Elementi IAM JSON della politica: Condizione nella Guida IAM per l'utente.
-
Usa IAM Access Analyzer per convalidare IAM le tue policy e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio delle IAM policy () e alle best practice. JSON IAM IAMAccess Analyzer fornisce più di 100 controlli delle politiche e consigli pratici per aiutarti a creare policy sicure e funzionali. Per ulteriori informazioni, vedere Convalida delle policy di IAM Access Analyzer nella Guida per l'utente. IAM
-
Richiedi l'autenticazione a più fattori (MFA): se disponi di uno scenario che richiede l'utilizzo di IAM utenti o di un utente root Account AWS, attivala MFA per una maggiore sicurezza. Per richiedere MFA quando vengono richiamate API le operazioni, aggiungi MFA delle condizioni alle tue politiche. Per ulteriori informazioni, consulta Configurazione dell'APIaccesso MFA protetto nella Guida per l'IAMutente.
Per ulteriori informazioni sulle procedure consigliate inIAM, consulta la sezione Procedure consigliate in materia di sicurezza IAM nella Guida per l'IAMutente.
Utilizzo della console Amazon Location
Per accedere alla console Amazon Location Service, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse di Amazon Location nel tuo Account AWS. Se crei una politica basata sull'identità che è più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per le entità (utenti o ruoli) con quella politica.
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o il AWS API. Consenti invece l'accesso solo alle azioni che corrispondono all'APIoperazione che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano utilizzare la console Amazon Location, allega la seguente politica alle entità. Per ulteriori informazioni, consulta Aggiungere autorizzazioni a un utente nella Guida per l'IAMutente.
La seguente politica consente di accedere alla console di Amazon Location Service, per poter creare, eliminare, elencare e visualizzare i dettagli sulle risorse di Amazon Location nel tuo AWS account.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GeoPowerUser", "Effect": "Allow", "Action": [ "geo:*" ], "Resource": "*" } ] }
In alternativa, puoi concedere autorizzazioni di sola lettura per facilitare l'accesso in sola lettura. Con le autorizzazioni di sola lettura, viene visualizzato un messaggio di errore se l'utente tenta di scrivere azioni come la creazione o l'eliminazione di risorse. Ad esempio, vedi Politica di sola lettura per le risorse del tracker
Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra come è possibile creare una politica che consenta IAM agli utenti di visualizzare le politiche in linea e gestite allegate alla loro identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando a livello di codice il AWS CLI oppure AWS API.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Utilizzo delle risorse di Amazon Location Service nella politica
Amazon Location Service utilizza i seguenti prefissi per le risorse:
Prefisso della risorsa Amazon Location | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Risorsa | Prefisso della risorsa | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Risorse della mappa | map |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Posiziona risorse | place-index |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Risorse relative al percorso | route-calculator |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Risorse di tracciamento | tracker |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Risorse della collezione Geofence | geofence-collection |
Usa la seguente sintassi: ARN
arn:
Partition
:geo:Region
:Account
:ResourcePrefix
/ResourceName
Per ulteriori informazioni sul formato diARNs, consulta Amazon Resource Names (ARNs) e AWS Namespace dei servizi.
Examples (Esempi)
-
Usa quanto segue ARN per consentire l'accesso a una risorsa cartografica specificata.
"Resource": "arn:aws:geo:us-west-2:
account-id
:map/map-resource-name
" -
Per specificare l'accesso a tutte le
map
risorse che appartengono a un account specifico, usa il carattere jolly (*):"Resource": "arn:aws:geo:us-west-2:
account-id
:map/*" -
Alcune azioni di Amazon Location, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).
"Resource": "*"
Per visualizzare un elenco dei tipi di risorse di Amazon Location e relativiARNs, consulta Resources Defined by Amazon Location Service nel Service Authorization Reference. Per sapere con quali azioni puoi specificare il tipo ARN di ciascuna risorsa, consulta Azioni definite da Amazon Location Service.
Autorizzazioni per l'aggiornamento delle posizioni dei dispositivi
Per aggiornare le posizioni dei dispositivi per più tracker, ti consigliamo di concedere a un utente l'accesso a una o più delle tue risorse di tracker. Dovrai anche consentire all'utente di aggiornare un batch di posizioni del dispositivo.
In questo esempio, oltre a concedere l'accesso a Tracker1
e Tracker2
risorse, la seguente politica concede il permesso di utilizzare l'geo:BatchUpdateDevicePosition
azione contro Tracker1
e Tracker2
risorse.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "UpdateDevicePositions", "Effect": "Allow", "Action": [ "geo:BatchUpdateDevicePosition" ], "Resource": [ "arn:aws:geo:us-west-2:
account-id
:tracker/Tracker1
", "arn:aws:geo:us-west-2:account-id
:tracker/Tracker2
" ] } ] }
Se desideri limitare l'utente alla possibilità di aggiornare le posizioni dei dispositivi solo per un dispositivo specifico, puoi aggiungere una chiave di condizione per quell'ID del dispositivo.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "UpdateDevicePositions", "Effect": "Allow", "Action": [ "geo:BatchUpdateDevicePosition" ], "Resource": [ "arn:aws:geo:us-west-2:
account-id
:tracker/Tracker1
", "arn:aws:geo:us-west-2:account-id
:tracker/Tracker2
" ], "Condition":{ "ForAllValues:StringLike":{ "geo:DeviceIds":[ "deviceId
" ] } } } ] }
Politica di sola lettura per le risorse del tracker
Per creare una politica di sola lettura per tutte le risorse tracker del tuo AWS account, dovrai concedere l'accesso a tutte le risorse del tracker. Dovrai anche concedere a un utente l'accesso alle azioni che gli consentano di ottenere la posizione del dispositivo per più dispositivi, ottenere la posizione del dispositivo da un singolo dispositivo e ottenere la cronologia delle posizioni.
In questo esempio, la seguente politica concede l'autorizzazione per le seguenti azioni:
-
geo:BatchGetDevicePosition
per recuperare la posizione di più dispositivi. -
geo:GetDevicePosition
per recuperare la posizione di un singolo dispositivo. -
geo:GetDevicePositionHistory
per recuperare la cronologia delle posizioni di un dispositivo.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetDevicePositions", "Effect": "Allow", "Action": [ "geo:BatchGetDevicePosition", "geo:GetDevicePosition", "geo:GetDevicePositionHistory" ], "Resource": "arn:aws:geo:us-west-2:
account-id
:tracker/*" } ] }
Politica per la creazione di geofence
Per creare una politica che consenta a un utente di creare geofence, dovrai concedere l'accesso a azioni specifiche che consentano agli utenti di creare uno o più geofence su una raccolta di geofence.
La politica seguente concede l'autorizzazione alle seguenti azioni su Collection
:
-
geo:BatchPutGeofence
per creare più geofence. -
geo:PutGeofence
per creare un singolo geofence.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateGeofences", "Effect": "Allow", "Action": [ "geo:BatchPutGeofence", "geo:PutGeofence" ], "Resource": "arn:aws:geo:us-west-2:
account-id
:geofence-collection/Collection
" } ] }
Politica di sola lettura per i geofence
Per creare una politica di sola lettura per i geofence archiviati in una raccolta di geofence nel tuo AWS account, dovrai concedere l'accesso alle azioni che leggono i geofence dalla raccolta di geofence che memorizza i geofence.
La politica seguente concede l'autorizzazione alle seguenti azioni su Collection
:
-
geo:ListGeofences
per elencare i geofence nella raccolta di geofence specificata. -
geo:GetGeofence
per recuperare un geofence dalla collezione di geofence.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetGeofences", "Effect": "Allow", "Action": [ "geo:ListGeofences", "geo:GetGeofence" ], "Resource": "arn:aws:geo:us-west-2:
account-id
:geofence-collection/Collection
" } ] }
Autorizzazioni per il rendering di una risorsa cartografica
Per concedere autorizzazioni sufficienti per il rendering delle mappe, dovrai concedere l'accesso ai riquadri della mappa, agli sprite, ai glifi e al descrittore di stile:
-
geo:GetMapTile
recupera i riquadri della mappa utilizzati per il rendering selettivo delle feature su una mappa. -
geo:GetMapSprites
recupera il foglio PNG sprite e il JSON documento corrispondente che descrive gli offset al suo interno. -
geo:GetMapGlyphs
recupera i glifi usati per visualizzare il testo. -
geo:GetMapStyleDescriptor
recupera il descrittore di stile della mappa, contenente le regole di rendering.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetTiles", "Effect": "Allow", "Action": [ "geo:GetMapTile", "geo:GetMapSprites", "geo:GetMapGlyphs", "geo:GetMapStyleDescriptor" ], "Resource": "arn:aws:geo:us-west-2:
account-id
:map/Map
" } ] }
Autorizzazioni per consentire le operazioni di ricerca
Per creare una politica che consenta le operazioni di ricerca, devi prima concedere l'accesso alla risorsa dell'indice dei luoghi nel tuo AWS conto. Ti consigliamo inoltre di concedere l'accesso alle azioni che consentono all'utente di effettuare ricerche utilizzando il testo mediante geocodifica e di eseguire ricerche utilizzando una posizione tramite geocodifica inversa.
In questo esempio, oltre a concedere l'accesso a PlaceIndex
, la seguente politica concede inoltre l'autorizzazione per le seguenti azioni:
-
geo:SearchPlaceIndexForPosition
consente di cercare luoghi o punti di interesse vicini a una determinata posizione. -
geo:SearchPlaceIndexForText
consente di cercare un indirizzo, un nome, una città o una regione utilizzando testo in formato libero.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Search", "Effect": "Allow", "Action": [ "geo:SearchPlaceIndexForPosition", "geo:SearchPlaceIndexForText" ], "Resource": "arn:aws:geo:us-west-2:
account-id
:place-index/PlaceIndex
" } ] }
Politica di sola lettura per i calcolatori di percorso
È possibile creare una politica di sola lettura per consentire a un utente di accedere a una risorsa di calcolo del percorso per calcolare un percorso.
In questo esempio, oltre a concedere l'accesso a ExampleCalculator
, la seguente politica concede l'autorizzazione per la seguente operazione:
-
geo:CalculateRoute
calcola un percorso in base a una posizione di partenza, una posizione di destinazione e un elenco di posizioni di waypoint.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoutesReadOnly", "Effect": "Allow", "Action": [ "geo:CalculateRoute" ], "Resource": "arn:aws:geo:us-west-2:
accountID
:route-calculator/ExampleCalculator
" } ] }
Controlla l'accesso alle risorse in base alle chiavi di condizione
Quando crei una IAM politica per concedere l'accesso all'uso dei geofence o alle posizioni dei dispositivi, puoi utilizzare gli operatori Condition per un controllo più preciso sui geofence o sui dispositivi a cui un utente può accedere. Puoi farlo includendo l'id del geofence o l'id del dispositivo nell'elemento della tua politica. Condition
Il seguente esempio di policy mostra come creare una policy che consenta a un utente di aggiornare le posizioni dei dispositivi per un dispositivo specifico.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "UpdateDevicePositions", "Effect": "Allow", "Action": [ "geo:BatchUpdateDevicePosition" ], "Resource": [ "arn:aws:geo:us-west-2:
account-id
:tracker/Tracker
" ], "Condition":{ "ForAllValues:StringLike":{ "geo:DeviceIds":[ "deviceId
" ] } } } ] }
Controlla l'accesso alle risorse in base ai tag
Quando crei una IAM policy per concedere l'accesso all'uso delle tue risorse di Amazon Location, puoi utilizzare il controllo degli accessi basato sugli attributi per controllare meglio le risorse che un utente può modificare, utilizzare o eliminare. Puoi farlo includendo le informazioni sui tag nell'Conditionelemento della tua policy per controllare l'accesso in base ai tag delle risorse.
Il seguente esempio di policy mostra come creare una policy che consenta a un utente di creare geofence. Ciò concede l'autorizzazione alle seguenti azioni per creare uno o più geofence su una raccolta di geofence denominata Collection
:
-
geo:BatchPutGeofence
per creare più geofence. -
geo:PutGeofence
per creare un singolo geofence.
Tuttavia, questa politica utilizza l'Condition
elemento per concedere l'autorizzazione solo se Collection
tag,Owner
, ha il valore del nome utente di quell'utente.
-
Ad esempio, se un utente denominato
richard-roe
tenta di visualizzare una posizione AmazonCollection
, ilCollection
deve essere etichettatoOwner=richard-roe
oowner=richard-roe
. Altrimenti all'utente viene negato l'accesso.Nota
La chiave di tag di condizione
Owner
corrisponde aOwner
eowner
perché i nomi delle chiavi di condizione non effettuano la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, vedere Elementi IAM JSON della politica: condizione nella Guida IAM per l'utente.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateGeofencesIfOwner", "Effect": "Allow", "Action": [ "geo:BatchPutGeofence", "geo:PutGeofence" ], "Resource": "arn:aws:geo:us-west-2:
account-id
:geofence-collection/Collection
", "Condition": { "StringEquals": {"geo:ResourceTag/Owner": "${aws:username
}"} } } ] }
Per un tutorial su come definire le autorizzazioni di accesso alle AWS risorse in base ai tag, consulta il AWS Identity and Access Management Guida per l'utente.