Esempi di policy basate sull'identità per Amazon Location Service - Servizio di posizione Amazon
Best practice per le policyUtilizzo della consoleConsentire agli utenti di visualizzare le loro autorizzazioniUtilizzo delle risorse di Amazon Location Service nella politicaAggiornamento delle posizioni dei dispositiviPolitica di sola lettura per i trackerCreazione di geofentiPolitica di sola lettura per i geofenceRendering di una risorsa cartograficaRicerca utilizzando gli indici dei luoghiPolitica di sola lettura per i calcolatori di percorsoControlla l'accesso alle risorse in base alle chiavi di condizioneControlla l'accesso alle risorse in base ai tag

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy basate sull'identità per Amazon Location Service

Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse Amazon Location. Inoltre, non possono eseguire attività utilizzando il AWS Management Console, AWS Command Line Interface (AWS CLI), oppure AWS API. Per concedere agli utenti l'autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un IAM amministratore può creare IAM politiche. L'amministratore può quindi aggiungere le IAM politiche ai ruoli e gli utenti possono assumerli.

Per informazioni su come creare una politica IAM basata sull'identità utilizzando questi documenti di esempioJSON, consulta Creazione di IAM politiche nella Guida per l'IAMutente.

Per dettagli sulle azioni e sui tipi di risorse definiti da Amazon Location, incluso il formato di ARNs per ogni tipo di risorsa, consulta Actions, Resources and Condition Keys for Amazon Location Service nel Service Authorization Reference.

Best practice per le policy

Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse di Amazon Location nel tuo account. Queste azioni possono comportare costi per Account AWS. Quando crei o modifichi politiche basate sull'identità, segui queste linee guida e consigli:

  • Inizia con AWS politiche gestite e passaggio alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza il AWS politiche gestite che concedono autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo Account AWS. Si consiglia di ridurre ulteriormente le autorizzazioni definendo AWS politiche gestite dai clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta AWS politiche gestite o AWS politiche gestite per le funzioni lavorative nella Guida per IAM l'utente.

  • Applica le autorizzazioni con privilegi minimi: quando imposti le autorizzazioni con le IAM politiche, concedi solo le autorizzazioni necessarie per eseguire un'attività. Puoi farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo per applicare le autorizzazioni, consulta Politiche e autorizzazioni nella Guida IAM per l'utente. IAM IAM

  • Utilizza le condizioni nelle IAM politiche per limitare ulteriormente l'accesso: puoi aggiungere una condizione alle tue politiche per limitare l'accesso ad azioni e risorse. Ad esempio, puoi scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzandoSSL. È inoltre possibile utilizzare le condizioni per concedere l'accesso alle azioni di servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta Elementi IAM JSON della politica: Condizione nella Guida IAM per l'utente.

  • Usa IAM Access Analyzer per convalidare IAM le tue policy e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio delle IAM policy () e alle best practice. JSON IAM IAMAccess Analyzer fornisce più di 100 controlli delle politiche e consigli pratici per aiutarti a creare policy sicure e funzionali. Per ulteriori informazioni, vedere Convalida delle policy di IAM Access Analyzer nella Guida per l'utente. IAM

  • Richiedi l'autenticazione a più fattori (MFA): se disponi di uno scenario che richiede l'utilizzo di IAM utenti o di un utente root Account AWS, attivala MFA per una maggiore sicurezza. Per richiedere MFA quando vengono richiamate API le operazioni, aggiungi MFA delle condizioni alle tue politiche. Per ulteriori informazioni, consulta Configurazione dell'APIaccesso MFA protetto nella Guida per l'IAMutente.

Per ulteriori informazioni sulle procedure consigliate inIAM, consulta la sezione Procedure consigliate in materia di sicurezza IAM nella Guida per l'IAMutente.

Utilizzo della console Amazon Location

Per accedere alla console Amazon Location Service, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse di Amazon Location nel tuo Account AWS. Se crei una politica basata sull'identità che è più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per le entità (utenti o ruoli) con quella politica.

Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o il AWS API. Consenti invece l'accesso solo alle azioni che corrispondono all'APIoperazione che stanno cercando di eseguire.

Per garantire che utenti e ruoli possano utilizzare la console Amazon Location, allega la seguente politica alle entità. Per ulteriori informazioni, consulta Aggiungere autorizzazioni a un utente nella Guida per l'IAMutente.

La seguente politica consente di accedere alla console di Amazon Location Service, per poter creare, eliminare, elencare e visualizzare i dettagli sulle risorse di Amazon Location nel tuo AWS account.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "GeoPowerUser",
      "Effect": "Allow",
      "Action": [
        "geo:*"
      ],
      "Resource": "*"
    }
  ]
}

In alternativa, puoi concedere autorizzazioni di sola lettura per facilitare l'accesso in sola lettura. Con le autorizzazioni di sola lettura, viene visualizzato un messaggio di errore se l'utente tenta di scrivere azioni come la creazione o l'eliminazione di risorse. Ad esempio, vedi Politica di sola lettura per le risorse del tracker

Consentire agli utenti di visualizzare le loro autorizzazioni

Questo esempio mostra come è possibile creare una politica che consenta IAM agli utenti di visualizzare le politiche in linea e gestite allegate alla loro identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando a livello di codice il AWS CLI oppure AWS API.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Utilizzo delle risorse di Amazon Location Service nella politica

Amazon Location Service utilizza i seguenti prefissi per le risorse:

Prefisso della risorsa Amazon Location
Risorsa Prefisso della risorsa
Risorse della mappa map
Posiziona risorse place-index
Risorse relative al percorso route-calculator
Risorse di tracciamento tracker
Risorse della collezione Geofence geofence-collection

Usa la seguente sintassi: ARN

arn:Partition:geo:Region:Account:ResourcePrefix/ResourceName

Per ulteriori informazioni sul formato diARNs, consulta Amazon Resource Names (ARNs) e AWS Namespace dei servizi.

Examples (Esempi)

  • Usa quanto segue ARN per consentire l'accesso a una risorsa cartografica specificata.

    "Resource": "arn:aws:geo:us-west-2:account-id:map/map-resource-name"

  • Per specificare l'accesso a tutte le map risorse che appartengono a un account specifico, usa il carattere jolly (*):

    "Resource": "arn:aws:geo:us-west-2:account-id:map/*"

  • Alcune azioni di Amazon Location, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).

    "Resource": "*"

Per visualizzare un elenco dei tipi di risorse di Amazon Location e relativiARNs, consulta Resources Defined by Amazon Location Service nel Service Authorization Reference. Per sapere con quali azioni puoi specificare il tipo ARN di ciascuna risorsa, consulta Azioni definite da Amazon Location Service.

Autorizzazioni per l'aggiornamento delle posizioni dei dispositivi

Per aggiornare le posizioni dei dispositivi per più tracker, ti consigliamo di concedere a un utente l'accesso a una o più delle tue risorse di tracker. Dovrai anche consentire all'utente di aggiornare un batch di posizioni del dispositivo.

In questo esempio, oltre a concedere l'accesso a Tracker1 e Tracker2 risorse, la seguente politica concede il permesso di utilizzare l'geo:BatchUpdateDevicePositionazione contro Tracker1 e Tracker2 risorse.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "UpdateDevicePositions",
      "Effect": "Allow",
      "Action": [
        "geo:BatchUpdateDevicePosition"
      ],
      "Resource": [
        "arn:aws:geo:us-west-2:account-id:tracker/Tracker1",
        "arn:aws:geo:us-west-2:account-id:tracker/Tracker2"
      ]
    }
  ]
}

Se desideri limitare l'utente alla possibilità di aggiornare le posizioni dei dispositivi solo per un dispositivo specifico, puoi aggiungere una chiave di condizione per quell'ID del dispositivo.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "UpdateDevicePositions",
      "Effect": "Allow",
      "Action": [
        "geo:BatchUpdateDevicePosition"
      ],
      "Resource": [
        "arn:aws:geo:us-west-2:account-id:tracker/Tracker1",
        "arn:aws:geo:us-west-2:account-id:tracker/Tracker2"
      ],
      "Condition":{
        "ForAllValues:StringLike":{
          "geo:DeviceIds":[
            "deviceId"
          ]
        }
      }
    }
  ]
}

Politica di sola lettura per le risorse del tracker

Per creare una politica di sola lettura per tutte le risorse tracker del tuo AWS account, dovrai concedere l'accesso a tutte le risorse del tracker. Dovrai anche concedere a un utente l'accesso alle azioni che gli consentano di ottenere la posizione del dispositivo per più dispositivi, ottenere la posizione del dispositivo da un singolo dispositivo e ottenere la cronologia delle posizioni.

In questo esempio, la seguente politica concede l'autorizzazione per le seguenti azioni:

  • geo:BatchGetDevicePositionper recuperare la posizione di più dispositivi.

  • geo:GetDevicePositionper recuperare la posizione di un singolo dispositivo.

  • geo:GetDevicePositionHistoryper recuperare la cronologia delle posizioni di un dispositivo.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "GetDevicePositions",
      "Effect": "Allow",
      "Action": [
        "geo:BatchGetDevicePosition",
        "geo:GetDevicePosition",
        "geo:GetDevicePositionHistory"
      ],
      "Resource": "arn:aws:geo:us-west-2:account-id:tracker/*"
    }
  ]
}

Politica per la creazione di geofence

Per creare una politica che consenta a un utente di creare geofence, dovrai concedere l'accesso a azioni specifiche che consentano agli utenti di creare uno o più geofence su una raccolta di geofence.

La politica seguente concede l'autorizzazione alle seguenti azioni su Collection:

  • geo:BatchPutGeofenceper creare più geofence.

  • geo:PutGeofenceper creare un singolo geofence.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CreateGeofences",
      "Effect": "Allow",
      "Action": [
        "geo:BatchPutGeofence",
        "geo:PutGeofence"
      ],
      "Resource": "arn:aws:geo:us-west-2:account-id:geofence-collection/Collection"
    }
  ]
}

Politica di sola lettura per i geofence

Per creare una politica di sola lettura per i geofence archiviati in una raccolta di geofence nel tuo AWS account, dovrai concedere l'accesso alle azioni che leggono i geofence dalla raccolta di geofence che memorizza i geofence.

La politica seguente concede l'autorizzazione alle seguenti azioni su Collection:

  • geo:ListGeofencesper elencare i geofence nella raccolta di geofence specificata.

  • geo:GetGeofenceper recuperare un geofence dalla collezione di geofence.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "GetGeofences",
      "Effect": "Allow",
      "Action": [
        "geo:ListGeofences",
        "geo:GetGeofence"
      ],
      "Resource": "arn:aws:geo:us-west-2:account-id:geofence-collection/Collection"
    }
  ]
}

Autorizzazioni per il rendering di una risorsa cartografica

Per concedere autorizzazioni sufficienti per il rendering delle mappe, dovrai concedere l'accesso ai riquadri della mappa, agli sprite, ai glifi e al descrittore di stile:

  • geo:GetMapTilerecupera i riquadri della mappa utilizzati per il rendering selettivo delle feature su una mappa.

  • geo:GetMapSpritesrecupera il foglio PNG sprite e il JSON documento corrispondente che descrive gli offset al suo interno.

  • geo:GetMapGlyphsrecupera i glifi usati per visualizzare il testo.

  • geo:GetMapStyleDescriptorrecupera il descrittore di stile della mappa, contenente le regole di rendering.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "GetTiles",
      "Effect": "Allow",
      "Action": [
        "geo:GetMapTile",
        "geo:GetMapSprites",
        "geo:GetMapGlyphs",
        "geo:GetMapStyleDescriptor"
      ],
      "Resource": "arn:aws:geo:us-west-2:account-id:map/Map"
    }
  ]
}

Autorizzazioni per consentire le operazioni di ricerca

Per creare una politica che consenta le operazioni di ricerca, devi prima concedere l'accesso alla risorsa dell'indice dei luoghi nel tuo AWS conto. Ti consigliamo inoltre di concedere l'accesso alle azioni che consentono all'utente di effettuare ricerche utilizzando il testo mediante geocodifica e di eseguire ricerche utilizzando una posizione tramite geocodifica inversa.

In questo esempio, oltre a concedere l'accesso a PlaceIndex, la seguente politica concede inoltre l'autorizzazione per le seguenti azioni:

  • geo:SearchPlaceIndexForPositionconsente di cercare luoghi o punti di interesse vicini a una determinata posizione.

  • geo:SearchPlaceIndexForTextconsente di cercare un indirizzo, un nome, una città o una regione utilizzando testo in formato libero.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Search",
      "Effect": "Allow",
      "Action": [
        "geo:SearchPlaceIndexForPosition",
        "geo:SearchPlaceIndexForText"
      ],
      "Resource": "arn:aws:geo:us-west-2:account-id:place-index/PlaceIndex"
    }
  ]
}

Politica di sola lettura per i calcolatori di percorso

È possibile creare una politica di sola lettura per consentire a un utente di accedere a una risorsa di calcolo del percorso per calcolare un percorso.

In questo esempio, oltre a concedere l'accesso a ExampleCalculator, la seguente politica concede l'autorizzazione per la seguente operazione:

  • geo:CalculateRoutecalcola un percorso in base a una posizione di partenza, una posizione di destinazione e un elenco di posizioni di waypoint. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RoutesReadOnly",
      "Effect": "Allow",
      "Action": [
        "geo:CalculateRoute"
      ],
      "Resource": "arn:aws:geo:us-west-2:accountID:route-calculator/ExampleCalculator"
    }
  ]
}

Controlla l'accesso alle risorse in base alle chiavi di condizione

Quando crei una IAM politica per concedere l'accesso all'uso dei geofence o alle posizioni dei dispositivi, puoi utilizzare gli operatori Condition per un controllo più preciso sui geofence o sui dispositivi a cui un utente può accedere. Puoi farlo includendo l'id del geofence o l'id del dispositivo nell'elemento della tua politica. Condition

Il seguente esempio di policy mostra come creare una policy che consenta a un utente di aggiornare le posizioni dei dispositivi per un dispositivo specifico.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "UpdateDevicePositions",
      "Effect": "Allow",
      "Action": [
        "geo:BatchUpdateDevicePosition"
      ],
      "Resource": [
        "arn:aws:geo:us-west-2:account-id:tracker/Tracker"
      ],
      "Condition":{
        "ForAllValues:StringLike":{
          "geo:DeviceIds":[
            "deviceId"
          ]
        }
      }
    }
  ]
}

Controlla l'accesso alle risorse in base ai tag

Quando crei una IAM policy per concedere l'accesso all'uso delle tue risorse di Amazon Location, puoi utilizzare il controllo degli accessi basato sugli attributi per controllare meglio le risorse che un utente può modificare, utilizzare o eliminare. Puoi farlo includendo le informazioni sui tag nell'Conditionelemento della tua policy per controllare l'accesso in base ai tag delle risorse.

Il seguente esempio di policy mostra come creare una policy che consenta a un utente di creare geofence. Ciò concede l'autorizzazione alle seguenti azioni per creare uno o più geofence su una raccolta di geofence denominata Collection:

  • geo:BatchPutGeofenceper creare più geofence.

  • geo:PutGeofenceper creare un singolo geofence.

Tuttavia, questa politica utilizza l'Conditionelemento per concedere l'autorizzazione solo se Collection tag,Owner, ha il valore del nome utente di quell'utente.

  • Ad esempio, se un utente denominato richard-roe tenta di visualizzare una posizione Amazon Collection, il Collection deve essere etichettato Owner=richard-roe oowner=richard-roe. Altrimenti all'utente viene negato l'accesso.

    Nota

    La chiave di tag di condizione Owner corrisponde a Owner e owner perché i nomi delle chiavi di condizione non effettuano la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, vedere Elementi IAM JSON della politica: condizione nella Guida IAM per l'utente.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CreateGeofencesIfOwner",
      "Effect": "Allow",
      "Action": [
        "geo:BatchPutGeofence",
        "geo:PutGeofence"
      ],
      "Resource": "arn:aws:geo:us-west-2:account-id:geofence-collection/Collection",
      "Condition": {
                "StringEquals": {"geo:ResourceTag/Owner": "${aws:username}"}
      }
    }
  ]
}

Per un tutorial su come definire le autorizzazioni di accesso alle AWS risorse in base ai tag, consulta il AWS Identity and Access Management Guida per l'utente.