Identity and Access Management per Amazon Nimble Studio

AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori controllano chi può essere autenticato (effettuato l'accesso) e autorizzato (disporre delle autorizzazioni) a utilizzare le risorse di Amazon Nimble Studio. IAM è un software Servizio AWS che puoi utilizzare senza costi aggiuntivi.

Argomenti

• Destinatari
• Autenticazione con identità
• Gestione dell'accesso con policy
• Come funziona Amazon Nimble Studio con IAM
• Esempi di policy basate sull'identità per Amazon Nimble Studio
• AWS politiche gestite per Amazon Nimble Studio
• Prevenzione del problema "confused deputy" tra servizi
• Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Nimble Studio

Destinatari

Il modo in cui usi AWS Identity and Access Management (IAM) varia a seconda del lavoro svolto in Nimble Studio.

Utente del servizio: se utilizzi il servizio Nimble Studio per svolgere il tuo lavoro, allora sei un utente del servizio. In questo caso, l'amministratore ti fornirà le credenziali e le autorizzazioni necessarie per accedere alle risorse assegnate. Man mano che utilizzi più funzionalità di Nimble Studio per svolgere il tuo lavoro, potresti aver bisogno di autorizzazioni aggiuntive. La comprensione della gestione dell'accesso ti consente di richiedere le autorizzazioni corrette all'amministratore. Se non riesci ad accedere a una funzionalità di Nimble Studio, consulta. Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Nimble Studio

Amministratore del servizio: se sei responsabile delle risorse di Nimble Studio presso la tua azienda, probabilmente hai pieno accesso a Nimble Studio. È tuo compito determinare a quali funzionalità e risorse di Nimble Studio devono accedere i tuoi dipendenti. Quindi, invia richieste all'amministratore per modificare le autorizzazioni degli utenti del servizio. Esamina le informazioni contenute in questa pagina per comprendere i concetti di base relativi a IAM. Per saperne di più su come la tua azienda può utilizzare IAM con Nimble Studio, consulta. Come funziona Amazon Nimble Studio con IAM

Autenticazione con identità

L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Per ulteriori informazioni sull'accesso utilizzando il AWS Management Console, consulta Accedere AWS Management Console come utente IAM o utente root nella Guida per l'utente IAM.

È necessario autenticarsi (accedere a AWS) come utente Account AWS root, utente o assumere un ruolo IAM. Puoi anche utilizzare l'autenticazione Single Sign-On della tua azienda o persino accedere tramite Google o Facebook. In questi casi, l'amministratore ha configurato in precedenza la federazione delle identità utilizzando i ruoli IAM. Quando accedi AWS utilizzando le credenziali di un'altra azienda, assumi un ruolo indirettamente.

Per accedere direttamente a AWS Management Console, usa la tua password con l'indirizzo email dell'utente root o il tuo nome utente. È possibile accedere a AWS livello di programmazione utilizzando l'utente root o le chiavi di accesso utente.

AWS fornisce strumenti SDK e da riga di comando per firmare crittograficamente la richiesta utilizzando le credenziali dell'utente. Se non utilizzi AWS strumenti, firma tu stesso la richiesta. A questo scopo, utilizza Signature Version 4, un protocollo per l'autenticazione di richieste API in entrata. Per ulteriori informazioni sulle richieste di autenticazione, consulta la pagina relativa al processo di firma Signature Version 4 nella Riferimenti generali di AWS .

Indipendentemente dal metodo di autenticazione utilizzato, potrebbe essere necessario specificare ulteriori informazioni sulla sicurezza. Ad esempio, ti AWS consiglia di utilizzare l'autenticazione a più fattori (MFA) per aumentare la sicurezza del tuo account. Per saperne di più, consulta Using Multi-Factor Authentication (MFA) AWS nella IAM User Guide.

Account AWS utente root

La prima volta che si crea un account Account AWS, si inizia con un'identità di accesso singolo che ha accesso completo a tutte Servizi AWS le risorse dell'account. Questa identità si chiama utente Account AWS root ed è accessibile effettuando l'accesso con l'indirizzo e-mail e la password utilizzati per creare l'account. Ti consigliamo vivamente di non utilizzare l'utente root per le tue attività quotidiane, nemmeno quelle amministrative. Rispettare piuttosto la best practice di utilizzare l'utente root soltanto per creare il tuo primo utente IAM. Quindi conservare al sicuro le credenziali dell'utente root e utilizzarle per eseguire solo alcune attività di gestione dell'account e del servizio.

Utenti e gruppi

Un utente è un'identità interna Account AWS che dispone di autorizzazioni specifiche per una singola persona o applicazione. Un utente può avere credenziali a lungo termine o un set di chiavi di accesso. Per scoprire come generare chiavi di accesso, consulta Managing access keys for IAM users nella IAM User Guide. Quando generi le chiavi di accesso per un utente, visualizza e salva in modo sicuro la coppia di chiavi. Non potrai recuperare la chiave di accesso segreta in futuro. Genera invece una nuova coppia di key pair di accesso.

Un gruppo IAM è un'identità che specifica una raccolta di utenti. Non è possibile eseguire l'accesso come gruppo. È possibile utilizzare gruppi per specificare le autorizzazioni per più utenti alla volta. I gruppi semplificano la gestione delle autorizzazioni per set di utenti di grandi dimensioni. Ad esempio, è possibile avere un gruppo denominato Amministratori IAM e concedere a tale gruppo le autorizzazioni per amministrare le risorse IAM.

Gli utenti sono diversi dai ruoli. Un utente è associato in modo univoco a una persona o un'applicazione, mentre un ruolo è destinato a essere assunto da chiunque ne abbia bisogno. Gli utenti dispongono di credenziali a lungo termine permanenti, mentre i ruoli forniscono credenziali temporanee. Per saperne di più, consulta Quando creare un utente (anziché un ruolo) nella Guida per l'utente IAM.

Ruoli IAM

Un ruolo IAM è un'identità interna all'utente Account AWS che dispone di autorizzazioni specifiche. È simile a un utente, ma non è associato a una persona specifica. Puoi assumere temporaneamente un ruolo IAM in AWS Management Console cambiando ruolo. Puoi assumere un ruolo chiamando un'operazione AWS CLI o AWS API o utilizzando un URL personalizzato. Per ulteriori informazioni sui metodi di utilizzo dei ruoli, consulta Using IAM roles nella IAM User Guide.

I ruoli IAM con credenziali temporanee sono utili nelle seguenti situazioni:

• Autorizzazioni utente temporanee: un utente può assumere un ruolo IAM per ottenere temporaneamente autorizzazioni diverse per un'attività specifica.

• Accesso utente federato: invece di creare un utente, puoi utilizzare le identità esistenti della tua rubrica utenti aziendale o di un provider di identità web. AWS Directory Service Sono noti come utenti federati. AWS assegna un ruolo a un utente federato quando è richiesto l'accesso tramite un provider di identità. Per ulteriori informazioni sugli utenti federati, consulta Federated users and roles nella IAM User Guide.

  • Iscrizione: Nimble Studio utilizza un concetto chiamato «iscrizione» per fornire a un utente l'accesso a un particolare profilo di lancio. L'iscrizione consente agli amministratori dello studio di delegare l'accesso alle risorse agli utenti, senza dover scrivere o comprendere le politiche IAM. Quando un amministratore di Nimble Studio crea un'iscrizione per un utente in un profilo di avvio, l'utente è autorizzato a eseguire le azioni IAM necessarie per utilizzare un profilo di avvio, come visualizzarne le proprietà e avviare una sessione di streaming utilizzando quel profilo di avvio.

  • Ruolo di servizio: un ruolo di servizio è un ruolo IAM che un servizio assume per eseguire azioni per tuo conto. I ruoli di servizio forniscono l'accesso solo all'interno del tuo account e non possono essere utilizzati per concedere l'accesso ai servizi in altri account. Un amministratore può creare, modificare ed eliminare un ruolo di servizio dall'interno di IAM. Per ulteriori informazioni, consulta Creare un ruolo per delegare le autorizzazioni a un utente Servizio AWS nella Guida per l'utente IAM.

  • Ruolo collegato al servizio: un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. Nimble Studio non supporta i ruoli collegati ai servizi.

• Applicazioni in esecuzione su Amazon EC2: puoi utilizzare un ruolo IAM per gestire le credenziali temporanee per le applicazioni in esecuzione su un'istanza EC2 e che AWS CLI effettuano richieste API. AWS Ciò è preferibile all'archiviazione delle chiavi di accesso nell'istanza EC2. Per assegnare un AWS ruolo a un'istanza EC2 e renderlo disponibile per tutte le sue applicazioni, crei un profilo di istanza collegato all'istanza. Un profilo dell'istanza contiene il ruolo e consente ai programmi in esecuzione sull'istanza EC2 di ottenere le credenziali temporanee. Per ulteriori informazioni, consulta Usare un ruolo IAM per concedere le autorizzazioni alle applicazioni in esecuzione su istanze Amazon EC2 nella IAM User Guide.

Per sapere se utilizzare i ruoli o gli utenti IAM, consulta Quando creare un ruolo IAM (anziché un utente) nella Guida per l'utente IAM.

Gestione dell'accesso con policy

Puoi controllare l'accesso AWS creando policy e collegandole a identità o AWS risorse IAM. Una policy è un oggetto AWS che, se associato a un'identità o a una risorsa, ne definisce le autorizzazioni. Puoi accedere come utente root o utente oppure puoi assumere un ruolo IAM. Quando poi effettui una richiesta, AWS valuta le relative politiche basate sull'identità o sulle risorse. Le autorizzazioni nelle policy determinano l'approvazione o il rifiuto della richiesta. La maggior parte delle politiche viene archiviata come documenti JSON. AWS Per ulteriori informazioni sulla struttura e il contenuto dei documenti relativi alle policy JSON, consulta Panoramica delle policy JSON nella IAM User Guide.

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. Cioè, quale preside può eseguire azioni su quali risorse e a quali condizioni.

Ogni entità IAM (utente o ruolo) inizialmente non dispone di autorizzazioni. Ovvero, di default, gli utenti non possono eseguire alcuna operazione, neppure modificare la propria password. Per autorizzare un utente a eseguire operazioni, un amministratore deve allegare una policy di autorizzazioni a tale utente. In alternativa, l'amministratore può aggiungere l'utente a un gruppo che dispone delle autorizzazioni desiderate. Quando un amministratore fornisce le autorizzazioni a un gruppo, le autorizzazioni vengono concesse a tutti gli utenti in tale gruppo.

Le policy IAM definiscono le autorizzazioni relative a un'operazione, indipendentemente dal metodo utilizzato per eseguirla. Ad esempio, supponiamo di disporre di una policy che consente l'azione iam:GetRole. Un utente con tale policy può ottenere informazioni sul ruolo dall' AWS Management Console AWS CLI, dall'o dall' AWS API.

Policy basate su identità

Le politiche basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità, ad esempio un utente, un gruppo di utenti o un ruolo. Queste politiche controllano le azioni che gli utenti e i ruoli possono eseguire, su quali risorse e in quali condizioni. Per scoprire come creare una policy basata sull'identità, consulta Creazione di policy IAM nella IAM User Guide.

Le policy basate su identità possono essere ulteriormente classificate come policy inline o policy gestite. Le policy inline sono integrate direttamente in un singolo utente, gruppo o ruolo. Le policy gestite sono policy autonome che puoi allegare a più utenti, gruppi e ruoli all'interno della tua azienda. Account AWS Le politiche gestite includono politiche AWS gestite e politiche gestite dai clienti. Per scoprire come scegliere tra una policy gestita o una politica in linea, consulta Choosing between managed policy e inline policy nella IAM User Guide.

Policy basate su risorse

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi più comuni di policy basate su risorse sono le policy di attendibilità dei ruoli IAM e le policy dei bucket Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarle per controllare l'accesso a una risorsa specifica. Per la risorsa a cui è allegata la policy, la policy definisce quali azioni uno specifico principale può eseguire su quella risorsa e a quali condizioni. Specificare un principale in una politica basata sulle risorse. I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS

Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non puoi utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.

Liste di controllo degli accessi (ACL) in Nimble Studio

Le liste di controllo degli accessi (ACL) controllano quali principali (membri, utenti o ruoli dell'account) hanno le autorizzazioni ad accedere a una risorsa. Gli ACL sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.

Amazon S3 e Amazon VPC sono esempi di servizi che supportano gli ACL. AWS WAF Per maggiori informazioni sulle ACL, consulta Panoramica delle liste di controllo degli accessi (ACL) nella Guida per gli sviluppatori di Amazon Simple Storage Service.

Altri tipi di policy

AWS supporta tipi di policy aggiuntivi e meno comuni. Questi tipi di policy possono impostare il numero massimo di autorizzazioni concesse dai tipi di policy più comuni.

• Limiti delle autorizzazioni: un limite di autorizzazioni è una funzionalità avanzata in cui si impostano le autorizzazioni massime che una policy basata sull'identità può concedere a un'entità IAM (utente o ruolo). È possibile impostare un limite delle autorizzazioni per un'entità. Le autorizzazioni risultanti sono l'intersezione tra le politiche basate sull'identità dell'entità e i suoi limiti di autorizzazione. Le politiche basate sulle risorse che specificano l'utente o il ruolo nel campo non sono limitate dal limite delle Principal autorizzazioni. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione. Per ulteriori informazioni sui limiti delle autorizzazioni, consulta Limiti delle autorizzazioni per le entità IAM nella Guida per l'utente IAM.

• Policy di controllo dei servizi (SCP): gli SCP sono policy JSON che specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa (OU) in Organizations. Organizations è un servizio per il raggruppamento e la gestione centralizzata di più Account AWS di proprietà dell'azienda. Se abiliti tutte le funzionalità in un'organizzazione, puoi applicare le policy di controllo dei servizi (SCP) a uno o tutti i tuoi account. L'SCP limita le autorizzazioni per le entità negli account dei membri, incluso ogni Account AWS utente root. Per ulteriori informazioni su Organizations and SCP, consulta How SCP work in the AWS Organizations User Guide.

• Policy di sessione: le policy di sessione sono policy avanzate che vengono trasmesse come parametro quando si crea in modo programmatico una sessione temporanea per un ruolo o un utente federato. Le autorizzazioni della sessione risultante sono l'intersezione delle policy basate sull'identità del ruolo o dell'utente e le policy di sessione. Le autorizzazioni possono anche provenire da una policy basata su risorse. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione. Per ulteriori informazioni, consulta le politiche di sessione nella Guida per l'utente IAM.

Più tipi di policy

Quando più tipi di policy si applicano a una richiesta, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire una richiesta quando sono coinvolti più tipi di policy, consulta Logica di valutazione delle policy nella IAM User Guide.