Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice: Gestione delle autorizzazioni
Importante
Il AWS OpsWorks Stacks servizio ha raggiunto la fine del ciclo di vita il 26 maggio 2024 ed è stato disabilitato sia per i clienti nuovi che per quelli esistenti. Consigliamo vivamente ai clienti di migrare i propri carichi di lavoro verso altre soluzioni il prima possibile. Se hai domande sulla migrazione, contatta il AWS Support Team su AWS re:post
È necessario disporre di credenziali di AWS per accedere alle risorse dell'account. Di seguito sono elencate alcune linee guida generali per fornire l'accesso ai dipendenti.
-
In primo luogo, è consigliabile non utilizzare le credenziali root dell'account per accedere alle risorse AWS.
Invece, crea identità IAM per i tuoi dipendenti e aggiungi le autorizzazioni che forniscono l'accesso appropriato. Ogni dipendente può quindi utilizzare le proprie credenziali per accedere alle risorse.
-
I dipendenti devono avere le autorizzazioni per accedere solo alle risorse necessarie per svolgere il proprio lavoro.
Ad esempio, gli sviluppatori di applicazioni hanno bisogno di accedere solo agli stack che eseguono le loro applicazioni.
-
I dipendenti devono avere le autorizzazioni per utilizzare solo le operazioni necessarie per svolgere il proprio lavoro.
Uno sviluppatore di applicazioni potrebbe richiedere autorizzazioni complete per uno stack di sviluppo e autorizzazioni per distribuire le app nello stack di produzione corrispondente. Probabilmente non avrà bisogno di autorizzazioni per avviare o arrestare le istanze nello stack di produzione, creare o eliminare livelli e così via.
Per ulteriori informazioni generali sulla gestione delle autorizzazioni, consulta AWS Security Credentials.
Puoi utilizzare AWS OpsWorks Stacks o IAM per gestire le autorizzazioni degli utenti. Le due opzioni non si escludono a vicenda e talvolta è opportuno utilizzare entrambe.
- AWS OpsWorks Gestione delle autorizzazioni di Stacks
-
Ogni stack ha una pagina Permissions (Autorizzazioni) che è possibile utilizzare per concedere agli utenti l'autorizzazione di accesso allo stack e specificare le operazioni che possono eseguire. È possibile specificare le autorizzazioni di un utente impostando uno dei livelli di autorizzazioni seguenti. Ogni livello rappresenta una policy IAM che concede le autorizzazioni per un set standard di azioni.
-
Deny (Nega) nega l'autorizzazione per interagire con lo stack in qualsiasi modo.
-
Show (Visualizzazione) concede le autorizzazioni per visualizzare la configurazione dello stack, ma non per modificare lo stato dello stack.
-
Deploy (Distribuzione) include le autorizzazioni Show (Visualizzazione) e concede all'utente anche le autorizzazioni di distribuzione delle app.
-
Manage (Gestione) include le autorizzazioni Deploy (Distribuzione) e permette anche all'utente di eseguire diverse operazioni di gestione dello stack, come la creazione o l'eliminazione di istanze e livelli.
Nota
Il livello Manage permissions non concede le autorizzazioni per un numero limitato di azioni AWS OpsWorks Stacks di alto livello, inclusa la creazione o la clonazione di stack. È necessario utilizzare una policy IAM per concedere tali autorizzazioni.
Oltre a impostare i livelli di autorizzazioni, è anche possibile utilizzare la pagina Permissions (Autorizzazioni) di uno stack per specificare se gli utenti hanno privilegi SSH/RDP e sudo/amministratore nelle istanze dello stack. Per ulteriori informazioni sulla gestione delle autorizzazioni di AWS OpsWorks Stacks, consulta Concessione delle autorizzazioni per stack. Per ulteriori informazioni sulla gestione dell'accesso SSH, consulta Gestione dell'accesso SSH.
-
- Gestione delle autorizzazioni IAM
-
Con la gestione delle autorizzazioni IAM, utilizzi la console IAM, l'API o la CLI per allegare una policy in formato JSON a un utente che specifica esplicitamente le proprie autorizzazioni. Per ulteriori informazioni sulla gestione delle autorizzazioni IAM, consulta Che cos'è IAM? .
Raccomandazione: inizia con la gestione delle autorizzazioni di AWS OpsWorks Stacks. Se devi ottimizzare le autorizzazioni di un utente oppure concedere a un utente autorizzazioni non incluse nel livello di autorizzazioni Manage (Gestione), puoi combinare i due approcci. AWS OpsWorks Stacks valuta quindi entrambe le politiche per determinare le autorizzazioni dell'utente.
Importante
Se un utente ha più politiche con autorizzazioni in conflitto, la negazione vince sempre. Ad esempio, supponiamo di associare una policy IAM a un utente che consente l'accesso a uno stack particolare, ma di utilizzare anche la pagina Autorizzazioni dello stack per assegnare all'utente un livello di autorizzazioni Deny. Il livello di autorizzazioni Deny (Nega) ha la precedenza e l'utente non sarà in grado di accedere allo stack. Per ulteriori informazioni, consulta la logica di valutazione delle politiche IAM.
Supponi, ad esempio, di voler fare in modo che un utente possa eseguire la maggior parte delle operazioni su uno stack, ad eccezione di aggiungere o eliminare i livelli.
-
Specifica un livello di autorizzazione Manage (Gestione), che permette all'utente di eseguire la maggior parte delle operazioni di gestione dello stack, incluse la creazione e l'eliminazione di livelli.
-
Allega all'utente la seguente policy gestita dal cliente, che nega le autorizzazioni all'utilizzo CreateLayere alle DeleteLayerazioni su quello stack. Puoi identificare lo stack in base al relativo Amazon Resource Name (ARN), indicato nella pagina Settings (Impostazioni) dello stack.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "opsworks:CreateLayer", "opsworks:DeleteLayer" ], "Resource": "arn:aws:opsworks:*:*:stack/2f18b4cb-4de5-4429-a149-ff7da9f0d8ee/" } ] }
Per ulteriori informazioni, incluse policy di esempio, consulta Gestione delle autorizzazioni AWS OpsWorks di Stacks allegando una policy IAM.
Nota
Un altro modo di utilizzare la policy IAM consiste nell'impostare una condizione che limiti l'accesso allo stack ai dipendenti con un indirizzo IP o un intervallo di indirizzi specificato. Per fare in modo, ad esempio, che i dipendenti accedano agli stack solo dall'interno di un firewall aziendale, imposta una condizione che limita l'accesso all'intervallo di indirizzi IP dell'azienda. Per ulteriori informazioni, consulta la pagina relativa alle condizioni.
