Gestione delle autorizzazioni di accesso per l'organizzazione AWS - AWS Organizations
Risorse e operazioni AWS OrganizationsInformazioni sulla proprietà delle risorseGestione dell'accesso alle risorseSpecifica degli elementi della policy: operazioni, condizioni, effetti e risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione delle autorizzazioni di accesso per l'organizzazione AWS

Tutte le risorse AWS, inclusi root, UO, account e policy in un'organizzazione, sono di proprietà di un Account AWS e le autorizzazioni per creare o accedere a una risorsa sono governate dalle policy di autorizzazione. Per un'organizzazione, l'account di gestione possiede tutte le risorse. L'amministratore di un account può controllare l'accesso alle risorse AWS collegando le policy di autorizzazione alle identità IAM (utenti, gruppi e ruoli).

Nota

Un amministratore account (o un utente amministratore) è un utente con autorizzazioni di amministratore. Per ulteriori informazioni, consulta Best Practice di sicurezza in IAM nella Guida per l'utente di IAM.

Quando concedi le autorizzazioni, puoi specificare gli utenti che le riceveranno e le risorse per cui le ricevono, nonché le operazioni specifiche da consentire su tali risorse.

Per impostazione predefinita, utenti, gruppi e ruoli IAM non dispongono di autorizzazioni. In qualità di amministratore dell'account di gestione di un'organizzazione, puoi svolgere attività amministrative o delegare autorizzazioni di amministratore ad altri utenti o ruoli IAM nell'account di gestione. Per eseguire questa operazione, è possibile collegare una policy di autorizzazioni IAM a un utente, gruppo o ruolo IAM. Come impostazione predefinita, un utente non ha alcuna autorizzazione; questo a volta si chiama rifiuto implicito. La policy sostituisce il rifiuto implicito con un permesso esplicito che specifica quali operazioni l'utente può eseguire e le risorse su cui possono eseguire le azioni. Se le autorizzazioni sono concesse a un ruolo, gli utenti in altri account dell'organizzazione possono assumere quel ruolo.

Risorse e operazioni AWS Organizations

Questa sezione illustra come i concetti AWS Organizations vengono mappati ai concetti IAM equivalenti.

Risorse

In AWS Organizations, puoi controllare l'accesso alle seguenti risorse:

  • Root e UO che costituiscono la struttura gerarchica di un'organizzazione

  • Account membri dell'organizzazione

  • Policy collegate alle entità dell'organizzazione

  • Handshake utilizzati per modificare lo stato dell'organizzazione

Ognuna di queste risorse dispone di un Amazon Resource Name (ARN) univoco associato. Puoi controllare l'accesso a una risorsa specificando il suo nome ARN nell'elemento Resource di una policy di autorizzazione IAM. Per un elenco completo dei formati ARN per le risorse utilizzate inAWS Organizations, vedere Tipi di risorse definiti da AWS Organizations nel Service Authorization Reference.

Operazioni

AWS fornisce un insieme di operazioni da utilizzare con le risorse in un'organizzazione. Esse ti consentono di eseguire operazioni quali creare, elencare, modificare, eliminare le risorse e accedere ai loro contenuti. Puoi fare riferimento alla maggior parte delle operazioni nell'elemento Action di una policy IAM per controllare gli utenti che possono utilizzarle. Per un elenco delle AWS Organizations operazioni che possono essere utilizzate come autorizzazioni in una policy IAM, consulta Actions defined by AWS Organizations nel Service Authorization Reference.

Quando combini un elemento Action e un elemento Resource in una sola policy di autorizzazione Statement, puoi controllare esattamente le risorse per le quali quel particolare insieme di operazioni può essere utilizzato.

Chiavi di condizione

AWS fornisce chiavi di condizione sulle quali puoi eseguire query per fornire un controllo più granulare per determinate operazioni. Puoi fare riferimento a queste chiavi di condizione nell'elemento Condition di una policy IAM per specificare le circostanze aggiuntive da soddisfare affinché l'istruzione possa essere considerata una corrispondenza.

Le chiavi di condizione seguenti sono particolarmente utili con AWS Organizations:

  • aws:PrincipalOrgID - Semplifica la determinazione dell'elemento Principal in una policy basata su risorse. Questa chiave globale fornisce un'alternativa per elencare tutti gli ID account per tutti gli Account AWS all'interno di un'organizzazione. Invece di elencare tutti gli account che sono membri di un'organizzazione, puoi specificare l'ID organizzazione nell'elemento Condition.

    Nota

    Questa condizione globale vale anche per l'account di gestione di un'organizzazione.

    Per ulteriori informazioni, consulta la descrizione delle chiavi contestuali PrincipalOrgID in condizione AWS globale nella Guida per l'utente IAM.

  • aws:PrincipalOrgPaths - Utilizza questa chiave di condizione per abbinare i membri di un root dell'organizzazione specifica, di un'unità organizzativa o dei relativi elementi figlio. La chiave di condizione aws:PrincipalOrgPaths restituisce vero quando il principale (utente root, utente o ruolo IAM) che effettua la richiesta si trova nel percorso dell'organizzazione specificato. Un percorso è una rappresentazione in testo della struttura di un'entità AWS Organizations. Per ulteriori informazioni sui percorsi, consulta Understand the AWS Organizations entity path nella IAM User Guide. Per ulteriori informazioni sull'utilizzo di questa chiave di condizione, consulta aws: PrincipalOrgPaths nella IAM User Guide.

    Ad esempio, il seguente elemento condizione corrisponde i membri di una delle due unità organizzative nella stessa organizzazione.

                "Condition": {
                "ForAnyValue:StringLike": {
                    "aws:PrincipalOrgPaths": [
                        "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
                        "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/"
                    ]
                }
            }

  • organizations:PolicyType - Puoi utilizzare questa chiave di condizione per limitare le operazioni API relative alle policy di Organizations per operare solo su policy Organizations del tipo specificato. Puoi applicare questa chiave di condizione a qualsiasi istruzione delle policy che include un'operazione che interagisce con le policy di Organizations.

    Puoi utilizzare i seguenti valori con questa chiave di condizione:

    • AISERVICES_OPT_OUT_POLICY

    • BACKUP_POLICY

    • SERVICE_CONTROL_POLICY

    • TAG_POLICY

    Ad esempio, la seguente policy consente all'utente di eseguire qualsiasi operazione di Organizations. Tuttavia, se l'utente esegue un'operazione che accetta un argomento della policy, l'operazione è consentita solo se la policy specificata è una policy di tagging. L'operazione non riesce se l'utente specifica qualsiasi altro tipo di policy.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies",
            "Effect": "Allow",
            "Action": "organizations:*",
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:PolicyType": [ "TAG_POLICY" ]
                }
            }
        }
    ]
}

  • organizations:ServicePrincipal— Disponibile come condizione se si utilizzano le AWSServiceAccess operazioni Abilita AWSServiceAccess o Disabilita per abilitare o disabilitare l'accesso affidabile con altri AWS servizi. Puoi utilizzare organizations:ServicePrincipal per limitare le richieste effettuate da tali operazioni a un elenco di nomi principali dei servizi approvati.

    Ad esempio, la seguente policy consente all'utente di specificare solo AWS Firewall Manager durante l'abilitazione e la disabilitazione dell'accesso sicuro con AWS Organizations.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowOnlyAWSFirewallIntegration",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:ServicePrincipal": [ "fms.amazonaws.com" ]
                }
            }
        }
    ]
}

Per un elenco di tutte le chiavi di condizione AWS Organizations specifiche che possono essere utilizzate come autorizzazioni in una policy IAM, consulta Condition keys for AWS Organizations nel Service Authorization Reference.

Informazioni sulla proprietà delle risorse

L'Account AWS possiede le risorse che vengono create nell'account, indipendentemente da chi ha creato le risorse. Nello specifico, il proprietario della risorsa è l'Account AWS dell'entità principale (ovvero l'utente root, un utente IAM o un ruolo IAM) che autentica la richiesta di creazione della risorsa. Per un'organizzazione AWS, si tratta sempre dell'account di gestione. Non puoi chiamare dagli account membri la maggior parte delle operazioni che creano o accedono alle risorse dell'organizzazione. Negli esempi seguenti viene illustrato il funzionamento:

  • Se utilizzi le credenziali dell'account root dell'account di gestione per creare un'UO, il tuo account di gestione è il proprietario della risorsa. In AWS Organizations, la risorsa è la UO.

  • Se crei un utente IAM nell'account di gestione e concedi a tale utente le autorizzazioni per creare un'UO, l'utente può creare un'UO. Tuttavia, è l'account di gestione, al quale appartiene l'utente, il proprietario della risorsa UO.

  • Se crei un ruolo IAM nell'account di gestione con le autorizzazioni per creare un'UO, chiunque possa assumere il ruolo può creare un'UO. L'account di gestione a cui appartiene il ruolo (non l'utente che lo assume) è il proprietario della risorsa UO.

Gestione dell'accesso alle risorse

La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

Nota

Questa sezione riguarda l'utilizzo di IAM nel contesto AWS Organizations. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione IAM completa, consulta la Guida per l'utente IAM. Per informazioni sulla sintassi e le descrizioni delle policy IAM, consulta il riferimento alla policy IAM JSON nella IAM User Guide.

Le policy collegate a un'identità IAM sono denominate policy basate su identità (policy IAM). Le policy collegate a una risorsa vengono definite policy basate su risorse. AWS Organizations supporta solo le policy basate su identità (policy IAM).

Policy di autorizzazione basate su identità (policy IAM)

Puoi collegare policy alle identità IAM per consentire a tali identità di eseguire operazioni sulle risorse AWS. Ad esempio, puoi eseguire le operazioni seguenti:

  • Collegare una policy di autorizzazione a un utente o a un gruppo nel tuo account - Per concedere delle autorizzazioni a un utente per creare una risorsa AWS Organizations, come una policy di controllo dei servizi (SCP) o un'UO, puoi collegare una policy di autorizzazioni a un utente o a un gruppo a cui appartiene l'utente. L'utente o il gruppo devono trovarsi nell'account di gestione dell'organizzazione.

  • Collegare una policy di autorizzazione a un ruolo (assegnazione di autorizzazioni tra account) - Puoi collegare una policy di autorizzazione basata su identità a un ruolo IAM per concedere l'accesso tra account a un'organizzazione. Ad esempio, l'amministratore dell'account di gestione può creare un ruolo per concedere autorizzazioni tra account a un utente nell'account membro, come segue:

    1. L'amministratore dell'account di gestione crea un ruolo IAM e collega una policy di autorizzazione al ruolo che concede le autorizzazioni alle risorse dell'organizzazione.

    2. L'amministratore dell'account di gestione collega una policy di attendibilità al ruolo che identifica l'ID dell'account membro come Principal per tale ruolo.

    3. L'amministratore dell'account membro può quindi delegare le autorizzazioni per assegnare il ruolo a qualsiasi utente nell'account membro. In questo modo, gli utenti nell'account membro possono creare o accedere alle risorse nell'account di gestione e nell'organizzazione. Il principale nella policy di attendibilità può essere anche un principale del servizio AWS se vuoi concedere le autorizzazioni a un servizio AWS affinché assuma il ruolo.

    Per ulteriori informazioni sull'uso di IAM per delegare le autorizzazioni, consulta Gestione degli accessi nella Guida per l'utente di IAM.

Di seguito sono riportati esempi di policy che consentono a un utente di eseguire l'operazione CreateAccount nella tua organizzazione.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"Stmt1OrgPermissions",
         "Effect":"Allow",
         "Action":[
            "organizations:CreateAccount"
         ],
         "Resource":"*"
      }
   ]
}

È anche possibile definire un ARN parziale nell’elemento Resource della policy per indicare il tipo di risorsa.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowCreatingAccountsOnResource",
         "Effect":"Allow",
         "Action":"organizations:CreateAccount",
         "Resource":"arn:aws:organizations::*:account/*"
      }
   ]
}

Puoi anche negare la creazione di account che non includono tag specifici per l'account che si sta creando.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"DenyCreatingAccountsOnResourceBasedOnTag",
         "Effect":"Deny",
         "Action":"organizations:CreateAccount",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/key":"value"
            }
         }
      }
   ]
}

Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta le identità IAM (users, user groups, and roles) nella IAM User Guide.

Policy basate su risorse

Alcuni servizi, come ad esempio Amazon S3, supportano policy di autorizzazione basate su risorse. Ad esempio, puoi collegare una policy a un bucket Amazon S3 per gestire le autorizzazioni di accesso al bucket. Attualmente, AWS Organizations non supporta le policy basate su risorse.

Specifica degli elementi della policy: operazioni, condizioni, effetti e risorse

Per ogni risorsa AWS Organizations, il servizio definisce un insieme di operazioni API che in qualche modo possono interagire con la risorsa o manipolarla. Per concedere le autorizzazioni per queste operazioni, AWS Organizations definisce un insieme di operazioni che puoi specificare in una policy. Ad esempio, per la risorsa UO, AWS Organizations definisce operazioni come la seguente:

  • AttachPolicy e DetachPolicy

  • CreateOrganizationalUnit e DeleteOrganizationalUnit

  • ListOrganizationalUnits e DescribeOrganizationalUnit

In alcuni casi, l'esecuzione di un'operazione API potrebbe richiedere le autorizzazioni necessarie per più di un'azione e per più di una risorsa.

Di seguito sono elencati gli elementi base che puoi utilizzare in una policy di autorizzazione IAM:

  • Action (Operazione) - Utilizza questa parola chiave per identificare le operazioni (azioni) che vuoi consentire o rifiutare. Ad esempio, a seconda dell'elemento Effect specificato, organizations:CreateAccount consente o rifiuta all'utente le autorizzazioni per eseguire l'operazione AWS Organizations CreateAccount. Per ulteriori informazioni, consulta IAM JSON Policy elements: Action in the IAM User Guide.

  • Risorsa - Utilizza questa parola chiave per specificare l'ARN della risorsa a cui si applica l'istruzione della policy. Per ulteriori informazioni, consulta IAM JSON Policy elements: Resource in the IAM User Guide.

  • Condizione - Utilizza questa parola chiave per specificare una condizione che deve essere soddisfatta per l'istruzione di policy da applicare. Condition in genere specifica ulteriori circostanze che devono essere vere affinché la policy corrisponda. Per ulteriori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l'utente di IAM.

  • Effetto - Utilizza questa parola chiave per specificare se l'istruzione di policy consente o rifiuta l'operazione sulla risorsa. Se non concedi esplicitamente l'accesso a una risorsa (o la consenti), l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per essere certo che un utente non possa eseguire un'operazione specifica sulla risorsa specifica, anche quando tale accesso è assegnato da un'altra policy. Per ulteriori informazioni, consulta IAM JSON Policy elements: Effect in the IAM User Guide.

  • Principale - Nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è automaticamente e implicitamente il principale. Per le policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse). Attualmente, AWS Organizations supporta solo le policy basate su identità e non su risorse.

Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta il riferimento alla policy IAM JSON nella IAM User Guide.