WKLD.02 - Limita l'ambito di utilizzo delle credenziali con le autorizzazioni delle policy basate sulle risorse - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

WKLD.02 - Limita l'ambito di utilizzo delle credenziali con le autorizzazioni delle policy basate sulle risorse

Le policy sono oggetti che possono definire le autorizzazioni o specificare le condizioni di accesso. Sono disponibili due tipi principali di policy:

  • Le policy basate sull'identità sono collegate ai principali e definiscono quali sono le autorizzazioni del principale nell'ambiente AWS.

  • Le policy basate sulle risorse sono collegate a una risorsa, ad esempio un bucket Amazon Simple Storage Service (Amazon S3) o un endpoint di cloud privato virtuale (VPC). Queste policy specificano a quali principali è consentito l'accesso, le azioni supportate e qualsiasi altra condizione che deve essere soddisfatta.

Per poter accedere ed eseguire un'azione su una risorsa, un principale deve disporre dell'autorizzazione concessa nella policy basata sulle identità e soddisfare le condizioni della policy basata sulle risorse. Per ulteriori informazioni, consulta Policy basate sulle identità e policy basate sulle risorse (documentazione di IAM).

Le condizioni consigliate per le policy basate sulle risorse includono:

  • Limita l'accesso solo ai principali di un'organizzazione specificata (definita in AWS Organizations) utilizzando la condizione aws:PrincipalOrgID.

  • Limita l'accesso al traffico proveniente da un VPC o da un endpoint VPC specifico utilizzando rispettivamente la condizione aws:SourceVpc o aws:SourceVpce.

  • Consenti o nega il traffico in base all'indirizzo IP di origine utilizzando una condizione aws:SourceIp.

Di seguito è riportato un esempio di policy basata sulle risorse che utilizza la condizione aws:PrincipalOrgID per consentire solo ai principali nell'organizzazione <o-xxxxxxxxxxx> di accedere al bucket S3 <bucket-name>:

{
   "Version":"2012-10-17",
   "Statement":[
     {
       "Sid":"AllowFromOrganization",
       "Effect":"Allow",
       "Principal":"*",
       "Action":"s3:*",
       "Resource":"arn:aws:s3:::<bucket-name>/*",
       "Condition": {
         "StringEquals": {"aws:PrincipalOrgID":"<o-xxxxxxxxxxx>"}
       }
     }
   ]
}