Funzionamento di AWS RAM con IAM - AWS Resource Access Manager
Struttura delle policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Funzionamento di AWS RAM con IAM

Per impostazione predefinita, i responsabili IAM non dispongono l'autorizzazione per creare o modificareAWS RAM risorse. Per consentire ai responsabili IAM di creare o modificare risorse ed eseguire attività, devi eseguire una delle operazioni. Queste operazioni forniscano l'autorizzazione per l'uso di risorse e operazioni API specifiche.

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

  • Utenti e gruppi in AWS IAM Identity Center:

    Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center.

  • Utenti gestiti in IAM tramite un provider di identità:

    Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Creating a role for a third-party identity provider (federation) (Creazione di un ruolo per un provider di identità di terze parti [federazione]) nella Guida per l'utente di IAM.

  • Utenti IAM:

    • Crea un ruolo che l'utente possa assumere. Per istruzioni, consulta la pagina Creating a role for an IAM user (Creazione di un ruolo per un utente IAM) nella Guida per l'utente di IAM.

    • (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente di IAM.

AWS RAMfornisce diverse politicheAWS gestite che è possibile utilizzare per soddisfare le esigenze di molti utenti. Per ulteriori informazioni su queste impostazioni, consulta AWS Policy gestite da per AWS RAM.

Se hai bisogno di un controllo più preciso sulle autorizzazioni che concedi ai tuoi utenti, puoi creare le tue politiche nella console IAM. Per informazioni sulla creazione di policy e sulla loro associazione ai ruoli e agli utenti IAM, consulta Policy e autorizzazioni in IAM nella Guida per l'AWS Identity and Access Managementutente.

Le sezioni seguenti forniscono i dettagliAWS RAM specifici per la creazione di una politica di autorizzazione IAM.

Struttura delle policy

Una politica di autorizzazione IAM è un documento JSON che include le seguenti dichiarazioni: Effetto, Azione, Risorsa e Condizione. Una policy IAM è in genere il forma.

{
    "Statement":[{
        "Effect":"<effect>",
        "Action":"<action>",
        "Resource":"<arn>",
        "Condition":{
            "<comparison-operator>":{
                "<key>":"<value>"
            }
        }
    }]
}

Effetto

L'istruzione Effect indica se la politica consente o nega un'autorizzazione principale per eseguire un'azione. I valori possibili includono:Allow eDeny.

Operazione

L'istruzione Action specifica le azioniAWS RAM API per le quali la policy consente o nega l'autorizzazione. Per un elenco completo delle azioni consentite, consulta Azioni definite daAWS Resource Access Manager nella Guida per l'utente IAM.

Risorsa

La dichiarazione Resource specifica leAWS RAM risorse interessate dalla politica. Per specificare una risorsa nella dichiarazione, devi l'unico Amazon Resource Name (ARN). Per un elenco completo delle risorse consentite, consulta Risorse definite daAWS Resource Access Manager nella Guida per l'utente IAM.

Condition

Le dichiarazioni sulle condizioni sono facoltative. Possono essere utilizzati per perfezionare ulteriormente le condizioni in base alle quali si applica la policy. AWS RAMsupporta le chiavi di condizione:

  • aws:RequestTag/${TagKey}— Verifica se la richiesta di servizio include un tag con la chiave di tag specificata esiste e ha il valore specificato.

  • aws:ResourceTag/${TagKey}— Verifica se la risorsa su cui ha risposto la richiesta di servizio ha un tag allegato con una chiave di tag specificata nella politica.

    La seguente condizione di esempio verifica che la risorsa a cui si fa riferimento nella richiesta di servizio abbia un tag allegato con il nome chiave «Owner» e il valore «Dev Team».

    "Condition" : { 
    "StringEquals" : {
        "aws:ResourceTag/Owner" : "Dev Team" 
    } 
}

  • aws:TagKeys— Specifica le chiavi dei tag che devono essere utilizzate per creare o aggiungere dei tag a una condivisione di risorse.

  • ram:AllowsExternalPrincipals— Verifica se la condivisione delle risorse nella richiesta di servizio consente la condivisione con responsabili esterni. Un preside esterno è unaAccount AWS persona esterna all'organizzazione inAWS Organizations. In tal casoFalse, puoi condividere questa condivisione di risorse solo con gli account della stessa organizzazione.

  • ram:PermissionArn— Verifica se l'ARN di autorizzazione specificato nella richiesta di servizio corrisponde a una stringa ARN specificata nella politica.

  • ram:PermissionResourceType— Verifica se l'autorizzazione specificata nella richiesta di assistenza è valida per il tipo di risorsa specificato nella politica. Specifica i tipi di risorse utilizzando il formato mostrato nell'elenco dei tipi di risorse condivisibili.

  • ram:Principal— Verifica se l'ARN del committente specificato nella richiesta di servizio corrisponde a una stringa ARN specificata nella policy.

  • ram:RequestedAllowsExternalPrincipals— Verifica se la richiesta di assistenza include ilallowExternalPrincipals parametro e se il relativo argomento corrisponde al valore specificato nella politica.

  • ram:RequestedResourceType— Verifica se il tipo di risorsa su cui si agisce corrisponde a una stringa del tipo di risorsa specificata nella politica. Specifica i tipi di risorse utilizzando il formato mostrato nell'elenco dei tipi di risorse condivisibili.

  • ram:ResourceArn— Verifica se l'ARN della risorsa su cui interviene la richiesta di assistenza corrisponde a un ARN specificato nella politica.

  • ram:ResourceShareName— Verifica se il nome della condivisione di risorse su cui agisce la richiesta di servizio corrisponde a una stringa specificata nella politica.

  • ram:ShareOwnerAccountId— Verifica che il numero ID dell'account della condivisione di risorse su cui interviene la richiesta di servizio corrisponda a una stringa specificata nella politica.