ComeAWS Serverless Application Repository - AWS Serverless Application Repository
Policy basate su identità AWS Serverless Application RepositoryAWS Serverless Application RepositoryPolitiche delle applicazioniAutorizzazione basata su tag AWS Serverless Application RepositoryAWS Serverless Application RepositoryRuoli IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

ComeAWS Serverless Application Repository

Prima di utilizzare IAM per gestire l'accesso aAWS Serverless Application Repository, è necessario comprendere quali funzionalità IAM sono disponibili per l'uso conAWS Serverless Application Repository.

Per una panoramica del funzionamento di IAM, consulta Understanding How IAM Works nella IAM User Guide. Per ottenere un quadro generale del funzionamento diAWS Serverless Application Repository e altriAWS servizi con IAM, consulta AWSServizi supportati da IAM

Policy basate su identità AWS Serverless Application Repository

Con le policy basate su identità, puoi specificare operazioni e risorse consentite o rifiutate, nonché le condizioni in base alle quali le operazioni sono consentite o rifiutate. AWS Serverless Application Repository supporta specifiche operazioni, risorse e chiavi di condizione. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta Documentazione di riferimento degli elementi delle policy JSON IAM nella Guida per l'utente IAM.

Di seguito viene illustrato un esempio di policy di autorizzazione.

{

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateApplication",
            "Effect": "Allow",
            "Action": [
                "serverlessrepo:CreateApplication"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateApplicationVersion",
            "Effect": "Allow",
            "Action": [
                "serverlessrepo:CreateApplicationVersion"
            ],
            "Resource": "arn:partition:serverlessrepo:region:account-id:applications/application-name"
        }
    ]
}

La policy include due dichiarazioni:

  • La prima dichiarazione concede le autorizzazioni per l'operazione AWS Serverless Application Repositoryserverlessrepo:CreateApplication su tutte le risorse AWS Serverless Application Repository, come specificato dal carattere jolly (*) come valore Resource.

  • La seconda dichiarazione concede l'autorizzazione per l'AWS Serverless Application Repositoryazioneserverlessrepo:CreateApplicationVersion su unaAWS risorsa utilizzando Amazon Resource Name (ARN) per un'AWS Serverless Application Repositoryapplicazione. L'applicazione è specificata dal valore Resource.

La policy non specifica l'elemento Principal poiché in una policy basata su identità l'entità principal che ottiene l'autorizzazione non viene specificata. Quando si collega una policy a un utente, quest'ultimo è l'entità implicita. Quando si collega una policy di autorizzazione a un ruolo IAM;, l'entità identificata nella policy di attendibilità del ruolo ottiene le autorizzazioni.

Per una tabella che mostra tutte le operazioniAWS Serverless Application Repository API e leAWS risorse a cui si applicano, consultaAWS Serverless Application RepositoryAutorizzazioni API: Riferimento a operazioni e risorse.

Operazioni

Gli amministratori possono utilizzare le policy AWS JSON per specificare gli accessi ai diversi elementi. Cioè, quale principale può eseguire azioni su quali risorse, e in quali condizioni.

L'elemento Action di una policy JSON descrive le azioni che è possibile utilizzare per consentire o negare l'accesso a un criterio. Le operazioni della policy hanno spesso lo stesso nome dell'operazione API AWS. Ci sono alcune eccezioni, ad esempio le operazioni di sola autorizzazione che non hanno un'operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono chiamate operazioni dipendenti.

Includere le operazioni in una policy per concedere le autorizzazioni per eseguire l'operazione associata.

Le operazioni delle policy in AWS Serverless Application Repository utilizzano il seguente prefisso prima dell'operazione: serverlessrepo:. Ad esempio, per concedere a qualcuno l'autorizzazione per eseguire un'istanza AWS Serverless Application Repository con l'operazione API AWS Serverless Application Repository SearchApplications, è necessario includere l'operazione serverlessrepo:SearchApplications nella policy. Le istruzioni della policy devono includere un elemento Action o NotAction. AWS Serverless Application Repository definisce un proprio set di operazioni che descrivono le attività che puoi eseguire con quel servizio.

Per specificare più operazioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:

"Action": [
      "serverlessrepo:action1",
      "serverlessrepo:action2"
]

È possibile specificare più operazioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le operazioni che iniziano con la parola List, includi la seguente operazione:

"Action": "serverlessrepo:List*"

Per un elenco di operazioni di AWS Serverless Application Repository, consulta Operazioni definite da AWS Serverless Application Repository nella Guida per l'utente IAM.

Risorse

Gli amministratori possono utilizzare le policy AWS JSON per specificare gli accessi ai diversi elementi. Cioè, quale principale può eseguire azioni su quali risorse, e in quali condizioni.

L'elemento JSON Resource della policy specifica l'oggetto o gli oggetti ai quali si applica l'operazione. Le istruzioni devono includere un elemento Resource o un elemento NotResource. Come best practice, specifica una risorsa utilizzando il suo Amazon Resource Name (ARN). È possibile eseguire questa operazione per azioni che supportano un tipo di risorsa specifico, noto come autorizzazioni a livello di risorsa.

Per le operazioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.

"Resource": "*"

InAWS Serverless Application Repository, laAWS risorsa principale è un'AWS Serverless Application Repositoryapplicazione. AWS Serverless Application Repositoryalle applicazioni sono associati Amazon Resource Name (ARARN) univoci, come illustrato nella tabella seguente.

Tipo di risorsa AWS Formato Amazon Resource Name (ARN)
Applicazione

arn:partition:serverlessrepo:region:account-id:applications/application-name

Per ulteriori informazioni sul formato degli ARN, consulta Amazon Resource Name (ARN) e spazi dei nomi del servizio AWS.

Di seguito è riportato un esempio di politica che concede le autorizzazioni per l'serverlessrepo:ListApplicationsazione su tutte leAWS risorse. Nell'implementazione corrente,AWS Serverless Application Repository non supporta l'identificazione diAWS risorse specifiche utilizzando gli ARN diAWS risorsa (definite anche autorizzazioni a livello di risorsa) per alcune delle operazioni API. In questi casi, è necessario specificare un carattere jolly (*).

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListExistingApplications",
            "Effect": "Allow",
            "Action": [
                "serverlessrepo:ListApplications"
            ],
            "Resource": "*"
        }
    ]
}

Per una tabella che mostra tutte le operazioniAWS Serverless Application Repository API e leAWS risorse a cui si applicano, consultaAWS Serverless Application RepositoryAutorizzazioni API: Riferimento a operazioni e risorse.

Chiavi di condizione

AWS Serverless Application Repository non fornisce chiavi di condizione specifiche del servizio, ma supporta l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione globali di AWS, consulta Chiavi di contesto delle condizioni globali di AWS nella Guida per l'utente IAM.

Esempi

Per visualizzare esempi di policy basate su identità AWS Serverless Application Repository, consulta Esempi di policy basate su identità AWS Serverless Application Repository.

AWS Serverless Application RepositoryPolitiche delle applicazioni

Le politiche dell'applicazione determinano le azioni che un committente o PrincipalOrg specificato può eseguire su un'AWS Serverless Application Repositoryapplicazione.

È possibile aggiungere autorizzazioni alla policy associata a un'applicazione AWS Serverless Application Repository. Le politiche di autorizzazione allegate alleAWS Serverless Application Repository applicazioni sono denominate politiche delle applicazioni. Le policy applicative sono estensioni delle policy basate sulle risorse IAM. La risorsa principale è l'AWS Serverless Application Repositoryapplicazione. È possibile utilizzare le policy delle applicazioni AWS Serverless Application Repository per gestire le autorizzazioni per la distribuzione dell'applicazione.

Le policy delle applicazioni AWS Serverless Application Repository vengono utilizzate principalmente dai publisher per concedere ai consumatori l'autorizzazione per distribuire le applicazioni e le operazioni correlate, ad esempio per cercare e visualizzare i dettagli delle applicazioni. I publisher possono impostare le autorizzazioni dell'applicazione per le tre categorie seguenti:

  • Private: applicazioni create con lo stesso account e che non sono state condivise con nessun altro account. Hai il permesso di distribuire le applicazioni create utilizzando il tuoAWS account.

  • Condivise privatamente: applicazioni che l'editore ha condiviso esplicitamente con un set specifico diAWS account oAWS Organizations. Hai il permesso di distribuire applicazioni che sono state condivise con il tuoAWS account o la tuaAWS organizzazione.

  • Condivise pubblicamente: applicazioni che l'editore ha condiviso con tutti. Hai l'autorizzazione per distribuire qualsiasi applicazione condivisa pubblicamente.

Puoi concedere le autorizzazioni utilizzandoAWS CLI, gliAWS SDK o ilAWS Management Console.

Esempi

Per visualizzare esempi di gestione delle politicheAWS Serverless Application Repository applicative, vedereAWS Serverless Application RepositoryEsempi di politiche applicative.

Autorizzazione basata su tag AWS Serverless Application Repository

AWS Serverless Application Repository non supporta il controllo dell'accesso alle risorse o alle operazioni basato sui tag.

AWS Serverless Application RepositoryRuoli IAM

Un ruolo IAM è un'entità all'interno dell'account AWS che dispone di autorizzazioni specifiche.

Utilizzo di credenziali temporanee con AWS Serverless Application Repository

Puoi utilizzare credenziali temporanee per effettuare l'accesso utilizzando la federazione, per assumere un ruolo IAM o per assumere un ruolo multi-account. Per ottenere le credenziali di sicurezza temporanee, eseguire una chiamata a operazioniAWS STS API quali AssumeRoleo GetFederationToken.

AWS Serverless Application Repository supporta l'uso di credenziali temporanee.

Ruoli collegati ai servizi

AWS Serverless Application Repository non supporta i ruoli collegati al servizio.

Ruoli dei servizi

AWS Serverless Application Repository non supporta i ruoli dei servizi.