Esempi di policy basate sull'identità per AWS Service Catalog - AWS Service Catalog
Accesso alla console per gli utenti finaliAccesso al prodotto per gli utenti finaliPolicy di esempio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy basate sull'identità per AWS Service Catalog

Accesso alla console per gli utenti finali

Le policy AWSServiceCatalogEndUserFullAccess e AWSServiceCatalogEndUserReadOnlyAccess autorizzano l'accesso alla visualizzazione della console dell'utente finale di AWS Service Catalog . Quando un utente che dispone di una di queste politiche sceglie AWS Service Catalog in AWS Management Console, la visualizzazione della console dell'utente finale mostra i prodotti che ha l'autorizzazione a lanciare.

Prima che gli utenti finali possano lanciare con successo un prodotto AWS Service Catalog a cui concedi l'accesso, devi fornire loro autorizzazioni IAM aggiuntive per consentire loro di utilizzare ciascuna delle AWS risorse sottostanti nel modello di AWS CloudFormation un prodotto. Ad esempio, se un modello di prodotto include Amazon Relational Database Service (Amazon RDS), devi concedere agli utenti le autorizzazioni Amazon RDS per lanciare il prodotto.

Per ulteriori informazioni su come consentire agli utenti finali di lanciare prodotti applicando al contempo le autorizzazioni di accesso minimo alle risorse, consulta. AWS Utilizzo dei AWS Service Catalog vincoli

Se applichi la policy AWSServiceCatalogEndUserReadOnlyAccess, gli utenti hanno accesso alla console utente finale, ma non disporranno delle autorizzazioni necessarie per avviare prodotti e gestire prodotti con provisioning. Puoi concedere queste autorizzazioni direttamente a un utente finale utilizzando IAM, ma se desideri limitare l'accesso degli utenti finali alle AWS risorse, devi associare la policy a un ruolo di lancio. Si utilizza quindi AWS Service Catalog per applicare il ruolo di lancio a un vincolo di lancio per il prodotto. Per ulteriori informazioni sull'applicazione di un ruolo di avvio, sui limiti dei ruoli di avvio e su un ruolo di avvio di esempio, consulta AWS Service Catalog Vincoli di avvio.

Nota

Se concedi agli utenti le autorizzazioni IAM per gli AWS Service Catalog amministratori, viene invece visualizzata la vista della console dell'amministratore. Non concedere agli utenti finali queste autorizzazioni se non vuoi che accedano alla vista della console di amministrazione.

Accesso al prodotto per gli utenti finali

Prima che gli utenti finali possano utilizzare un prodotto a cui concedi l'accesso, devi fornire loro autorizzazioni IAM aggiuntive per consentire loro di utilizzare ciascuna delle AWS risorse sottostanti nel AWS CloudFormation modello di un prodotto. Ad esempio, se un modello di prodotto include Amazon Relational Database Service (Amazon RDS), devi concedere agli utenti le autorizzazioni Amazon RDS per lanciare il prodotto.

Se applichi la policy AWSServiceCatalogEndUserReadOnlyAccess, gli utenti hanno accesso alla vista della console utente finale, ma non disporranno delle autorizzazioni necessarie per avviare prodotti e gestire prodotti con provisioning. Puoi concedere queste autorizzazioni direttamente a un utente finale in IAM, ma se desideri limitare l'accesso degli utenti finali alle AWS risorse, devi associare la policy a un ruolo di lancio. Si utilizza quindi AWS Service Catalog per applicare il ruolo di lancio a un vincolo di lancio per il prodotto. Per ulteriori informazioni sull'applicazione di un ruolo di avvio, sui limiti dei ruoli di avvio e su un ruolo di avvio di esempio, consulta AWS Service Catalog Vincoli di avvio.

Esempi di politiche per la gestione dei prodotti forniti

Puoi creare policy personalizzate per soddisfare i requisiti di sicurezza della tua organizzazione. Gli esempi seguenti descrivono come personalizzare il livello di accesso per ogni azione con supporto a livello di utente, ruolo e account. Puoi concedere agli utenti l'accesso per visualizzare, aggiornare, terminare e gestire prodotti con provisioning creati esclusivamente da tali utenti oppure creati da altri utenti mediante il relativo ruolo o l'account a cui sono connessi. Questo accesso è gerarchico: la concessione dell'accesso a livello di account garantisce anche l'accesso a livello di ruolo e l'accesso a livello utente, mentre l'aggiunta dell'accesso a livello di ruolo garantisce anche l'accesso a livello utente ma non l'accesso a livello di account. Puoi specificare questi accessi nel codice JSON della policy utilizzando un blocco Condition come accountLevel, roleLevel o userLevel.

Questi esempi si applicano anche ai livelli di accesso per le operazioni di scrittura: UpdateProvisionedProduct and e lettura delle AWS Service Catalog API:TerminateProvisionedProduct, e. DescribeRecord ScanProvisionedProducts ListRecordHistory Le operazioni API ScanProvisionedProducts e ListRecordHistory utilizzano AccessLevelFilterKey come input e i valori di tale chiave corrispondono ai livelli del blocco Condition presentati in questo argomento (accountLevel equivale a un valore AccessLevelFilterKey di "Account", roleLevel a un valore "Role" e userLevel a un valore "User"). Per ulteriori informazioni, consulta la Service Catalog Developer Guide.

Accesso amministrativo completo ai prodotti forniti

La policy seguente consente l'accesso completo in lettura e scrittura a prodotti con provisioning e record nel catalogo a livello di account. 

{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "servicecatalog:*"
         ],
         "Resource":"*",
         "Condition": {
            "StringEquals": {
               "servicecatalog:accountLevel": "self"
            }
         }
      }
   ]
}

Da un punto di vista funzionale, questa policy è equivalente alla seguente policy:

{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "servicecatalog:*"
         ],
         "Resource":"*"
      }
   ]
}

La mancata indicazione di un Condition blocco in nessuna policy di AWS Service Catalog viene considerata come specificare "servicecatalog:accountLevel" l'accesso. Nota che l'accesso accountLevel include l'accesso roleLevel e userLevel.

Accesso dell'utente finale ai prodotti forniti

La policy seguente limita l'accesso alle operazioni di lettura e scrittura esclusivamente ai prodotti con provisioning o ai record associati che l'utente corrente ha creato.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicecatalog:DescribeProduct",
                "servicecatalog:DescribeProductView",
                "servicecatalog:DescribeProvisioningParameters",
                "servicecatalog:DescribeRecord",
                "servicecatalog:ListLaunchPaths",
                "servicecatalog:ListRecordHistory",
                "servicecatalog:ProvisionProduct",
                "servicecatalog:ScanProvisionedProducts",
                "servicecatalog:SearchProducts",
                "servicecatalog:TerminateProvisionedProduct",
                "servicecatalog:UpdateProvisionedProduct"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "servicecatalog:userLevel": "self"
                }
            }
        }
    ]
 }

Accesso amministrativo parziale ai prodotti forniti

Le due policy esposte di seguito, se applicate entrambe allo stesso utente, consentono quello che potrebbe essere definito un tipo di "accesso amministratore parziale", fornendo accesso di sola lettura completo e accesso in scrittura limitato. Ciò significa che l'utente può visualizzare qualsiasi prodotto con provisioning o record associato nell'account del catalogo, ma non è in grado di eseguire azioni su qualsiasi prodotto con provisioning o record non di proprietà di quell'utente.

La prima policy concede all'utente l'accesso a operazioni di scrittura su prodotti con provisioning che l'utente corrente ha creato, ma non su prodotti con provisioning creati da altri utenti. La seconda policy aggiunge accesso completo alle operazioni in lettura su prodotti con provisioning creati da tutti (utente, ruolo o account). 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicecatalog:DescribeProduct",
                "servicecatalog:DescribeProductView",
                "servicecatalog:DescribeProvisioningParameters",
                "servicecatalog:ListLaunchPaths",
                "servicecatalog:ProvisionProduct",
                "servicecatalog:SearchProducts",
                "servicecatalog:TerminateProvisionedProduct",
                "servicecatalog:UpdateProvisionedProduct"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "servicecatalog:userLevel": "self"
                }
            }
        }
    ]
 }
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicecatalog:DescribeRecord",
                "servicecatalog:ListRecordHistory",
                "servicecatalog:ScanProvisionedProducts"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "servicecatalog:accountLevel": "self"
                }
            }
        }
    ]
 }