Identity and Access Management per Service Quotas - Service Quotas

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Identity and Access Management per Service Quotas

AWS utilizza le credenziali di sicurezza per identificarti e per concederti l'accesso alle risorse AWS. È possibile utilizzare le funzionalità diAWS Identity and Access Management(IAM) per consentire ad altri utenti, servizi e applicazioni di utilizzare l'utenteAWSrisorse completamente o in modo limitato. Il tutto senza condividere le credenziali di sicurezza.

Per impostazione predefinita, gli utenti IAM non dispongono dell'autorizzazione per creare, visualizzare o modificare le risorse AWS. Per consentire a un utente IAM di accedere a risorse come un sistema di bilanciamento del carico ed eseguire le attività, procedere come mostrato di seguito:

  1. Creare una policy IAM che conceda all'utente IAM l'autorizzazione per utilizzare le risorse specifiche e le operazioni API richieste.

  2. Collegare la policy all'utente IAM o al gruppo a cui appartiene l'utente IAM.

Quando si collega una policy a un utente o a un gruppo di utenti, tramite essa viene concessa o rifiutata agli utenti l'autorizzazione per l'esecuzione delle attività specificate per le risorse specificate.

Ad esempio puoi utilizzare IAM per creare utenti e gruppi sotto il tuoAccount AWS. Un utente IAM può essere una persona, un sistema o un'applicazione. Quindi concedi le autorizzazioni a utenti e gruppi affinché eseguano operazioni specifiche sulle risorse specificate utilizzando una policy IAM.

Concessione delle autorizzazioni tramite policy IAM

Quando si collega una policy a un utente o a un gruppo di utenti, tramite essa viene concessa o rifiutata agli utenti l'autorizzazione per l'esecuzione delle attività specificate per le risorse specificate.

Una policy IAM è un documento JSON costituito da una o più dichiarazioni. Ogni istruzione è strutturata come mostrato nell'esempio seguente.

{ "Version": "2012-10-17", "Statement":[{ "Effect": "effect", "Action": "action", "Resource": "resource-arn", "Condition": { "condition": { "key":"value" } } }] }
  • Effect— Il valore pereffectpuò essereAllowoDeny. Per impostazione predefinita, gli utenti IAM non dispongono dell'autorizzazione per l'utilizzo di risorse e operazioni API, pertanto tutte le richieste vengono rifiutate. Un permesso esplicito sostituisce l'impostazione predefinita. Un rifiuto esplicito sovrascrive tutti i consensi.

  • Action— Il valore peractionè l'operazione API specifica per cui concedi o neghi l'autorizzazione. Per ulteriori informazioni su come specificareActionconsultaAzioni API per le Service Quotas.

  • Resource— La risorsa che viene modificata dall'operazione. Con alcune operazioni API Service Quotas, puoi limitare le autorizzazioni concesse o negate a una quota specifica. A tale scopo, in questa istruzione è necessario specificarne l'Amazon Resource Name (ARN). In caso contrario è possibile utilizzare il carattere jolly (*) per specificare tutte le risorse di Service Quotas. Per ulteriori informazioni, consulta la pagina Service Quotas .

  • Condition- È possibile utilizzare le condizioni per controllare quando è in vigore una policy. Per ulteriori informazioni, consulta la pagina Chiavi di condizione per Service Quotas .

Per ulteriori informazioni, consultare la Guida per l'utente di IAM.

Azioni API per le Service Quotas

NellaActionelemento della dichiarazione di policy IAM, puoi specificare qualsiasi operazione API offerta da Service Quotas. Occorre applicare un prefisso al nome dell'operazione con la stringa minuscola servicequotas:, come nell'esempio seguente.

"Action": "servicequotas:GetServiceQuota"

Per specificare più operazioni in una sola istruzione, racchiudile tra parentesi quadre e separa ciascuna di esse con una virgola, come illustrato nel seguente esempio.

"Action": [ "servicequotas:ListRequestedServiceQuotaChangeHistory", "servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota" ]

Puoi anche specificare più operazioni tramite il carattere jolly (*). L'esempio seguente specifica tutti i nomi delle operazioni API per Service Quotas che iniziano conGet.

"Action": "servicequotas:Get*"

Per specificare tutte le operazioni API per Service Quotas, utilizza il carattere jolly (*) come mostrato nell'esempio seguente.

"Action": "servicequotas:*"

Per l'elenco delle operazioni API per Service Quotas, consultaService Quotas.

Service Quotas

Il concetto di autorizzazioni a livello di risorsa indica la possibilità di specificare le risorse su cui gli utenti sono autorizzati a eseguire operazioni. Per le operazioni API che supportano le autorizzazioni a livello di risorsa, puoi controllare le risorse che gli utenti sono autorizzati a utilizzare con l'operazione. Per specificare una risorsa nell'istruzione di una policy, devi utilizzare il suo ARN (Amazon Resource Name).

L'ARN per una quota ha il formato mostrato nell'esempio seguente.

arn:aws:servicequotas:region-code:account-id:service-code/quota-code

Per le operazioni API che non supportano le autorizzazioni a livello di risorsa, devi specificare l'istruzione di risorsa mostrata nel seguente esempio.

"Resource": "*"

Autorizzazioni a livello di risorsa per Service Quotas

Le seguenti operazioni Service Quotas supportano le autorizzazioni a livello di risorsa:

Per ulteriori informazioni, consultaOperazioni definite da Service QuotasnellaService Authorization Reference.

Chiavi di condizione per Service Quotas

Quando si crea una policy, è possibile specificare le condizioni che controllano quando la policy è in vigore. Ogni condizione contiene una o più coppie chiave/valore. Sono disponibili chiavi di condizione globali e chiavi di condizione specifiche per il servizio.

Laservicequotas:servicekey è specifico per le Service Quotas. Le seguenti azioni API Service Quotas supportano questa chiave:

Per ulteriori informazioni sulle chiavi di condizione globali, consultaAWSChiavi di contesto delle condizioni globalinellaIAM User Guide.

PredefinitoAWSpolicy gestite per le Service Quotas

Le policy gestite create da AWS concedono le autorizzazioni necessarie per casi d'utilizzo comuni. Puoi collegare queste policy agli utenti IAM in base all'accesso alle Service Quotas richieste:

  • ServiceQuotasFullAccess— Consente l'accesso completo richiesto per utilizzare le funzioni di Service Quotas.

  • ServiceQuotasReadOnlyAccessConcede l'accesso in sola lettura alle funzionalità Service Quotas.