Panoramica della gestione delle autorizzazioni di accesso alle risorse dell'IAM Identity Center - AWS IAM Identity Center
Risorse e operazioni di IAM Identity CenterInformazioni sulla proprietà delle risorseGestione dell'accesso alle risorseSpecificazione degli elementi della policy: azioni, effetti, risorse e principiSpecifica delle condizioni in una policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Panoramica della gestione delle autorizzazioni di accesso alle risorse dell'IAM Identity Center

Ogni AWS risorsa è di proprietà di un Account AWS utente e le autorizzazioni per creare o accedere alle risorse sono regolate da politiche di autorizzazione. Per fornire l'accesso, un amministratore dell'account può aggiungere autorizzazioni alle identità IAM (ovvero utenti, gruppi e ruoli). Alcuni servizi (ad esempio AWS Lambda) supportano anche l'aggiunta di autorizzazioni alle risorse.

Nota

Un amministratore account (o un utente amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni, consultare la sezione best practice IAM nella Guida per l'utente IAM.

Risorse e operazioni di IAM Identity Center

In IAM Identity Center, le risorse principali sono le istanze delle applicazioni, i profili e i set di autorizzazioni.

Informazioni sulla proprietà delle risorse

Il proprietario della risorsa è colui Account AWS che ha creato una risorsa. Cioè, il proprietario Account AWS della risorsa è l'entità principale (l'account, un utente o un ruolo IAM) che autentica la richiesta che crea la risorsa. Negli esempi seguenti viene illustrato il funzionamento:

  • Se Utente root dell'account AWS crea una risorsa IAM Identity Center, ad esempio un'istanza dell'applicazione o un set di autorizzazioni, sei Account AWS il proprietario di quella risorsa.

  • Se crei un utente nel tuo AWS account e concedi a quell'utente le autorizzazioni per creare risorse IAM Identity Center, l'utente può quindi creare risorse IAM Identity Center. Tuttavia, il tuo AWS account, a cui appartiene l'utente, possiede le risorse.

  • Se crei un ruolo IAM nel tuo AWS account con le autorizzazioni per creare risorse IAM Identity Center, chiunque possa assumere il ruolo può creare risorse IAM Identity Center. Il tuo Account AWS, a cui appartiene il ruolo, possiede le risorse dell'IAM Identity Center.

Gestione dell'accesso alle risorse

La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

Nota

Questa sezione illustra l'utilizzo di IAM nel contesto di IAM Identity Center. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta la pagina Che cos'è IAM? nella Guida per l'utente di IAM. Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consultare Riferimento alle policy IAM di AWS nella Guida per l'utente di IAM.

Le policy collegate a un'identità IAM sono denominate policy basate su identità (policy IAM). Le policy collegate a una risorsa sono denominate policy basate sulle risorse. IAM Identity Center supporta solo politiche basate sull'identità (politiche IAM).

Policy basate su identità (policy IAM)

Puoi aggiungere autorizzazioni alle identità IAM. Ad esempio, puoi eseguire le operazioni seguenti:

  • Allega una politica di autorizzazioni a un utente o a un gruppo del tuo Account AWS: un amministratore dell'account può utilizzare una politica di autorizzazioni associata a un particolare utente per concedere a quell'utente le autorizzazioni per aggiungere una risorsa IAM Identity Center, come una nuova applicazione.

  • Collega una policy di autorizzazione a un ruolo (assegnazione di autorizzazioni tra account): per concedere autorizzazioni tra più account, è possibile collegare una policy di autorizzazione basata su identità a un ruolo IAM.

    Per ulteriori informazioni sull'uso di IAM per delegare le autorizzazioni, consultare Gestione degli accessi nella Guida per l'utente di IAM.

La seguente policy di autorizzazione concede a un utente le autorizzazioni per eseguire tutte le operazioni che iniziano con List. Queste azioni mostrano informazioni su una risorsa IAM Identity Center, come un'istanza dell'applicazione o un set di autorizzazioni. Nota che il carattere jolly (*) nell'Resourceelemento indica che le azioni sono consentite per tutte le risorse IAM Identity Center di proprietà dell'account. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"sso:List*",
         "Resource":"*"
      }
   ]
}

Per ulteriori informazioni sull'utilizzo di policy basate sull'identità con IAM Identity Center, consulta. Esempi di policy basate sull'identità per IAM Identity Center Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consultare Identità (utenti, gruppi e ruoli) nella Guida per l'utente di IAM.

Policy basate su risorse

Anche altri servizi, ad esempio Amazon S3, supportano policy di autorizzazioni basate su risorse. Ad esempio, è possibile associare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket. IAM Identity Center non supporta policy basate sulle risorse.

Specificazione degli elementi della policy: azioni, effetti, risorse e principi

Per ogni risorsa IAM Identity Center (vediRisorse e operazioni di IAM Identity Center), il servizio definisce un set di operazioni API. Per concedere le autorizzazioni per queste operazioni API, IAM Identity Center definisce una serie di azioni che è possibile specificare in una policy. Si noti che l'esecuzione di un'operazione API può richiedere le autorizzazioni per più di un'azione.

Di seguito sono elencati gli elementi di base di una policy:

  • Risorsa: in una policy si utilizza il nome della risorsa Amazon (ARN) per identificare la risorsa a cui si applica la policy stessa.

  • Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, l'sso:DescribePermissionsPoliciesautorizzazione consente all'utente di eseguire l'operazione IAM Identity CenterDescribePermissionsPolicies.

  • Effetto: l'effetto prodotto quando l'utente richiede l'operazione specifica, ovvero un'autorizzazione o un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.

  • Principale - Nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse). IAM Identity Center non supporta policy basate sulle risorse.

Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consultare AWS Riferimento alle policy IAM nella Guida per l'utente di IAM.

Specifica delle condizioni in una policy

Quando concedi le autorizzazioni, puoi utilizzare la sintassi della/e policy di accesso per specificare le condizioni necessarie per l'applicazione di una policy. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy, consulta la sezione Condizione nella Guida per l'utente di IAM.

Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Non esistono chiavi di condizione specifiche per IAM Identity Center. Tuttavia, esistono chiavi di AWS condizione che è possibile utilizzare in modo appropriato. Per un elenco completo delle AWS chiavi, consulta Available global condition keys nella IAM User Guide.