Fase 5: concessione delle autorizzazioni di pubblicazione nell'argomento agli utenti (opzionale) - Amazon Simple Notification Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 5: concessione delle autorizzazioni di pubblicazione nell'argomento agli utenti (opzionale)

Per default il proprietario dell'argomento dispone delle autorizzazioni per pubblicare nell'argomento. Per consentire ad altri utenti o applicazioni di pubblicare nell'argomento, ti consigliamo di utilizzare AWS Identity and Access Management (IAM) per concedere l'autorizzazione di pubblicazione nell'argomento. Per informazioni sull'assegnazione di autorizzazioni per le operazioni Amazon SNS agli utenti IAM, consulta Utilizzo di policy basate su identità con Amazon SNS.

Vi sono due modi di controllare l'accesso a un argomento:

  • Aggiungere una policy a un utente o gruppo IAM. Il modo più semplice di concedere agli utenti le autorizzazioni per gli argomenti è creare un gruppo e aggiungere la policy appropriata al gruppo e quindi aggiungere gli utenti a quel gruppo. È molto più semplice aggiungere e rimuovere utenti da un gruppo anziché tenere traccia delle policy impostate su singoli utenti.

  • Aggiungere una policy all'argomento. Se desideri concedere le autorizzazioni per un argomento a un altro account AWS, l'unico modo consiste nell'aggiungere una policy che abbia come principale il Account AWS a cui concedere le autorizzazioni.

Il primo metodo deve essere utilizzato nella maggior parte dei casi (applicare policy a gruppi e gestire le autorizzazioni per gli utenti aggiungendo o rimuovendo gli utenti appropriati ai gruppi). Se hai la necessità di concedere autorizzazioni a un utente in un altro account, utilizza il secondo metodo.

Se aggiungessi la policy seguente a un utente o gruppo IAM autorizzeresti quell'utente o i membri di quel gruppo a eseguire l'operazione sns:Publish sull'argomento MyTopic.

{
  "Statement":[{
    "Sid":"AllowPublishToMyTopic",
    "Effect":"Allow",
    "Action":"sns:Publish",
    "Resource":"arn:aws:sns:us-east-2:123456789012:MyTopic"
  }]
}

La policy di esempio seguente mostra come concedere a un altro account le autorizzazioni per un argomento.

Nota

Quando concedi a un altro Account AWS l'accesso a una risorsa nel tuo account, lo concedi anche agli utenti IAM che dispongono di autorizzazioni di accesso di livello amministratore (accesso generico). L'accesso alla risorsa viene automaticamente negato a tutti gli altri utenti IAM nell'altro account. Se intendi concedere l'accesso alla risorsa a specifici utenti IAM in quel Account AWS, l'account o un utente IAM con accesso di livello amministratore deve delegare le autorizzazioni per la risorsa a quegli utenti IAM. Per ulteriori informazioni sulla delega multiaccount, consulta la sezione relativa all'abilitazione dell'accesso multiaccount nella Guida all'uso di IAM.

Se aggiungi la policy seguente a un argomento MioArgomento nell'account 123456789012, autorizzi l'account 111122223333 a eseguire l'operazione sns:Publish su quell'argomento.

{
  "Statement":[{
    "Sid":"Allow-publish-to-topic",
    "Effect":"Allow",
      "Principal":{
        "AWS":"111122223333"
      },
    "Action":"sns:Publish",
    "Resource":"arn:aws:sns:us-east-2:123456789012:MyTopic"
  }]
}