AWS X-Ray esempi di politiche basate sull'identità - AWS X-Ray
Best practice delle policyUtilizzo della consoleConsentire agli utenti di visualizzare le loro autorizzazioniGestione dell'accesso ai gruppi X-Ray e alle regole di campionamento basate sui tagPolicy gestite da IAM per X-RayAggiornamenti X-Ray alle AWS policy gestiteSpecificare una risorsa all'interno di una policy IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS X-Ray esempi di politiche basate sull'identità

Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse X-Ray. Inoltre, non possono eseguire attività utilizzando l' AWS API AWS Management Console AWS CLI, o. Un amministratore deve creare le policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore devi quindi collegare queste policy a utenti o gruppi che richiedono tali autorizzazioni.

Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta Creazione di policy nella scheda JSON nella Guida per l'utente IAM.

Best practice delle policy

Le policy basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse X-Ray nel tuo account. Queste azioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:

  • Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta Policy gestite da AWS o Policy gestite da AWS per le funzioni dei processi nella Guida per l'utente IAM.

  • Applica le autorizzazioni con privilegi minimi: quando imposti le autorizzazioni con le policy IAM, concedi solo le autorizzazioni richieste per eseguire un'attività. Puoi farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo di IAM per applicare le autorizzazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM.

  • Condizioni d'uso nelle policy IAM per limitare ulteriormente l'accesso: per limitare l'accesso ad azioni e risorse puoi aggiungere una condizione alle tue policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l'utente di IAM.

  • Utilizzo di IAM Access Analyzer per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano alla sintassi della policy IAM (JSON) e alle best practice di IAM. IAM Access Analyzer offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per ulteriori informazioni, consulta Convalida delle policy per IAM Access Analyzer nella Guida per l'utente di IAM.

  • Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungi le condizioni MFA alle policy. Per ulteriori informazioni, consulta Configurazione dell'accesso alle API protetto con MFA nella Guida per l'utente di IAM.

Per maggiori informazioni sulle best practice in IAM, consulta Best practice di sicurezza in IAM nella Guida per l'utente di IAM.

Uso della console X-Ray

Per accedere alla AWS X-Ray console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentire di elencare e visualizzare i dettagli sulle risorse X-Ray presenti nel tuo. Account AWS Se crei una policy basata sull'identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.

Per garantire che tali entità possano ancora utilizzare la console X-Ray, allega la policy AWSXRayReadOnlyAccess AWS gestita alle entità. Questa policy è descritta più dettagliatamente nelle policy gestite da IAM per X-Ray. Per ulteriori informazioni, consulta Aggiunta di autorizzazioni a un utente nella Guida per l'utente IAM.

Non è necessario consentire le autorizzazioni minime della console per gli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, puoi accedere solo alle operazioni che soddisfano l'operazione API che stai cercando di eseguire.

Consentire agli utenti di visualizzare le loro autorizzazioni

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono cpllegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Gestione dell'accesso ai gruppi X-Ray e alle regole di campionamento basate sui tag

È possibile utilizzare le condizioni della policy basata sull'identità per controllare l'accesso ai gruppi X-Ray e le regole di campionamento basate sui tag. La seguente politica di esempio potrebbe essere utilizzata per negare a un ruolo utente le autorizzazioni per creare, eliminare o aggiornare gruppi con i tag o. stage:prod stage:preprod Per ulteriori informazioni sull'etichettatura delle regole e dei gruppi di campionamento a raggi X, vedere. Etichettatura delle regole e dei gruppi di campionamento a raggi X

Per negare a un utente l'accesso per creare, aggiornare o eliminare un gruppo con un tag stage:prod oppure stage:preprod assegnare all'utente un ruolo con una politica simile alla seguente.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllXRay",
            "Effect": "Allow",
            "Action": "xray:*",
            "Resource": "*"
        },
        {
            "Sid": "DenyCreateGroupWithStage",
            "Effect": "Deny",
            "Action": [
                "xray:CreateGroup"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/stage": [
                        "preprod",
                        "prod"
                    ]
                }
            }
        },
        {
            "Sid": "DenyUpdateGroupWithStage",
            "Effect": "Deny",
            "Action": [
                "xray:UpdateGroup",
                "xray:DeleteGroup"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": [
                        "preprod",
                        "prod"
                    ]
                }
            }
        }
    ]
}

Per negare la creazione di una regola di campionamento, usa aws:RequestTag per indicare i tag che non possono essere passati come parte di una richiesta di creazione. Per negare l'aggiornamento o l'eliminazione di una regola di campionamento, usa aws:ResourceTag per negare le azioni basate sui tag presenti su tali risorse.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllXRay",
            "Effect": "Allow",
            "Action": "xray:*",
            "Resource": "*"
        },
        {
            "Sid": "DenyCreateSamplingRuleWithStage",
            "Effect": "Deny",
            "Action": "xray:CreateSamplingRule",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/stage": [
                        "preprod",
                        "prod"
                    ]
                }
            }
        },
        {
            "Sid": "DenyUpdateSamplingRuleWithStage",
            "Effect": "Deny",
            "Action": [
                "xray:UpdateSamplingRule",
                "xray:DeleteSamplingRule"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": [
                        "preprod",
                        "prod"
                    ]
                }
            }
        }
    ]
}

Puoi allegare queste politiche (o combinarle in un'unica politica, quindi allegare la politica) agli utenti del tuo account. Affinché l'utente possa apportare modifiche a un gruppo o a una regola di campionamento, il gruppo o la regola di campionamento non devono essere etichettati stage=prepod o. stage=prod La chiave di tag di condizione Stage corrisponde a Stage e stage perché i nomi delle chiavi di condizione non effettuano la distinzione tra maiuscole e minuscole. Per ulteriori informazioni sul blocco condition, consulta IAM JSON Policy Elements: Condition nella IAM User Guide.

Un utente con un ruolo a cui è associata la seguente policy non può aggiungere il tag role:admin alle risorse e non può rimuovere i tag da una risorsa a cui è role:admin associato.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllXRay",
            "Effect": "Allow",
            "Action": "xray:*",
            "Resource": "*"
        },
        {
            "Sid": "DenyRequestTagAdmin",
            "Effect": "Deny",
            "Action": "xray:TagResource",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/role": "admin"
                }
            }
        },
        {
            "Sid": "DenyResourceTagAdmin",
            "Effect": "Deny",
            "Action": "xray:UntagResource",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/role": "admin"
                }
            }
        }
    ]
}

Policy gestite da IAM per X-Ray

Per semplificare la concessione delle autorizzazioni, IAM supporta le policy gestite per ogni servizio. Un servizio può aggiornare queste politiche gestite con nuove autorizzazioni quando rilascia nuove API. AWS X-Ray fornisce policy gestite per casi d'uso di sola lettura, sola scrittura e amministratore.

  • AWSXrayReadOnlyAccess— Autorizzazioni di lettura per l'utilizzo della console X-Ray AWS o dell'SDK per ottenere dati di traccia AWS CLI, mappe di traccia, approfondimenti e configurazione X-Ray dall'API X-Ray. Include Observability Access Manager (OAM) oam:ListSinks e oam:ListAttachedSinks autorizzazioni per consentire alla console di visualizzare le tracce condivise dagli account di origine come parte dell'osservabilità tra account. CloudWatch Le azioni BatchGetTraceSummaryById e GetDistinctTraceGraphs API non sono pensate per essere richiamate dal codice e non sono incluse negli SDK e. AWS CLI AWS 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:GetSamplingRules",
                "xray:GetSamplingTargets",
                "xray:GetSamplingStatisticSummaries",
                "xray:BatchGetTraces",
                "xray:BatchGetTraceSummaryById",
                "xray:GetDistinctTraceGraphs",
                "xray:GetServiceGraph",
                "xray:GetTraceGraph",
                "xray:GetTraceSummaries",
                "xray:GetGroups",
                "xray:GetGroup",
                "xray:ListTagsForResource",
                "xray:ListResourcePolicies",
                "xray:GetTimeSeriesServiceStatistics",
                "xray:GetInsightSummaries",
                "xray:GetInsight",
                "xray:GetInsightEvents",
                "xray:GetInsightImpactGraph",
                "oam:ListSinks"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:ListAttachedLinks"
            ],
            "Resource": "arn:aws:oam:*:*:sink/*"
        }

}

  • AWSXRayDaemonWriteAccess— Autorizzazioni di scrittura per l'utilizzo del demone X-Ray AWS o SDK per caricare AWS CLI documenti di segmento e telemetria nell'API X-Ray. Include le autorizzazioni di lettura per accedere alle regole di campionamento e i report sui risultati del campionamento. Per ulteriori informazioni, consulta Configura le regole di campionamento.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:PutTraceSegments",
                "xray:PutTelemetryRecords",
                "xray:GetSamplingRules",
                "xray:GetSamplingTargets",
                "xray:GetSamplingStatisticSummaries"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  • AWSXrayCrossAccountSharingConfiguration— Concede le autorizzazioni per creare, gestire e visualizzare i collegamenti di Observability Access Manager per la condivisione di risorse X-Ray tra account. Utilizzato per consentire l'osservabilità CloudWatch tra account di origine e account di monitoraggio.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:Link",
                "oam:ListLinks"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Resource": "arn:aws:oam:*:*:link/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Resource": [
                "arn:aws:oam:*:*:link/*",
                "arn:aws:oam:*:*:sink/*"
            ]
        }
    ]

}

  • AWSXrayFullAccess— Autorizzazione a utilizzare tutte le API X-Ray, incluse le autorizzazioni di lettura, le autorizzazioni di scrittura e l'autorizzazione a configurare le impostazioni delle chiavi di crittografia e le regole di campionamento. Include Observability Access Manager (OAM) oam:ListSinks e oam:ListAttachedSinks autorizzazioni per consentire alla console di visualizzare le tracce condivise dagli account di origine come parte dell'osservabilità tra account. CloudWatch

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:*",
                "oam:ListSinks"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:ListAttachedLinks"
            ],
            "Resource": "arn:aws:oam:*:*:sink/*"
        }
    ]
}
Per aggiungere una policy gestita a un utente, gruppo o ruolo IAM

  1. Apri la console IAM.

  2. Aprire il ruolo associato al profilo dell'istanza, a un utente IAM o a un gruppo IAM.

  3. In Permissions (Autorizzazioni), collegare la policy gestita.

Aggiornamenti X-Ray alle AWS policy gestite

Visualizza i dettagli sugli aggiornamenti delle policy AWS gestite per X-Ray da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche apportate a questa pagina, abbonatevi al feed RSS nella pagina della cronologia dei documenti X-Ray.

Modifica Descrizione Data

Policy gestite da IAM per X-Ray: sono state aggiunte policy nuove AWSXrayCrossAccountSharingConfiguration AWSXrayReadOnlyAccess e AWSXrayFullAccess aggiornate.

X-Ray ha aggiunto le autorizzazioni di Observability Access Manager (OAM) oam:ListSinks e oam:ListAttachedSinks a queste policy per consentire alla console di visualizzare le tracce condivise dagli account di origine come parte dell'osservabilità tra account. CloudWatch

27 novembre 2022

Policy gestite da IAM per X-Ray: aggiornamento della policy. AWSXrayReadOnlyAccess

X-Ray ha aggiunto un'azione API,. ListResourcePolicies

15 novembre 2022

Utilizzo della console X-Ray: aggiornamento della policy AWSXrayReadOnlyAccess

X-Ray ha aggiunto due nuove azioni API e. BatchGetTraceSummaryById GetDistinctTraceGraphs

Queste azioni non sono destinate a essere richiamate dal codice. Pertanto, queste azioni API non sono incluse negli AWS SDK AWS CLI and.

 11 novembre 2022

Specificare una risorsa all'interno di una policy IAM

Puoi controllare l'accesso alle risorse utilizzando una policy IAM. Per le operazioni che supportano le autorizzazioni a livello di risorsa, si utilizza un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy.

Tutte le azioni X-Ray possono essere utilizzate in una policy IAM per concedere o negare agli utenti il permesso di utilizzare quell'azione. Tuttavia, non tutte le azioni X-Ray supportano le autorizzazioni a livello di risorsa, che consentono di specificare le risorse su cui è possibile eseguire un'azione.

Per le operazioni che non supportano le autorizzazioni a livello di risorsa, è necessario utilizzare "*" come risorsa.

Le seguenti azioni X-Ray supportano le autorizzazioni a livello di risorsa:

  • CreateGroup

  • GetGroup

  • UpdateGroup

  • DeleteGroup

  • CreateSamplingRule

  • UpdateSamplingRule

  • DeleteSamplingRule

Di seguito è riportato un esempio di policy di autorizzazione basata su identità per un’operazione CreateGroup. L'esempio mostra l'uso di un ARN relativo al nome di gruppo local-users con l'ID univoco come carattere jolly. L’ID univoco viene generato quando il gruppo viene creato, quindi non può essere previsto nella policy in anticipo. Quando utilizzi GetGroup, UpdateGroup oppure DeleteGroup, è possibile definirlo come un carattere jolly o l’ARN esatto, incluso l’ID.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:CreateGroup"
            ],
            "Resource": [
                "arn:aws:xray:eu-west-1:123456789012:group/local-users/*"
            ]
        }
    ]
}

Di seguito è riportato un esempio di policy di autorizzazione basata su identità per un’operazione CreateSamplingRule. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:CreateSamplingRule"
            ],
            "Resource": [
                "arn:aws:xray:eu-west-1:123456789012:sampling-rule/base-scorekeep"
            ]
        }
    ]
}
Nota

L’ARN di una regola di campionamento è definito in base al nome. A differenza degli ARN dei gruppi, le regole di campionamento non hanno un ID generato in modo univoco.