Scegliere tra policy gestite e policy in linea - AWS Identity and Access Management
Nozioni di base sulle policy gestiteUtilizzo delle policy inline

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scegliere tra policy gestite e policy in linea

Al momento di scegliere tra policy gestite e policy inline, prendi in considerazione i casi d'uso. Nella maggior parte dei casi, si consiglia di usare le policy gestite anziché le policy inline.

Nota

È possibile utilizzare insieme le policy gestite e policy inline per definire autorizzazioni comuni e univoche per un'entità principale.

Le policy gestite offrono le seguenti caratteristiche:

Riutilizzo

Una singola policy gestita può essere collegata a più entità principali (utenti, gruppi e ruoli). È possibile creare una libreria di politiche che definiscono le autorizzazioni utili per l'utente Account AWS e quindi allegarle alle entità principali in base alle esigenze.

Gestione centralizzata delle modifiche

Quando si modifica una policy gestita, la modifica viene applicata a tutte le entità principali a cui la policy è collegata. Ad esempio, se desideri aggiungere l'autorizzazione per una nuova AWS API, puoi aggiornare una politica gestita dal cliente o associare una politica AWS gestita per aggiungere l'autorizzazione. Se utilizzi una policy AWS gestita, AWS aggiorna la policy. Quando una policy gestita viene aggiornata, le modifiche vengono applicate a tutte le entità principali a cui è collegata la policy gestita. Al contrario, per modificare una policy in linea, è necessario modificare singolarmente ciascuna identità che contiene la policy in linea. Ad esempio, se un gruppo e un ruolo contengono la stessa policy inline, è necessario modificare individualmente entrambe le entità principali per modificare tale policy.

Controllo delle versioni e rollback

Quando si modifica una policy gestita dal cliente, la policy modificata non sovrascriverà la policy esistente. IAM crea invece una nuova versione della policy gestita. IAM memorizza fino a cinque versioni di una policy gestita dal cliente. È possibile utilizzare le versioni della policy per ripristinare una policy a una versione precedente, se necessario.

Nota

Una versione di policy è diversa da un elemento Version della policy. L'elemento di policy Version viene utilizzato all'interno di una policy e definisce la versione del linguaggio di policy. Per ulteriori informazioni sulle versioni di policy, consultare Controllo delle versioni delle policy IAM. Per ulteriori informazioni sull'elemento di policy Version, consultare Elementi delle policy JSON IAM: Version.

Delega della gestione delle autorizzazioni

Puoi consentire agli utenti della tua azienda Account AWS di allegare e scollegare le politiche mantenendo il controllo sulle autorizzazioni definite in tali politiche. A tale scopo, è possibile designare alcuni utenti come amministratori completi, ossia amministratori che possono creare, aggiornare ed eliminare le policy. È quindi possibile designare altri utenti come amministratori limitati. Tali amministratori limitati possono collegare delle policy ad altre entità principali, ma solo nel caso delle policy per le quali sono stati autorizzati.

Per ulteriori informazioni sulla delega della gestione delle autorizzazioni, consultare Controllo dell'accesso alle policy.

Limiti di caratteri per le policy più grandi

Il limite massimo di caratteri per le policy gestite è maggiore del limite di caratteri per le policy in linea del gruppo. Se raggiungi il limite di dimensione dei caratteri della policy in linea, puoi creare altri gruppi IAM e collegare la policy gestita al gruppo.

Per ulteriori informazioni su quote e limiti, consulta IAM e AWS STS quote.

Aggiornamenti automatici per AWS le politiche gestite

AWS mantiene le politiche AWS gestite e le aggiorna quando necessario, ad esempio per aggiungere autorizzazioni per nuovi AWS servizi, senza che l'utente debba apportare modifiche. Gli aggiornamenti vengono applicati automaticamente alle principali entità a cui è stata allegata la politica AWS gestita.

Nozioni di base sulle policy gestite

Consigliamo di utilizzare le policy che concedono il privilegio minimo o che concedono solo le autorizzazioni richieste per eseguire un processo. Il modo più sicuro per concedere il privilegio minimo consiste nello scrivere una policy gestita dal cliente solo con le autorizzazioni necessarie al team. È necessario creare un processo per consentire al team di richiedere ulteriori autorizzazioni quando necessario. La creazione di policy gestite dai clienti IAM che forniscono al team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza.

Per iniziare ad aggiungere autorizzazioni alle tue identità IAM (utenti, gruppi di utenti e ruoli), puoi utilizzare. AWS politiche gestite AWS le politiche gestite non concedono i permessi con il privilegio minimo. Considera il rischio per la sicurezza di concedere ai principali più autorizzazioni di quelle necessarie per svolgere il proprio lavoro.

Puoi allegare policy AWS gestite, incluse le funzioni lavorative, a qualsiasi identità IAM. Per ulteriori informazioni, consulta Aggiunta e rimozione di autorizzazioni per identità IAM.

Per passare alle autorizzazioni con privilegi minimi, puoi eseguire AWS Identity and Access Management Access Analyzer per monitorare i principali con policy gestite. AWS Dopo aver appreso quali autorizzazioni stanno utilizzando, puoi scrivere o generare una policy gestita dal cliente che contenga soltanto le autorizzazioni richieste per il team. È meno sicuro, ma offre maggiore flessibilità man mano che impari a utilizzare il tuo team. AWS Per ulteriori informazioni, consulta Generazione di policy per Sistema di analisi degli accessi IAM.

AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni. Per ulteriori informazioni sulle politiche AWS gestite progettate per funzioni lavorative specifiche, vedereAWS politiche gestite per le funzioni lavorative.

Per un elenco delle politiche AWS gestite, consulta la AWS Managed Policy Reference Guide.

Utilizzo delle policy inline

Le policy in linea sono utili se si desidera mantenere una stretta one-to-one relazione tra una policy e l'identità a cui viene applicata. Ad esempio, se si desidera essere certi che le autorizzazioni di una policy non vengano inavvertitamente assegnate a un'identità diversa da quella per la quale sono state concepite. Quando si utilizza una policy inline, le autorizzazioni della policy non possono essere collegate inavvertitamente a un'identità errata. Inoltre, quando si utilizza il Console di gestione AWS per eliminare tale identità, vengono eliminate anche le politiche incorporate nell'identità perché fanno parte dell'entità principale.