View a markdown version of this page

Identity-based politiche e politiche basate sulle risorse - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Identity-based politiche e politiche basate sulle risorse

Una policy è un oggetto AWS che, se associato a un'identità o a una risorsa, ne definisce le autorizzazioni. Quando crei una policy di autorizzazione per limitare l'accesso a una risorsa, puoi scegliere una policy basata su identità o una policy basata su risorse.

Identity-based le policy sono collegate a un utente, gruppo o ruolo IAM. Queste policy consentono di specificare cosa può fare quell'identità (le sue autorizzazioni). Ad esempio, puoi collegare la policy all'utente IAM di nome John, dichiarando che a questo utente è autorizzato ad eseguire l'operazione RunInstances di Amazon EC2. La policy potrebbe inoltre dichiarare che a John è consentito ottenere oggetti da una tabella di Amazon DynamoDB denominata MyCompany. Puoi anche consentire a John di gestire le proprie credenziali di sicurezza IAM. Identity-based le politiche possono essere gestite o in linea.

Resource-based le politiche sono allegate a una risorsa. Ad esempio, puoi collegare policy basate sulle risorse a bucket Amazon S3, code Amazon SQS, endpoint VPC, chiavi di crittografia AWS Key Management Service , tabelle e flussi Amazon DynamoDB e risorse. AWS Sign-In Per un elenco dei servizi che supportano le policy basate su risorse, consulta AWS servizi supportati da IAM.

Le policy basate su risorse consentono di specificare quali utenti hanno accesso a una risorsa e quali operazioni possono eseguirvi. Per sapere se i responsabili di account esterni alla tua zona di fiducia (organizzazione o account attendibile) possono assumere i tuoi ruoli, consulta Cos'è IAM Access Analyzer? . Resource-based le politiche sono solo in linea, non gestite.

Nota

Resource-basedle politiche differiscono dalle autorizzazioni a livello di risorsa. È possibile allegare politiche basate sulle risorse direttamente a una risorsa, come descritto in questo argomento. Resource-level le autorizzazioni si riferiscono alla possibilità di utilizzare gli ARN per specificare singole risorse in una policy. Resource-based le politiche sono supportate solo da alcuni AWS servizi. Per un elenco dei servizi che supportano delle policy basate su risorse e le autorizzazioni a livello di risorsa, consultare AWS servizi supportati da IAM.

Per informazioni su come interagiscono le policy basate su identità e le policy basate sulle risorse all'interno dello stesso account, consulta Valutazione delle policy per le richieste all'interno di un singolo account.

Per informazioni su come le policy interagiscono tra gli account, consulta Cross-account logica di valutazione delle politiche.

Per comprendere meglio questi concetti, visualizza la figura riportata di seguito. L'amministratore dell'account 123456789012 ha collegato policy basate su identità agli utenti John, Carlos e Mary. Alcune delle operazioni in queste policy possono essere eseguite su risorse specifiche. Ad esempio, l'utente John può eseguire alcune operazioni su Resource X. Si tratta di un'autorizzazione a livello di risorsa in una policy basata su identità. L'amministratore ha inoltre aggiunto politiche basate sulle risorse aResource X, Resource Y e. Resource Z Resource-based le politiche consentono di specificare chi può accedere a quella risorsa. Ad esempio, la policy basata su risorsa su Resource X consente agli utenti John e Mary l'accesso all'elenco e in lettura a quella risorsa.

Identity-based rispetto alle politiche basate sulle risorse.

L'esempio di account 123456789012 consente agli utenti seguenti di eseguire le operazioni elencate:

  • John: John può eseguire operazioni di lettura ed elenco su Resource X. Gli è concessa questa autorizzazione dalla policy basata su identità sul suo utente e dalla policy basata su risorsa su Resource X.

  • Carlos: Carlos può eseguire operazioni di lettura, scrittura ed elenco su Resource Y ma gli viene rifiutato l’accesso a Resource Z. La policy basata su identità su Carlos gli consente di eseguire operazioni di lettura ed elenco su Resource Y. La policy basata sulla risorsa Resource Y, inoltre, gli concede autorizzazioni di scrittura. Tuttavia, anche se la sua policy basata su identità gli consente l'accesso a Resource Z, la policy basata sulla risorsa Resource Z nega tale accesso. Un Deny esplicito sostituisce un Allow e il suo accesso a Resource Z viene negato. Per ulteriori informazioni, consulta Logica di valutazione delle policy.

  • Mary: Mary può eseguire operazioni di scrittura, lettura ed elenco su Resource X, Resource Y e Resource Z. La sua policy basata su identità le consente più operazioni su più risorse rispetto alle policy basate su risorse, ma nessuna di queste nega l'accesso.

  • Zhang: Zhang ha accesso completo a Resource Z. Zhang non ha policy basate su identità, ma la policy basata sulla risorsa Resource Z gli consente l'accesso completo alla risorsa. Zhang può anche eseguire elenco e leggere operazioni su Resource Y.

Identity-based le politiche e le politiche basate sulle risorse sono entrambe politiche di autorizzazione e vengono valutate insieme. Per una richiesta a cui si applicano solo i criteri di autorizzazione, verifica AWS innanzitutto che tutti i criteri abbiano un. Deny Se ne esiste una, la richiesta viene negata. Quindi, AWS verifica ogni Allow. Se almeno un'istruzione della policy consente l'operazione nella richiesta, la richiesta è consentita. Non importa se l'Allow è concessa dalla policy basata su identità o dalla policy basata su risorse.

Importante

Questa logica si applica solo quando la richiesta viene effettuata all'interno di un singolo Account AWS. Per le richieste effettuate da un account a un altro, il richiedente nell'Account A deve disporre di una policy basata su identità che gli consenta di effettuare una richiesta alla risorsa nell'Account B. Inoltre, la policy basata sulla risorsa nell'Account B deve consentire al richiedente nell'Account A di accedere alla risorsa. In entrambi gli account devono essere presenti policy che consentono l'operazione, altrimenti la richiesta non riesce. Per ulteriori informazioni sull'utilizzo delle policy basate sulle risorse per l'accesso tra account, consulta Accesso alle risorse multi-account in IAM.

Un utente che dispone di autorizzazioni specifiche potrebbe richiedere una risorsa a cui è collegata anche una policy di autorizzazione. In tal caso, AWS valuta entrambi i set di autorizzazioni per determinare se concedere l'accesso alla risorsa. Per ulteriori informazioni su come vengono valutate le policy, consultare Logica di valutazione delle policy.

Nota

Amazon S3 supporta le policy basate sulle identità e le policy basate su risorse (dette policy dei bucket). Inoltre, Amazon S3 supporta un meccanismo di autorizzazione noto come lista di controllo accessi (ACL) che è indipendente dalle policy e dalle autorizzazioni IAM. È possibile usare le policy IAM in combinazione con le liste di controllo accessi di Amazon S3. Per ulteriori informazioni, consulta Controllo accessi nella Guida per l'utente di Amazon Simple Storage Service.