Inoltro delle sessioni di accesso - AWS Identity and Access Management
Richieste FAS e condizioni delle policy IAMEsempio: consentire ad Amazon S3 l'accesso da un VPC o tramite FAS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Inoltro delle sessioni di accesso

Le sessioni di accesso inoltrato (FAS) sono una tecnologia IAM utilizzata dai AWS servizi per trasmettere identità, autorizzazioni e attributi di sessione quando un AWS servizio effettua una richiesta per conto dell'utente. FAS utilizza le autorizzazioni dell'identità che chiama un AWS servizio, combinate con l'identità di un AWS servizio per effettuare richieste ai servizi downstream. Le richieste FAS vengono inviate ai AWS servizi per conto di un responsabile IAM solo dopo che un servizio ha ricevuto una richiesta che richiede interazioni con altri AWS servizi o risorse per essere completata. Quando viene effettuata una richiesta FAS:

  • Il servizio che riceve la richiesta iniziale da un principale IAM controlla le autorizzazioni di tale principale IAM.

  • Anche il servizio che riceve la conseguente richiesta FAS controlla le autorizzazioni dello stesso principale IAM.

Ad esempio, FAS viene utilizzato da Amazon S3 per effettuare chiamate AWS Key Management Service per decrittografare un oggetto quando SSE-KMS è stato utilizzato per crittografarlo. Quando si scarica un oggetto crittografato SSE-KMS, un ruolo denominato data-reader chiama l'oggetto GetObject su Amazon S3 e non chiama direttamente. AWS KMS Dopo aver ricevuto la GetObject richiesta e autorizzato il lettore di dati, Amazon S3 effettua quindi una richiesta FAS AWS KMS a per decrittografare l'oggetto Amazon S3. Quando KMS riceve la richiesta FAS, controlla le autorizzazioni del ruolo e autorizza la richiesta di decrittografia solamente se data-reader dispone delle autorizzazioni corrette sulla chiave KMS. Le richieste ad Amazon S3 AWS KMS sono autorizzate utilizzando le autorizzazioni del ruolo e hanno esito positivo solo se data-reader dispone delle autorizzazioni sia per l'oggetto Amazon S3 che per la chiave KMS. AWS

Un diagramma di flusso di un ruolo IAM passato come principale prima ad Amazon S3 e poi a AWS KMS.
Nota

I servizi che hanno ricevuto una richiesta FAS possono a loro volta effettuare richieste FAS aggiuntive. In questi casi, il principale che esegue la richiesta deve disporre delle autorizzazioni per tutti i servizi chiamati da FAS.

Richieste FAS e condizioni delle policy IAM

Quando vengono effettuate richieste FAS, le chiavi di condizione aws:CalledVia, aws:CalledViaFirst e aws:CalledViaLast vengono compilate con il principale di servizio del servizio che ha avviato la chiamata FAS. Il valore della chiave di condizione aws:ViaAWSService viene impostato su true ogni volta che viene effettuata una richiesta FAS. Nel diagramma seguente, per la richiesta a direct non è impostata CloudFormation alcuna chiave o condizionale. aws:CalledVia aws:ViaAWSService Quando CloudFormation e DynamoDB effettuano richieste FAS downstream per conto del ruolo, i valori per queste chiavi di condizione vengono compilati.

Un diagramma di flusso di un ruolo IAM che viene passato come principale a CloudFormation e quindi passa i valori della chiave della condizione a DynamoDB e. AWS KMS

Per consentire l'invio di una richiesta FAS quando altrimenti verrebbe negata da una dichiarazione di politica Deny con una chiave di condizione che verifica gli indirizzi IP di origine o l'origine VPCs, è necessario utilizzare le chiavi di condizione per fornire un'eccezione per le richieste FAS nella politica Deny. Questa operazione può essere eseguita per tutte le richieste FAS utilizzando la chiave di condizione aws:ViaAWSService. Per consentire solo a AWS servizi specifici di effettuare richieste FAS, utilizza. aws:CalledVia

Importante

Quando viene effettuata una richiesta FAS in seguito a una richiesta iniziale effettuata tramite un endpoint VPC, i valori delle chiavi di condizione per aws:SourceVpce, aws:SourceVpc e aws:VpcSourceIp della richiesta iniziale non vengono utilizzati nelle richieste FAS. Quando si scrivono policy utilizzando aws:VPCSourceIP o aws:SourceVPCE per concedere l'accesso in modo condizionale, è inoltre necessario utilizzare aws:ViaAWSService o aws:CalledVia per consentire le richieste FAS. Quando viene effettuata una richiesta FAS dopo che una richiesta iniziale è stata ricevuta da un endpoint di AWS servizio pubblico, le richieste FAS successive verranno effettuate con lo stesso aws:SourceIP valore della chiave di condizione.

Esempio: consentire ad Amazon S3 l'accesso da un VPC o tramite FAS

Nel seguente esempio di policy IAM, le richieste Amazon S3 e GetObject Athena sono consentite solo se provengono da endpoint VPC collegati a o se la richiesta è una richiesta example_vpc FAS effettuata da Athena.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "OnlyAllowMyIPs",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*",
        "athena:StartQueryExecution",
        "athena:GetQueryResults",
        "athena:GetWorkGroup",
        "athena:StopQueryExecution",
        "athena:GetQueryExecution"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceVPC": [
            "example_vpc"
          ]
        }
      }
    },
    {
      "Sid": "OnlyAllowFAS",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*"
      ],
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "athena.amazonaws.com"
        }
      }
    }
  ]
}

Per ulteriori esempi di utilizzo delle chiavi di condizione per consentire l'accesso FAS, consulta il repository di esempi di policy per implementare un perimetro di dati.