AWS managed policies for job functions
Consigliamo di utilizzare le policy che concedono il privilegio minimo o che concedono solo le autorizzazioni richieste per eseguire un processo. Il modo più sicuro per concedere il privilegio minimo consiste nello scrivere una policy personalizzata con solo le autorizzazioni necessarie al team. È necessario creare un processo per consentire al team di richiedere ulteriori autorizzazioni quando necessario. Creare policy gestite dal cliente IAM per fornire al tuo team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza.
Per iniziare ad aggiungere autorizzazioni alle identità IAM (utenti, gruppi di utenti e ruoli), è possibile utilizzare Policy gestite da AWS. Le policy gestite da AWS coprono i casi d'uso comuni e sono disponibili nel tuo Account AWS. Le policy gestite da AWS non concedono autorizzazioni minime per i privilegi. Considera il rischio per la sicurezza di concedere ai principali più autorizzazioni di quelle necessarie per svolgere il proprio lavoro.
È possibile collegare policy gestite AWS, incluse le funzioni di processo, a qualsiasi identità IAM. Per passare alle autorizzazioni con privilegio minimo, puoi eseguire AWS Identity and Access Management e Sistema di analisi degli accessi per monitorare i principali con le policy gestite da AWS. Dopo aver appreso quali autorizzazioni stanno utilizzando, puoi scrivere una policy personalizzata o generare una policy con solo le autorizzazioni richieste per il team. Questo metodo è meno sicuro, ma offre una maggiore flessibilità man mano che capisci il modo in cui il tuo team utilizza AWS.
AWSLe policy gestite per le funzioni lavorative sono progettate per allinearsi strettamente con funzioni lavorative comuni nel settore IT. È possibile utilizzare queste policy per concedere le autorizzazioni necessarie per eseguire le attività che ci si aspetta da qualcuno in una determinata funzione lavorativa. Queste policy consolidano le autorizzazioni per molti servizi in un'unica policy con la quale è più semplice collaborare rispetto ad avere le autorizzazioni disperse in molte policy.
Utilizzare i ruoli per combinare i servizi
Alcune delle policy utilizzano i ruoli di servizio IAM per aiutare a sfruttare le funzionalità di altri servizi AWS. Queste policy concedono l'accesso a iam:passrole, che consente a un utente con la policy di passare un ruolo a un servizio AWS. Questo ruolo delega le autorizzazioni IAM al servizio AWS per eseguire operazioni per tuo conto.
È necessario creare ruoli in base alle proprie esigenze. Ad esempio, la policy Amministratore di rete consente a un utente con la policy di passare un ruolo denominato "flow-logs-vpc" al servizio Amazon CloudWatch. CloudWatch utilizza quel ruolo per registrare e acquisire il traffico IP per VPC creati dall'utente.
Per seguire le best practice di sicurezza, le policy per le funzioni lavorative includono filtri che limitano i nomi dei ruoli validi che possono essere passati. In questo modo è possibile evitare di concedere autorizzazioni non necessarie. Se gli utenti richiedono i ruoli di servizio opzionali, è necessario creare un ruolo che segue la convenzione di denominazione specificata nella policy. È possibile concedere le autorizzazioni al ruolo. Una volta completata questa operazione, l'utente può configurare il servizio per utilizzare il ruolo, concedendogli tutte le autorizzazioni che il ruolo fornisce.
Nelle seguenti sezioni, ogni nome di policy è un collegamento alla pagina dei dettagli della policy nella Console di gestione AWS. Qui è possibile visualizzare il documento della policy e riconsultare le autorizzazioni che concede.
Funzione processo dell'amministratore
Nome policy gestita da AWS: AdministratorAccess
Caso d'uso: questo utente ha accesso completo e può delegare le autorizzazioni per ogni servizio e risorsa in AWS.
Aggiornamenti alle policy: AWS mantiene e aggiorna questa policy. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda Versioni di policy. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle policy gestite da AWS per le funzioni di processo.
Descrizione policy: questa policy concede tutte le operazioni per tutti i servizi AWS e per tutte le risorse nell'account. Per ulteriori informazioni sulla policy gestita, consulta AdministratorAccess nella Guida di riferimento alle policy gestite da AWS.
Nota
Affinché un utente o ruolo IAM possa accedere alla console Gestione dei costi e fatturazione AWS con le autorizzazioni in questa policy, è necessario innanzitutto attivare l'accesso del ruolo o utente IAM. A tale scopo, seguire le istruzioni riportate in Concedere l'accesso alla console di fatturazione per delegare l'accesso alla console di fatturazione.
Funzione di processo di fatturazione
Nome policy gestita da AWS: Billing
Caso d'uso: questo utente deve visualizzare i dati di fatturazione, impostare i pagamenti e autorizzarli. L'utente può monitorare i costi accumulati per l'intero servizio AWS.
Aggiornamenti alle policy: AWS mantiene e aggiorna questa policy. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda Versioni di policy. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle policy gestite da AWS per le funzioni di processo.
Descrizione policy: questa policy concede le autorizzazioni complete per gestire fatturazione, costi, metodi di pagamento, budget e report. Per ulteriori esempi di policy di gestione dei costi, consulta gli esempi di policy AWS Billing nella Guida per l'utente di Gestione dei costi e fatturazione AWS Per ulteriori informazioni sulla policy gestita, consulta Billing nella Guida di riferimento alle policy gestite da AWS.
Nota
Affinché un utente o ruolo IAM possa accedere alla console Gestione dei costi e fatturazione AWS con le autorizzazioni in questa policy, è necessario innanzitutto attivare l'accesso del ruolo o utente IAM. A tale scopo, seguire le istruzioni riportate in Concedere l'accesso alla console di fatturazione per delegare l'accesso alla console di fatturazione.
Funzione di processo dell'amministratore di database
Nome policy gestita da AWS: DatabaseAdministrator
Caso d'uso: questo utente imposta, configura e gestisce i database nel cloud AWS.
Aggiornamenti alle policy: AWS mantiene e aggiorna questa policy. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda Versioni di policy. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle policy gestite da AWS per le funzioni di processo.
Descrizione policy: questa policy concede le autorizzazioni per creare, configurare e gestire i database. Include l'accesso a servizi di database AWS, quali Amazon DynamoDB, Amazon Relational Database Service (RDS) e Amazon Redshift. Visualizza la policy per l'elenco completo di servizi di database supportati dalla policy. Per ulteriori informazioni sulla policy gestita, consulta DatabaseAdministrator nella Guida di riferimento alle policy gestite da AWS.
Questa policy della funzione lavorativa supporta la possibilità di passare ruoli a servizi AWS. La policy consente l'operazione iam:PassRole solo per i ruoli denominati nella tabella seguente. Per ulteriori informazioni, consulta Creazione dei ruoli e collegamento delle policy (console) più avanti in questo argomento.
| Caso d'uso | Nome ruolo (* è un carattere jolly) | Tipo di ruolo di servizio da selezionare | Selezionare questa policy gestita AWS. |
|---|---|---|---|
| Consentire all'utente di monitorare i database RDS | rds-monitoring-role | Ruolo Amazon RDS per il monitoraggio avanzato | AmazonRDSEnhancedMonitoringRole |
| Consentire a AWS Lambda di monitorare il database e accedere a database esterni | rdbms-lambda-access |
Amazon EC2 | AWSLambda_FullAccess |
| Consentire a Lambda di caricare file su Amazon S3 e su cluster Amazon Redshift con DynamoDB | lambda_exec_role |
AWS Lambda | Creare una nuova policy gestita secondo quanto definito in AWS Big Data Blog |
| Consentire alle funzioni Lambda di agire come trigger per le tabelle DynamoDB | lambda-dynamodb-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
| Consentire alle funzioni Lambda di accedere ad Amazon RDS in un VPC | lambda-vpc-execution-role | Creazione di un ruolo con una policy di attendibilità secondo quanto definito nella Guida per gli sviluppatori di AWS Lambda | AWSLambdaVPCAccessExecutionRole |
| Consentire a AWS Data Pipeline di accedere alle risorse AWS | DataPipelineDefaultRole | Creazione di un ruolo con una policy di attendibilità secondo quanto definito nella Guida per gli sviluppatori di AWS Data Pipeline | La documentazione di AWS Data Pipeline elenca le autorizzazioni richieste per questo caso d'uso. Consulta Ruoli IAM per AWS Data Pipeline |
| Consentire alle applicazioni in esecuzione su istanze Amazon EC2 di accedere alle risorse AWS | DataPipelineDefaultResourceRole | Creazione di un ruolo con una policy di attendibilità secondo quanto definito nella Guida per gli sviluppatori di AWS Data Pipeline | AmazonEC2RoleforDataPipelineRole |
Funzione di processo per data scientist
Nome policy gestita da AWS: DataScientist
Caso d'uso: questo utente esegue attività e query Hadoop. L'utente, inoltre accede e analizza le informazioni per l'analisi dei dati e di business intelligence.
Aggiornamenti alle policy: AWS mantiene e aggiorna questa policy. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda Versioni di policy. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle policy gestite da AWS per le funzioni di processo.
Descrizione policy: questa policy concede le autorizzazioni per creare, gestire ed eseguire query su un cluster Amazon EMR ed eseguire l'analisi dei dati con strumenti come Amazon QuickSight. La policy include l'accesso a ulteriori servizi per data scientist, come AWS Data Pipeline, Amazon EC2, Amazon Kinesis, Amazon Machine Learning e SageMaker AI. Visualizza la policy per l'elenco completo dei servizi scientifici dei dati supportati dalla policy. Per ulteriori informazioni sulla policy gestita, consulta DataScientist nella Guida di riferimento alle policy gestite da AWS.
Questa policy della funzione lavorativa supporta la possibilità di passare ruoli a servizi AWS. Un'istruzione consente il passaggio di un qualsiasi ruolo a SageMaker AI. Un'altra istruzione consente l'operazione iam:PassRole solo per i ruoli denominati nella tabella seguente. Per ulteriori informazioni, consulta Creazione dei ruoli e collegamento delle policy (console) più avanti in questo argomento.
| Caso d'uso | Nome ruolo (* è un carattere jolly) | Tipo di ruolo di servizio da selezionare | AWSPolicy gestita da selezionare |
|---|---|---|---|
| Consentire alle istanze Amazon EC2 l'accesso ai servizi e alle risorse idonei per i cluster | EMR-EC2_DefaultRole | Amazon EMR per EC2 | AmazonElasticMapReduceforEC2Role |
| Consentire ad Amazon EMR di accedere al servizio e alle risorse Amazon EC2 per i cluster | EMR_DefaultRole | Amazon EMR | AmazonEMRServicePolicy_v2 |
| Consenti a Kinesis Managed Service per Apache Flink di accedere alle origini dati in streaming | kinesis-* |
Creare un ruolo con una policy di affidabilità secondo quanto definito in AWS Big Data Blog |
Consultare AWS Big Data Blog |
| Consentire a AWS Data Pipeline di accedere alle risorse AWS | DataPipelineDefaultRole | Creazione di un ruolo con una policy di attendibilità secondo quanto definito nella Guida per gli sviluppatori di AWS Data Pipeline | La documentazione di AWS Data Pipeline elenca le autorizzazioni richieste per questo caso d'uso. Consulta Ruoli IAM per AWS Data Pipeline |
| Consentire alle applicazioni in esecuzione su istanze Amazon EC2 di accedere alle risorse AWS | DataPipelineDefaultResourceRole | Creazione di un ruolo con una policy di attendibilità secondo quanto definito nella Guida per gli sviluppatori di AWS Data Pipeline | AmazonEC2RoleforDataPipelineRole |
Funzione di processo per l'utente avanzato sviluppatore
Nome policy gestita da AWS: PowerUserAccess
Caso d'uso: questo utente esegue attività di sviluppo delle applicazioni e può creare e configurare le risorse e i servizi che supportano lo sviluppo consapevole di applicazioni AWS.
Aggiornamenti alle policy: AWS mantiene e aggiorna questa policy. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda Versioni di policy. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle policy gestite da AWS per le funzioni di processo.
Descrizione della policy: la prima istruzione di questa policy utilizza l'elemento NotAction per consentire tutte le operazioni per tutti i servizi AWS e per tutte le risorse ad eccezione di AWS Identity and Access Management, AWS Organizations e Gestione dell'account AWS. La seconda istruzione concede le autorizzazioni IAM per creare un ruolo collegato ai servizi. Questo è obbligatorio per alcuni servizi che devono accedere alle risorse di un altro servizio, ad esempio un bucket Amazon S3. Concede inoltre le autorizzazioni di AWS Organizations per visualizzare le informazioni relative all'organizzazione dell'utente, tra cui l'e-mail dell'account di gestione e le limitazioni dell'organizzazione. Sebbene questa policy limiti IAM, AWS Organizations, consente all'utente di eseguire tutte le operazioni di Centro identità IAM se il servizio è abilitato. Garantisce inoltre le autorizzazioni di Gestione account per visualizzare quali Regioni AWS sono abilitate o disabilitate per l'account.
Funzione di processo per l'amministratore di rete
Nome policy gestita da AWS: NetworkAdministrator
Caso d'uso: questo utente ha il compito di configurare ed effettuare la manutenzione delle risorse di rete AWS.
Aggiornamenti alle policy: AWS mantiene e aggiorna questa policy. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda Versioni di policy. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle policy gestite da AWS per le funzioni di processo.
Descrizione della policy: questa policy concede le autorizzazioni per creare e gestire le risorse di rete in Auto Scaling, Amazon EC2, AWS Direct Connect, Route 53, Amazon CloudFront, Elastic Load Balancing, AWS Elastic Beanstalk, Amazon SNS, CloudWatch, CloudWatch Logs, Amazon S3, IAM e Amazon Virtual Private Cloud. Per ulteriori informazioni sulla policy gestita, consulta NetworkAdministrator nella Guida di riferimento alle policy gestite da AWS.
Questa funzione lavorativa richiede la possibilità di passare ruoli a servizi AWS. La policy concede iam:GetRole e iam:PassRole solo per quei ruoli denominati nella tabella seguente. Per ulteriori informazioni, consulta Creazione dei ruoli e collegamento delle policy (console) più avanti in questo argomento.
| Caso d'uso | Nome ruolo (* è un carattere jolly) | Tipo di ruolo di servizio da selezionare | AWSPolicy gestita da selezionare |
|---|---|---|---|
| Consente ad Amazon VPC di creare e gestire i log in CloudWatch Logs per conto dell'utente per monitorare il traffico IP in entrata e in uscita dal VPC | flow-logs-* | Creazione di un ruolo con una policy di attendibilità secondo quanto definito nella Guida per l'utente di Amazon VPC | Questo caso d'uso non dispone di una policy gestita AWS, ma la documentazione elenca le autorizzazioni necessarie. Consulta la Guida per l'utente di Amazon VPC. |
Accesso in sola lettura
Nome policy gestita da AWS: ReadOnlyAccess
Caso d'uso: questo utente richiede l'accesso in sola lettura a tutte le risorse in un Account AWS.
Importante
Questo utente avrà anche accesso ai dati di lettura in servizi di archiviazione come i bucket Amazon S3 e le tabelle Amazon DynamoDB.
Aggiornamenti alle policy: AWS mantiene e aggiorna questa policy. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda Versioni di policy. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle policy gestite da AWS per le funzioni di processo.
Descrizione della policy: questa policy concede le autorizzazioni per elencare, ottenere, descrivere e visualizzare in altro modo le risorse e i relativi attributi. Non include funzioni mutanti come create o delete. Questa policy include l'accesso in sola lettura ai servizi AWS correlati alla sicurezza, come AWS Identity and Access Management e Gestione dei costi e fatturazione AWS. Visualizza la policy per l'elenco completo di servizi e operazioni supportati dalla policy. Per ulteriori informazioni sulla policy gestita, consulta ReadOnlyAccess nella Guida di riferimento alle policy gestite da AWS. Se hai bisogno di una policy simile che non conceda l'accesso ai dati di lettura nei servizi di archiviazione, consulta Funzione di processo per utente con sola visualizzazione.
Funzione di processo del revisore sicurezza
Nome policy gestita da AWS: SecurityAudit
Caso d'uso: questo utente monitora gli account per la conformità ai requisiti di sicurezza. Questo utente può accedere ai log e agli eventi per analizzare potenziali violazioni alla sicurezza o potenziale attività non autorizzata.
Aggiornamenti alle policy: AWS mantiene e aggiorna questa policy. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda Versioni di policy. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle policy gestite da AWS per le funzioni di processo.
Descrizione policy: questa policy concede le autorizzazioni per visualizzare i dati di configurazione per molti servizi AWS e per esaminare i loro log. Per ulteriori informazioni sulla policy gestita, consulta SecurityAudit nella Guida di riferimento alle policy gestite da AWS.
Funzione di processo dell'utente di Support
Nome della policy gestita da AWS: AWSSupportAccess
Caso d'uso: questo utente contatta AWS Support, crea casi di supporto e visualizza lo stato di casi esistenti.
Aggiornamenti alle policy: AWS mantiene e aggiorna questa policy. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda Versioni di policy. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle policy gestite da AWS per le funzioni di processo.
Descrizione della policy: questa policy concede le autorizzazioni per creare e aggiornare casi di Supporto. Per ulteriori informazioni sulla policy gestita, consulta AWSSupportAccess nella Guida di riferimento alle policy gestite da AWS.
Funzione di processo dell'amministratore di sistema
Nome policy gestita da AWS: SystemAdministrator
Caso d'uso: questo utente imposta e gestisce le risorse per le operazioni di sviluppo.
Aggiornamenti alle policy: AWS mantiene e aggiorna questa policy. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda Versioni di policy. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle policy gestite da AWS per le funzioni di processo.
Descrizione della policy: questa policy concede le autorizzazioni per creare e gestire risorse in una vasta gamma di servizi AWS, tra cui AWS CloudTrail, Amazon CloudWatch, AWS CodeCommit, AWS CodeDeploy, AWS Config, AWS Directory Service, Amazon EC2, AWS Identity and Access Management, AWS Key Management Service, AWS Lambda, Amazon RDS, Route 53, Amazon S3, Amazon SES, Amazon SQS, AWS Trusted Advisor e Amazon VPC. Per ulteriori informazioni sulla policy gestita, consulta SystemAdministrator nella Guida di riferimento alle policy gestite da AWS.
Questa funzione lavorativa richiede la possibilità di passare ruoli a servizi AWS. La policy concede iam:GetRole e iam:PassRole solo per quei ruoli denominati nella tabella seguente. Per ulteriori informazioni, consulta Creazione dei ruoli e collegamento delle policy (console) più avanti in questo argomento. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle policy gestite da AWS per le funzioni di processo.
| Caso d'uso | Nome ruolo (* è un carattere jolly) | Tipo di ruolo di servizio da selezionare | AWSPolicy gestita da selezionare |
|---|---|---|---|
| Consentire alle applicazioni in esecuzione in istanze di EC2 in un cluster Amazon ECS di accedere ad Amazon ECS | ecr-sysadmin-* | Ruolo Amazon EC2 per EC2 Container Service | AmazonEC2ContainerServiceforEC2Role |
| Consentire a un utente di monitorare i database | rds-monitoring-role | Ruolo Amazon RDS per il monitoraggio avanzato | AmazonRDSEnhancedMonitoringRole |
| Consentire le applicazioni in esecuzione in istanze EC2 di accedere alle risorse AWS. | ec2-sysadmin-* | Amazon EC2 | Policy di esempio per il ruolo che concede l'accesso a un bucket S3 come illustrato nella Guida per l'utente di Amazon EC2; personalizzare in base alle esigenze |
| Consentire a Lambda di leggere i flussi DynamoDB e scrivere su CloudWatch Logs | lambda-sysadmin-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
Funzione di processo per utente con sola visualizzazione
Nome policy gestita da AWS: ViewOnlyAccess
Caso d'uso: questo utente può visualizzare un elenco di risorse e metadati di base AWS nell'account per i vari servizi. L'utente non può leggere i contenuti o i metadati delle risorse che superano la quota ed elencare informazioni per le risorse.
Aggiornamenti alle policy: AWS mantiene e aggiorna questa policy. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda Versioni di policy. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle policy gestite da AWS per le funzioni di processo.
Descrizione della policy: questa policy concede l'accesso di tipo List*, Describe*, Get*, View* e Lookup* alle risorse per i servizi AWS. Per scoprire le operazioni incluse in questa policy per ogni servizio, consulta ViewOnlyAccess
Aggiornamenti alle policy gestite da AWS per le funzioni di processo
Queste policy sono tutte gestite da AWS e sono tenute aggiornate per includere il supporto per nuovi servizi e nuove funzionalità aggiunte dai servizi AWS. Queste policy non possono essere modificate dai clienti. È possibile effettuare una copia della policy e modificare la copia, ma quella copia non è aggiornata automaticamente quando AWS introduce nuovi servizi e operazioni API.
Per una policy di funzione del processo, è possibile visualizzare la cronologia delle versioni e l'ora e la data di ogni aggiornamento nella console IAM. A tale scopo, utilizza i collegamenti presenti in questa pagina per visualizzare i dettagli delle policy. Quindi scegli la scheda Versioni di policy per visualizzare le versioni. Questa pagina mostra le ultime 25 versioni di una policy. Per visualizzare tutte le versioni di una policy, chiama il comando get-policy-version della AWS CLI o l'operazione API GetPolicyVersion.
Nota
Puoi avere fino a cinque versioni di una policy gestita dal cliente, ma AWS conserva la cronologia completa delle versioni delle policy gestite da AWS.
