Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controllo dell'accesso con le policy IAM
IAM fornisce diversi tipi di policy per controllare l'accesso alla funzionalità di federazione delle identità in uscita. Puoi utilizzare policy basate sull'identità per controllare quali responsabili IAM possono richiedere token e applicare proprietà specifiche dei token come audience, durate e algoritmi di firma. Le politiche di controllo dei servizi (SCPs) ti consentono di applicare restrizioni a livello di organizzazione sulla generazione di token su tutti gli account delle tue Organizations. AWS Le politiche di controllo delle risorse (RCPs) controllano l'accesso a livello di risorsa. Puoi anche utilizzare le policy degli endpoint VPC per limitare i principali che possono accedere all'API AWS STS GetWebIdentityToken tramite i tuoi endpoint VPC, aggiungendo controlli a livello di rete al tuo livello di sicurezza. Questa sezione spiega come implementare controlli di accesso granulari utilizzando questi tipi di policy e chiavi di condizione.
Per richiedere i token di identità, un principale IAM deve disporre dell'autorizzazione. sts:GetWebIdentityToken Concedi questa autorizzazione tramite le politiche di identità allegate agli utenti o ai ruoli IAM. Per consentire il passaggio dei tag (coppie di chiavi e valori) alla GetWebIdentityToken chiamata, il principale IAM deve disporre dell'sts:TagGetWebIdentityTokenautorizzazione.
-
Usa la chiave sts: IdentityTokenAudience condition per limitare i servizi esterni che possono ricevere token.
-
Usa la chiave sts: DurationSeconds condition per imporre la durata massima dei token.
-
Usa la chiave sts: SigningAlgorithm condition per richiedere algoritmi crittografici specifici.
-
Usa la chiave aws: RequestTag condition confronta la coppia chiave-valore del tag che è stata passata nella richiesta con la coppia di tag specificata nella policy.
-
Usa la chiave aws: TagKeys condition per confrontare le chiavi dei tag in una richiesta con le chiavi specificate nella policy.
Fai riferimento a IAM e alle chiavi di AWS STS condizione per saperne di più sulle chiavi di condizione disponibili nelle politiche IAM.
Questo esempio di policy di identità combina più chiavi di condizione:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowTokenGenerationWithRestrictions", "Effect": "Allow", "Action": "sts:GetWebIdentityToken", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "sts:IdentityTokenAudience": [ "https://api1.example.com", "https://api2.example.com" ] }, "NumericLessThanEquals": { "sts:DurationSeconds": 300 }, "StringEquals": { "sts:SigningAlgorithm": "ES384" } } } ] }
Best practice
Segui questi consigli per federare in modo sicuro le tue AWS identità con servizi esterni.
-
Usa una durata dei token breve: richiedi token con la durata più breve che soddisfi le tue esigenze operative.
-
Implementa l'accesso con privilegi minimi e limita le proprietà dei token con le policy IAM: concedi l'
sts:GetWebIdentityTokenautorizzazione solo ai principali IAM che la richiedono. Utilizza le chiavi condizionali per specificare gli algoritmi di firma, i destinatari di token consentiti e la durata massima dei token in base alle tue esigenze. -
Convalida le attestazioni nei servizi esterni: per motivi di sicurezza, convalida sempre le attestazioni pertinenti come soggetto («sub»), pubblico («aud») ecc. per assicurarti che corrispondano ai valori previsti. Convalida le attestazioni personalizzate quando possibile per consentire decisioni di autorizzazione dettagliate nei servizi esterni.
