Logica di valutazione delle policy
Quando un'entità principale cerca di utilizzare la Console di gestione AWS, l'API AWS o l'AWS CLI, invia una richiesta ad AWS. Quando un servizio AWS riceve una richiesta, AWS completa diversi passi per determinare se consentire o negare la richiesta.
-
Autenticazione: AWS autentica prima il principale che effettua la richiesta, se necessario. Questo passaggio non è necessario per alcuni servizi, ad esempio Amazon S3, che consentono alcune richieste da parte di utenti anonimi.
-
Elaborazione del contesto della richiesta – AWS elabora le informazioni raccolte nella richiesta per determinare quali policy applicare alla richiesta.
-
In che modo la logica del codice di applicazione AWS valuta le richieste per consentire o negare l'accesso: AWS valuta tutti i tipi di policy e l'ordine delle policy influisce sul modo in cui vengono valutate. Successivamente, AWS elabora le policy in base al contesto della richiesta per determinare se la richiesta è consentita o negata.
Valutazione delle policy basate su identità con policy basate su risorse
Le policy basate su identità e le policy basate su risorse concedono autorizzazioni alle identità o alle risorse a cui sono collegate. Quando un'entità IAM (utente o ruolo) richiede accesso a una risorsa all'interno dello stesso account, AWS valuta tutte le autorizzazioni concesse dalle policy basate su identità e sulle risorse. Le autorizzazioni risultanti sono le autorizzazioni totali dei due tipi. Se un'azione è consentita da una policy basata su identità, da una policy basata su risorse o da entrambe, AWS consente l'operazione. Un rifiuto esplicito in una di queste policy sostituisce l'autorizzazione.
Valutazione delle policy basate su identità con i limiti delle autorizzazioni
Quando AWS valuta le policy basate su identità e i limiti delle autorizzazioni per un utente, le autorizzazioni risultanti sono la combinazione delle due categorie. Ciò significa che quando aggiungi un limite delle autorizzazioni a un utente con policy basate su identità esistenti, potresti ridurre il numero di operazioni che l'utente può eseguire. Di contro, quando rimuovi un limite delle autorizzazioni da un utente, potresti aumentare il numero di operazioni che può eseguire. Un rifiuto esplicito in una di queste policy sostituisce l'autorizzazione. Per informazioni su come altri tipi di policy vengono valutati con i limiti delle autorizzazioni, consulta Valutazione delle autorizzazioni valide con i limiti.
Valutazione delle policy basate su identità con le SCP o le RCP AWS Organizations
Quando un utente appartiene a un account membro di un'organizzazione e accede a una risorsa per la quale non è configurata una policy basata sulle risorse, le autorizzazioni risultanti sono l'intersezione delle policy dell'utente, delle policy di controllo dei servizi (SCP) e delle policy di controllo delle risorse (RCP). Ciò significa che un'azione deve essere consentita da tutti e tre i tipi di policy. Un rifiuto esplicito nella policy basata sull'identità, una SCP o una RCP ha la precedenza sull'autorizzazione.
Puoi scoprire se il tuo account è un membro di un'organizzazione in AWS Organizations. I membri dell'organizzazione potrebbero essere influenzati da una SCP o una RCP. Per visualizzare questi dati utilizzando il comando AWS CLI o l'operazione API AWS, è necessario disporre delle autorizzazioni per l'operazione organizations:DescribeOrganization per l'entità AWS Organizations. È necessario disporre delle autorizzazioni aggiuntive per eseguire l'operazione nella console AWS Organizations. Per scoprire se una SCP o una RCP nega l'accesso a una richiesta specifica o per modificare le autorizzazioni effettive, contatta il tuo amministratore AWS Organizations.
