Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Informazioni sulle autorizzazioni

Come parte del processo di onboarding delle funzionalità, dovrai registrare delle politiche con IAM che definiscano le autorizzazioni che desideri richiedere negli account dei clienti. AWS Il processo di registrazione offre un'esperienza più coerente per i clienti e aiuta a evitare gli errori più comuni nella redazione delle policy.

Durante la registrazione, AWS valuta le tue politiche rispetto a una serie di convalide. Queste convalide hanno lo scopo di standardizzare la formattazione e la struttura delle politiche e fornire protezioni di base contro gli anti-modelli noti. Le convalide riducono inoltre il rischio di aumento dei privilegi, di accessi involontari tra account e di ampio accesso a risorse di alto valore negli account dei clienti.

Tipi di autorizzazione

AWS prenderà in considerazione due categorie di autorizzazioni: temporanee e a lungo termine.

Autorizzazioni temporanee

Le autorizzazioni temporanee limitano le autorizzazioni assegnate a qualsiasi sessione temporanea di accesso delegato. Le autorizzazioni temporanee sono descritte nei modelli di policy applicati alla sessione delegata. I modelli supportano i parametri forniti quando si crea una richiesta di delega. Questi valori dei parametri vengono quindi associati alla sessione. Le autorizzazioni temporanee funzionano allo stesso modo delle politiche di sessione disponibili AWS STS oggi: le politiche limitano la capacità dell'utente sottostante, ma non garantiscono alcun accesso aggiuntivo. Per ulteriori informazioni, consulta la AWS STS documentazione sulle politiche di sessione.

Autorizzazioni a lungo termine

Le autorizzazioni a lungo termine limitano le autorizzazioni di tutti i ruoli creati o gestiti tramite accesso temporaneo. Le autorizzazioni a lungo termine sono implementate come limiti delle autorizzazioni IAM. Puoi specificare uno o più limiti di autorizzazione AWS come parte dell'onboarding. Una volta approvata, AWS condividerà con te un ARN della politica a cui puoi fare riferimento nelle tue politiche.

Queste politiche delimitative hanno due caratteristiche degne di nota. Innanzitutto, sono immutabili. Se desideri aggiornare le autorizzazioni, puoi registrare un nuovo limite di autorizzazioni. Puoi quindi collegare il nuovo limite di autorizzazioni ai ruoli dei tuoi clienti inviando una nuova richiesta di delega. In secondo luogo, le politiche non sono basate su modelli. Poiché la stessa politica di confine è condivisa a livello globale, non può essere modificata in base al cliente.

Caso d'uso di esempio: carico di lavoro per l'elaborazione dei dati

Prendiamo in considerazione un fornitore di prodotti che esegua un carico di lavoro di elaborazione dei dati negli account dei clienti. Il provider deve configurare l'infrastruttura durante l'onboarding iniziale, ma richiede anche un accesso continuo per gestire il carico di lavoro.

Autorizzazioni temporanee (per la configurazione iniziale):

Autorizzazioni a lungo termine (ruolo IAM con limite di autorizzazione per le operazioni in corso):

Le autorizzazioni temporanee vengono utilizzate una sola volta durante l'onboarding per configurare l'infrastruttura. Il ruolo IAM creato durante questo processo ha un limite di autorizzazione che limita le autorizzazioni massime solo alle operazioni necessarie per la gestione continua del carico di lavoro. Ciò garantisce che, anche se le politiche del ruolo vengono modificate, non possano superare le autorizzazioni definite nel limite.