Quando si usa IAM? - AWS Identity and Access Management
Quando si eseguono diverse funzioni lavorativeQuando vieni autorizzato ad accedere alle risorse AWSQuando accedi come utente IAM Quando assumi un ruolo IAMQuando crei policy e autorizzazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Quando si usa IAM?

AWS Identity and Access Management è un servizio di infrastruttura di base che fornisce le basi per il controllo degli accessi basato sulle identità interne. AWS Usi IAM ogni volta che accedi al tuo AWS account. Il modo in cui utilizzi IAM dipenderà dalle responsabilità e dalle funzioni dei processi specifiche all'interno della tua organizzazione. Gli utenti dei AWS servizi utilizzano IAM per accedere alle AWS risorse necessarie per il loro day-to-day lavoro, con gli amministratori che concedono le autorizzazioni appropriate. Gli amministratori IAM, d'altra parte, sono responsabili della gestione delle identità IAM e della stesura di policy per controllare l'accesso alle risorse. Indipendentemente dal tuo ruolo, interagisci con IAM ogni volta che autentichi e autorizzi l'accesso alle risorse. AWS Ciò potrebbe comportare l'accesso come utente IAM, l'assunzione di un ruolo IAM o l'uso della federazione delle identità per un accesso senza interruzioni. Comprendere le varie funzionalità e i casi d'uso di IAM è fondamentale per gestire efficacemente l'accesso sicuro al tuo AWS ambiente. Quando si tratta di creare policy e autorizzazioni, IAM offre un approccio flessibile e granulare. È possibile definire policy di attendibilità per controllare quali principali possono assumere un ruolo, oltre a policy basate sull'identità che specificano le azioni e le risorse a cui un utente o un ruolo può accedere. Configurando queste policy IAM, puoi contribuire a garantire che gli utenti e le applicazioni dispongano del livello di autorizzazioni appropriato per eseguire le attività richieste.

Quando si eseguono diverse funzioni lavorative

AWS Identity and Access Management è un servizio di infrastruttura di base che fornisce le basi per il controllo degli accessi basato sulle identità interne AWS. IAM viene utilizzato ogni volta che accedi al tuo account AWS .

Le modalità di utilizzo di IAM cambiano in base alle operazioni eseguite in AWS.

  • Utente del servizio: se utilizzi un AWS servizio per svolgere il tuo lavoro, l'amministratore ti fornisce le credenziali e le autorizzazioni necessarie. All'aumentare del numero di funzionalità utilizzate per il lavoro, potrebbero essere necessarie altre autorizzazioni. La comprensione della gestione dell’accesso consente di richiedere le autorizzazioni corrette all’amministratore.

  • Amministratore del servizio: se sei responsabile di una AWS risorsa presso la tua azienda, probabilmente hai pieno accesso a IAM. Il tuo compito è determinare le funzionalità e le risorse IAM a cui gli utenti del servizio devono accedere. È quindi necessario inviare le richieste all’amministratore IAM per modificare le autorizzazioni degli utenti del servizio. Esaminare le informazioni contenute in questa pagina per comprendere i concetti di base relativi a IAM.

  • Amministratore IAM: se sei un amministratore IAM, puoi gestire le identità IAM e scrivere policy per gestire l'accesso ad IAM.

Quando vieni autorizzato ad accedere alle risorse AWS

L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS

Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per maggiori informazioni sull’accesso, consultare la sezione Come accedere a Account AWS nella Guida per l’utente di Accedi ad AWS .

Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta AWS Signature Version 4 per le richieste API nella Guida per l’utente IAM.

Quando accedi come utente IAM

Un utente IAM è un’identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida per l'utente IAM.

Un gruppo IAM specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta Casi d’uso per utenti IAM nella Guida per l’utente IAM.

Quando assumi un ruolo IAM

Un ruolo IAM è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo passando da un ruolo utente a un ruolo IAM (console) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta Metodi per assumere un ruolonella Guida per l’utente IAM.

I ruoli IAM sono utili per l'accesso federato degli utenti, le autorizzazioni utente IAM temporanee, l'accesso tra account, l'accesso tra servizi e le applicazioni in esecuzione su Amazon. EC2 Per ulteriori informazioni, consulta Accesso a risorse multi-account in IAM nella Guida per l’utente IAM.

Quando crei policy e autorizzazioni

Concedi le autorizzazioni a un utente creando una policy che è un documento che elenca le operazioni che un utente può eseguire e le risorse che tali operazioni possono influenzare. Qualsiasi operazione o risorsa che non è esplicitamente consentita viene negata come impostazione predefinita. Le policy possono essere create e collegate ai principali (utenti, gruppi di utenti, ruoli assunti da utenti e risorse).

Puoi utilizzare queste policy con un ruolo IAM:

  • Policy di attendibilità: definisce quali principali possono assumere il ruolo e a quali condizioni. Una policy di attendibilità è un tipo specifico di policy basata sulle risorse per i ruoli IAM. Un ruolo può avere una sola policy di attendibilità.

  • Policy basate sull'identità (in linea e gestite): queste policy definiscono le autorizzazioni che l'utente del ruolo è in grado di eseguire (o che non può eseguire) e su quali risorse.

Utilizza gli Esempi di policy basate su identità IAM per definire le autorizzazioni per le identità IAM. Una volta trovata la policy desiderata, seleziona view the policy (visualizza la policy) per consultare il JSON della policy. Puoi utilizzare il documento di policy JSON come modello per le tue policy.

Nota

Se utilizzi il Centro identità IAM per gestire i tuoi utenti, assegni set di autorizzazioni nel Centro identità IAM invece di collegare una policy di autorizzazioni a un principale. Quando assegni un set di autorizzazioni a un gruppo o utente in Centro identità AWS IAM, IAM Identity Center crea i ruoli IAM corrispondenti in ciascun account e associa le politiche specificate nel set di autorizzazioni a tali ruoli. Il Centro identità IAM gestisce il ruolo e consente agli utenti autorizzati che hai definito di assumerlo. Se modifichi il set di autorizzazioni, il Centro identità IAM garantisce che le policy e i ruoli IAM corrispondenti vengano aggiornati di conseguenza.

Per ulteriori informazioni su IAM Identity Center, consulta Cos'è IAM Identity Center? nella Guida per l'utente di AWS IAM Identity Center .