Amazon Monitron non è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per funzionalità simili a Amazon Monitron, consulta il nostro post sul blog
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Come funziona Amazon Monitron con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon Monitron, è necessario comprendere quali funzionalità IAM sono disponibili per l'uso con Amazon Monitron. Per avere una visione di alto livello di come Amazon Monitron e AWS altri servizi funzionano con IAM, AWS consulta Services That Work with IAM nella IAM User Guide.
Argomenti
Policy basate sull'identità di Amazon Monitron
Per specificare azioni e risorse consentite o negate e le condizioni in base alle quali le azioni sono consentite o negate, utilizza le policy basate sull'identità IAM. Amazon Monitron supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta Documentazione di riferimento degli elementi delle policy JSON IAM nella Guida per l'utente IAM.
Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale entità principale può eseguire operazioni su quali risorse e in quali condizioni.
L'elemento Action di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
In Amazon Monitron, le azioni politiche utilizzano il seguente prefisso prima dell'azione:. monitron: Ad esempio, per concedere a qualcuno l'autorizzazione a creare un progetto con l'CreateProjectoperazione Amazon Monitron, includi l'monitron:CreateProjectazione nella sua politica. Le istruzioni della policy devono includere un elemento Action o NotAction. Amazon Monitron definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Nota
Per deleteProject eseguire l'operazione, è necessario disporre delle autorizzazioni AWS IAM Identity Center (SSO) per l'eliminazione. Senza queste autorizzazioni, la funzionalità di eliminazione rimuoverà comunque il progetto. Tuttavia, non rimuoverà le risorse dall'SSO e potreste finire con riferimenti sospesi su SSO.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
"Action": [ "monitron:action1", "monitron:action2" ]
È possibile specificare più azioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola List, includi la seguente azione:
"Action": "monitron:List*"
Resources
Amazon Monitron non supporta la specificazione della risorsa ARNs in una policy.
Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale entità principale può eseguire operazioni su quali risorse e in quali condizioni.
L’elemento Condition specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'utente IAM.
Amazon Monitron definisce il proprio set di chiavi di condizione e supporta anche l'utilizzo di alcune chiavi di condizione globali. Per un elenco di tutte le chiavi di condizione AWS globali, consulta AWS Global Condition Context Keys nella Guida per l'utente IAM.
Per visualizzare un elenco delle chiavi di condizione di Amazon Monitron, consulta Actions defined by Amazon Monitron nella IAM User Guide. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta Condition keys for Amazon Monitron.
Esempi
Per visualizzare esempi di politiche basate sull'identità di Amazon Monitron, consulta. Esempi di policy basate sull'identità di Amazon Monitron
Policy basate sulle risorse di Amazon Monitron
Amazon Monitron non supporta policy basate sulle risorse.
Autorizzazione basata sui tag Amazon Monitron
Puoi associare tag a determinati tipi di risorse Amazon Monitron per l'autorizzazione. Per controllare l'accesso in base ai tag, fornisci le informazioni sui tag nell'elemento condition di una policy utilizzando i tasti Amazon Monitron:TagResource/${TagKey}aws:RequestTag/${TagKey}, o aws:TagKeys condition.
Ruoli IAM di Amazon Monitron
Un ruolo IAM è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche.
Utilizzo di credenziali temporanee con Amazon Monitron
Puoi utilizzare le credenziali temporanee per effettuare l'accesso utilizzando la federazione, assumere un ruolo IAM o assumere un ruolo tra più account. Puoi ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come o. AssumeRoleGetFederationToken
Amazon Monitron supporta l'utilizzo di credenziali temporanee.
Ruoli collegati ai servizi
I ruoli collegati ai AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per tuo conto. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.
Amazon Monitron supporta ruoli collegati ai servizi.
Ruoli dei servizi
Questa funzionalità consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questo potrebbe pregiudicare la funzionalità del servizio.
Amazon Monitron supporta i ruoli di servizio.
Esempi di policy basate sull'identità di Amazon Monitron
Per impostazione predefinita, gli utenti e i ruoli IAM non dispongono dell'autorizzazione per creare o modificare risorse Amazon Monitron. Inoltre, non possono eseguire attività utilizzando. Console di gestione AWS Un amministratore IAM deve concedere le autorizzazioni agli utenti, ai gruppi o ai ruoli IAM che le richiedono. Questi utenti, gruppi o ruoli possono quindi eseguire le operazioni specifiche sulle risorse specifiche di cui hanno bisogno. L'amministratore deve quindi allegare queste policy a utenti o IAM che richiedono tali autorizzazioni.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta Creazione di policy nella scheda JSON nella Guida per l'utente IAM.
Argomenti
Best practice delle policy
Le policy basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon Monitron nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
-
Inizia con le politiche AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta Policy gestite da AWS o Policy gestite da AWS per le funzioni dei processi nella Guida per l’utente di IAM.
-
Applicazione delle autorizzazioni con privilegio minimo - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegio minimo. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta Policy e autorizzazioni in IAM nella Guida per l’utente di IAM.
-
Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l’utente di IAM.
-
Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare Convalida delle policy per il Sistema di analisi degli accessi IAM nella Guida per l’utente di IAM.
-
Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare Protezione dell’accesso API con MFA nella Guida per l’utente di IAM.
Per maggiori informazioni sulle best practice in IAM, consulta Best practice di sicurezza in IAM nella Guida per l’utente di IAM.
Utilizzo della console Amazon Monitron
Per configurare Amazon Monitron utilizzando la console, completa la procedura di configurazione iniziale utilizzando un utente con privilegi elevati (ad esempio uno con la policy AdministratorAccess gestita allegata).
Per accedere alla console Amazon Monitron per day-to-day le operazioni dopo la configurazione iniziale, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse Amazon Monitron nel AWS tuo account e includere un set di autorizzazioni relative a IAM Identity Center. Se crei una policy basata sull'identità più restrittiva di queste autorizzazioni minime richieste, la console non funzionerà come previsto per le entità (utenti o ruoli IAM) che applicano tale policy. Per le funzionalità di base della console Amazon Monitron, è necessario allegare la policy AmazonMonitronFullAccess gestita. A seconda delle circostanze, potrebbero essere necessarie anche autorizzazioni aggiuntive per il servizio Organizations and SSO. Contatta l' AWS assistenza se hai bisogno di ulteriori informazioni.
Esempio: elenca tutti i progetti Amazon Monitron
Questa policy di esempio concede a un utente IAM del tuo AWS account l'autorizzazione a elencare tutti i progetti nel tuo account.
Esempio: elenca i progetti Amazon Monitron in base ai tag
Puoi utilizzare le condizioni della tua policy basata sull'identità per controllare l'accesso alle risorse Amazon Monitron in base ai tag. Questo esempio mostra come è possibile creare una politica che consenta di elencare i progetti. Tuttavia, l'autorizzazione viene concessa solo se il tag del progetto location ha il valore diSeattle. Questa policy concede anche le autorizzazioni necessarie per completare questa azione nella console.
Per ulteriori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l'utente di IAM.
Risoluzione dei problemi relativi a Amazon Monitron Identity and Access
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Amazon Monitron e IAM.
Argomenti
Non sono autorizzato a eseguire un'azione in Amazon Monitron
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM mateojackson prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa my-example-widgetmonitron: fittizie.GetWidget
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:GetWidgeton resource:my-example-widget
In questo caso, la policy per l’utente mateojackson deve essere aggiornata per consentire l’accesso alla risorsa my-example-widgetmonitron:.GetWidget
Se hai bisogno di assistenza, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
Desidero consentire a persone esterne al mio AWS account di accedere alle mie risorse Amazon Monitron
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
-
Per sapere se Amazon Monitron supporta queste funzionalità, consulta. Come funziona Amazon Monitron con IAM
-
Per sapere come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà nella IAM User Guide.
-
Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta Fornire l'accesso a soggetti Account AWS di proprietà di terze parti nella Guida per l'utente IAM.
-
Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta Fornire l'accesso a utenti autenticati esternamente (federazione delle identità) nella Guida per l'utente IAM.
-
Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta Accesso a risorse multi-account in IAM nella Guida per l’utente di IAM.
