Utilizzo della console Consentire agli utenti di visualizzare le loro autorizzazioni Accesso a un bucket Amazon S3 Visualizzazione basata sui tag AWS AppSync widgets

Policy basate su identità per AWS AppSync

Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse AWS AppSync. Per concedere agli utenti l’autorizzazione a eseguire operazioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.

Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consultare Creazione di policy IAM (console) nella Guida per l’utente di IAM.

Per i dettagli sulle azioni e sui tipi di risorse definiti da AWS AppSync, incluso il formato di ARNs per ogni tipo di risorsa, consulta Azioni, risorse e chiavi di condizione AWS AppSync nel Service Authorization Reference.

Per conoscere le best practice per la creazione e la configurazione di policy basate sull'identità IAM, consulta. Le migliori pratiche in materia di policy IAM

Per un elenco delle politiche basate sull'identità IAM per, consulta. AWS AppSync AWS politiche gestite per AWS AppSync

Argomenti

Utilizzo della console di AWS AppSync
Consentire agli utenti di visualizzare le loro autorizzazioni
Accesso a un bucket Amazon S3
Visualizzazione basata sui tag AWS AppSync widgets
AWS politiche gestite per AWS AppSync

Utilizzo della console di AWS AppSync

Per accedere alla AWS AppSync console, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle AWS AppSync risorse del tuo. Account AWS Se si cra una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.

Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle operazioni che corrispondono all’operazione API che stanno cercando di eseguire.

Per garantire che gli utenti e i ruoli IAM possano continuare a utilizzare la AWS AppSync console, collega anche la policy AWS AppSync ConsoleAccess o la policy ReadOnly AWS gestita alle entità. Per maggiori informazioni, consultare Aggiunta di autorizzazioni a un utente nella Guida per l’utente di IAM.

Consentire agli utenti di visualizzare le loro autorizzazioni

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono cpllegate alla relativa identità utente. Questa policy include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente l' AWS CLI API o. AWS


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Accesso a un bucket Amazon S3

In questo esempio, vuoi concedere a un utente IAM del tuo AWS account l'accesso a uno dei tuoi bucket Amazon S3,. examplebucket Si vuole anche consentire all'utente di aggiungere, aggiornare ed eliminare oggetti.

Oltre ad assegnare le autorizzazioni s3:PutObject, s3:GetObject e s3:DeleteObject all'utente, la policy assegna anche le autorizzazioni s3:ListAllMyBuckets, s3:GetBucketLocation e s3:ListBucket. Queste sono le autorizzazioni aggiuntive richieste dalla console. Inoltre, le operazioni s3:PutObjectAcl e s3:GetObjectAcl sono necessarie per essere in grado di copiare, tagliare e incollare gli oggetti nella console. Per un esempio di procedura dettagliata che concede le autorizzazioni agli utenti e li verifica utilizzando la console, consulta Un esempio di procedura dettagliata: Using user policy to control access to your bucket.

Visualizzazione basata sui tag AWS AppSync `widgets`

È possibile utilizzare le condizioni nella policy basata sulle identità per controllare l'accesso alle risorse di AWS AppSync in base ai tag. Questo esempio mostra come creare una policy che consente di visualizzare una widget. Tuttavia, l'autorizzazione viene concessa solo se il valore del tag Owner widget è quello del nome utente. Questa policy concede anche le autorizzazioni necessarie per completare questa azione nella console.

Puoi allegare questa policy agli utenti IAM nel tuo account. Se un utente denominato richard-roe tenta di visualizzare un widget AWS AppSync, il widget deve essere contrassegnato Owner=richard-roe o owner=richard-roe. In caso contrario l'accesso è negato. La chiave di tag di condizione Owner corrisponde a Owner e owner perché i nomi delle chiavi di condizione non effettuano la distinzione tra maiuscole e minuscole. Per maggiori informazioni, consultare la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l’utente di IAM.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Come AWS AppSync funziona con IAM

AWS politiche gestite