View a markdown version of this page

IAM per decisioni su Amazon Connect - Decisioni su Amazon Connect
Autenticazione con identitàGestione dell’accesso tramite policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

IAM per decisioni su Amazon Connect

AWS Identity and Access Management (IAM) è un servizio AWS che permette agli amministratori di controllare in modo sicuro l'accesso alle risorse AWS. Gli amministratori IAM controllano chi può essere autenticato (effettuato l'accesso) e autorizzato (disporre delle autorizzazioni) a utilizzare le risorse Amazon Connect Decisions. IAM è un servizio AWS che è possibile utilizzato senza alcun costo aggiuntivo.

Autenticazione con identità

L'autenticazione è la procedura di accesso ad AWS utilizzando le credenziali di identità. Devi essere autenticato come utente root dell'account AWS, utente IAM o assumendo un ruolo IAM.

Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull'accesso, consulta How to access to your AWS account nella AWS Sign-In User Guide.

Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta AWS Signature versione 4 per le richieste API nella IAM User Guide.

Utente root dell'account AWS

Quando crei un account AWS, inizi con un'identità di accesso chiamata utente root dell'account AWS che ha accesso completo a tutti i servizi e le risorse AWS. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta Attività che richiedono le credenziali dell’utente root nella Guida per l’utente IAM.

Identità federata

Come best practice, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere ai servizi AWS utilizzando credenziali temporanee.

Un'identità federata è un utente della directory aziendale, del provider di identità Web o del Directory Service che accede ai servizi AWS utilizzando credenziali provenienti da una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.

Per la gestione centralizzata degli accessi, consigliamo AWS IAM Identity Center. Per ulteriori informazioni, consulta Cos'è IAM Identity Center? nella Guida per l'utente di AWS IAM Identity Center.

Utenti e gruppi IAM

Un utente IAM è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere ad AWS utilizzando credenziali temporanee nella IAM User Guide.

Un gruppo IAM specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta Casi d’uso per utenti IAM nella Guida per l’utente di IAM.

Ruoli IAM

Un ruolo IAM è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo passando da un ruolo utente a un ruolo IAM (console) o chiamando un'operazione CLI AWS o AWS API. Per ulteriori informazioni, consulta Metodi per assumere un ruolo nella Guida per l’utente di IAM.

I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare Accesso a risorse multi-account in IAM nella Guida per l’utente IAM.

Gestione dell’accesso tramite policy

Puoi controllare l'accesso in AWS creando policy e collegandole a identità o risorse AWS. Una policy definisce le autorizzazioni se associate a un'identità o a una risorsa. AWS valuta queste policy quando un principale effettua una richiesta. La maggior parte delle policy viene memorizzata in AWS sotto forma di documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta Panoramica delle policy JSON nella Guida per l’utente IAM.

Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale principale può eseguire azioni su quali risorse e in quali condizioni.

Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.

Identity-based politiche

Identity-based le politiche sono documenti di policy sulle autorizzazioni JSON che alleghi a un'identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente nella Guida per l’utente IAM.

Identity-based le politiche possono essere politiche in linea (incorporate direttamente in una singola identità) o politiche gestite (politiche autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta Scegliere tra policy gestite e policy in linea nella Guida per l’utente di IAM.

Resource-based politiche

Resource-based le politiche sono documenti di policy JSON allegati a una risorsa. Gli esempi includono le policy di trust dei ruoli IAM e le policy dei bucket di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio specificare un’entità principale.

Resource-based le politiche sono politiche in linea che si trovano in quel servizio. Non è possibile utilizzare i criteri gestiti AWS da IAM in un criterio basato sulle risorse.

Altri tipi di policy

AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse da tipi di policy più comuni:

  • Limiti delle autorizzazioni: imposta le autorizzazioni massime che una policy basata sull'identità può concedere a un'entità IAM. Per ulteriori informazioni, consulta Limiti delle autorizzazioni per le entità IAM nella Guida per l’utente di IAM .

  • Policy di controllo dei servizi (SCP): specifica le autorizzazioni massime per un'organizzazione o un'unità organizzativa in AWS Organizations. Per ulteriori informazioni, consulta le policy di controllo dei servizi nella AWS Organizations User Guide.

  • Politiche di controllo delle risorse (RCP): imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta le policy di controllo delle risorse (RCP) nella AWS Organizations User Guide.

  • Politiche di sessione: politiche avanzate passate come parametro durante la creazione di una sessione temporanea per un ruolo o un utente federato. Per ulteriori informazioni, consulta Policy di sessione nella Guida per l’utente IAM.

Più tipi di policy

Quando a una richiesta si applicano più tipi di politiche, le autorizzazioni risultanti sono più complicate da comprendere. Per informazioni su come AWS determina se consentire una richiesta quando sono coinvolti più tipi di policy, consulta Logica di valutazione delle policy nella Guida per l'utente di IAM.