Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS Health esempi di politiche basate sull'identità
Per impostazione predefinita, gli utenti e i ruoli IAM non dispongono dell'autorizzazione per creare o modificare risorse AWS Health . Inoltre, non possono eseguire attività utilizzando l' AWS API Console di gestione AWS AWS CLI, o. Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore deve quindi allegare queste policy a utenti o IAM che richiedono tali autorizzazioni.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente IAM*.
**Topics**
+ [Best practice delle policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console AWS Health](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Accesso alla AWS Health dashboard e all'API AWS Health](#security_iam_id-based-policy-examples-access-dashboard)
+ [Condizioni basate su risorse e operazioni](#resource-action-based-conditions)
## Best practice delle policy
Identity-based le politiche determinano se qualcuno può creare, accedere o eliminare AWS Health risorse nel tuo account. Queste operazioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** a utenti e carichi di lavoro, utilizza le *politiche AWS gestite* che concedono le autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console AWS Health
Per accedere alla AWS Health console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle AWS Health risorse del tuo AWS account. Se crei una policy basata su identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti e ruoli IAM) associate a tale policy.
Per garantire che tali entità possano ancora utilizzare la AWS Health console, puoi allegare la seguente politica AWS gestita, [https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess).
La `AWSHealthFullAccess` politica concede a un'entità l'accesso completo a quanto segue:
+ Abilita o disabilita la funzionalità di visualizzazione AWS Health organizzativa per tutti gli account di un' AWS organizzazione
+ La AWS Health dashboard nella AWS Health console
+ AWS Health Operazioni e notifiche delle API
+ Visualizza le informazioni sugli account che fanno parte della tua AWS organizzazione
+ Visualizza le unità organizzative (OU) dell'account di gestione
**Example : AWSHealthFullAccess**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"health:*",
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "health.amazonaws.com"
}
}
}
]
}
```
**Nota**
È inoltre possibile utilizzare la politica `Health_OrganizationsServiceRolePolicy` AWS gestita, in modo da AWS Health visualizzare gli eventi di altri account dell'organizzazione. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per AWS Health](using-service-linked-roles.md).
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è possibile accedere solo alle operazioni che soddisfano l’operazione API che stai cercando di eseguire.
Per ulteriori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Accesso alla AWS Health dashboard e all'API AWS Health
La AWS Health Dashboard è disponibile per tutti AWS gli account. L' AWS Health API è disponibile solo per gli account con un piano AWS Business Support\+, AWS Enterprise Support o AWS Unified Operations. Per ulteriori informazioni, consulta [Supporto](https://aws.amazon.com/premiumsupport/).
Puoi utilizzare IAM per creare entità (utenti, gruppi o ruoli) e quindi concedere a tali entità le autorizzazioni per accedere alla AWS Health dashboard e all'API. AWS Health
Per impostazione predefinita, gli utenti IAM non hanno accesso alla AWS Health dashboard o all' AWS Health API. Consenti agli utenti di accedere alle AWS Health informazioni del tuo account allegando le policy IAM a un singolo utente, a un gruppo di utenti o a un ruolo. Per ulteriori informazioni, consulta [Identità (utenti, gruppi e ruoli)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) e la [Panoramica delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/PoliciesOverview.html).
Dopo aver creato utenti IAM, puoi fornire loro una password. Quindi, possono accedere al tuo account e visualizzare le AWS Health informazioni utilizzando una pagina di accesso specifica per l'account. Per ulteriori informazioni, consulta [Modalità di accesso degli utenti al tuo account](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html).
**Nota**
Un utente IAM con le autorizzazioni per visualizzare la AWS Health dashboard ha accesso in sola lettura alle informazioni sanitarie di tutti i AWS servizi dell'account, che possono includere, a titolo esemplificativo, ID di AWS risorse come ID di istanza Amazon EC2, indirizzi IP delle istanze EC2 e notifiche di sicurezza generali.
Ad esempio, se una policy IAM concede l'accesso solo a AWS Health Dashboard e all' AWS Health API, l'utente o il ruolo a cui si applica la policy può accedere a tutte le informazioni pubblicate sui AWS servizi e sulle risorse correlate, anche se altre policy IAM non consentono tale accesso.
Puoi utilizzare due gruppi di API per. AWS Health
+ Account individuali: puoi utilizzare operazioni come [DescribeEvents](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEvents.html)e [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html)per ottenere informazioni sugli AWS Health eventi relativi al tuo account.
+ Account organizzativo: puoi utilizzare operazioni come [DescribeEventsForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventsForOrganization.html)e [DescribeEventDetailsForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetailsForOrganization.html)ottenere informazioni sugli AWS Health eventi per gli account che fanno parte della tua organizzazione.
Per ulteriori informazioni sulle operazioni API disponibili, consulta l'[AWS Health API Reference](https://docs.aws.amazon.com/health/latest/APIReference/).
### Singole operazioni
Puoi impostare l'`Action`elemento di una policy IAM su`health:Describe*`. Ciò consente l'accesso alla AWS Health Dashboard e AWS Health. AWS Health supporta il controllo degli accessi agli eventi basati sul servizio `eventTypeCode` and.
#### Descrivere l'accesso
Questa dichiarazione politica concede l'accesso a AWS Health Dashboard e a qualsiasi operazione dell'API. `Describe*` AWS Health Ad esempio, un utente IAM con questa policy può accedere alla AWS Health Dashboard in Console di gestione AWS e richiamare l'operazione AWS Health `DescribeEvents` API.
**Example : Descrivere l'accesso**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:Describe*"
],
"Resource": "*"
}]
}
```
#### Negare l'accesso
Questa dichiarazione politica nega l'accesso a AWS Health Dashboard e all' AWS Health API. Un utente IAM con questa policy non può visualizzare la AWS Health Dashboard nella Dashboard Console di gestione AWS e non può richiamare nessuna delle operazioni AWS Health API.
**Example : Negare l'accesso**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"health:*"
],
"Resource": "*"
}]
}
```
### Visualizzazione organizzativa
Se desideri abilitare la visualizzazione organizzativa per AWS Health, devi consentire l'accesso alle AWS Organizations azioni AWS Health e.
L'`Action`elemento di una policy IAM deve includere le seguenti autorizzazioni:
+ `iam:CreateServiceLinkedRole`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:DescribeAccount`
+ `organizations:DisableAWSServiceAccess`
+ `organizations:ListAccounts`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListParents`
*Per comprendere le esatte autorizzazioni necessarie per ciascuna API, consulta [Actions defined by AWS Health APIs and Notifications](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-actions-as-permissions) nella IAM User Guide.*
**Nota**
È necessario utilizzare le credenziali dell'account di gestione di un'organizzazione per accedere alle API. AWS Health AWS Organizations Per ulteriori informazioni, consulta [Aggregazione di AWS Health eventi tra account](aggregate-events.md).
#### Consenti l'accesso alla visualizzazione organizzativa AWS Health
Questa dichiarazione politica garantisce l'accesso a tutte AWS Health le AWS Organizations azioni necessarie per la funzionalità di visualizzazione organizzativa.
**Example : Consenti l'accesso alla visualizzazione AWS Health organizzativa**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"health:*",
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*"
}
]
}
```
#### Negare l'accesso alla visualizzazione AWS Health organizzativa
Questa dichiarazione politica nega l'accesso alle AWS Organizations azioni ma consente l'accesso alle AWS Health azioni per un singolo account.
**Example : nega l'accesso alla visualizzazione AWS Health organizzativa**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Deny",
"Action": [
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*"
}
]
}
```
**Nota**
Se l'utente o il gruppo a cui desideri concedere le autorizzazioni dispone già di una policy IAM, puoi aggiungere la dichiarazione AWS Health di policy specifica a tale policy.
## Condizioni basate su risorse e operazioni
AWS Health supporta [le condizioni IAM per le](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) operazioni [ DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html)e [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html)API. Puoi utilizzare condizioni basate su risorse e azioni per limitare gli eventi che l' AWS Health API invia a un utente, gruppo o ruolo.
A tale scopo, aggiorna il `Condition` blocco della policy IAM o imposta l'`Resource`elemento. Puoi utilizzare [String Conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String) per limitare l'accesso in base a determinati campi di AWS Health eventi.
Puoi utilizzare i seguenti campi quando specifichi un AWS Health evento nella tua politica:
+ `eventTypeCode`
+ `service`
**Note**
Le operazioni [ DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html)e le [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html)API supportano le autorizzazioni a livello di risorsa. Ad esempio, puoi creare una politica per consentire o negare eventi specifici. AWS Health
Le operazioni [ DescribeAffectedEntitiesForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntitiesForOrganization.html)e [DescribeEventDetailsForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetailsForOrganization.html)API non supportano le autorizzazioni a livello di risorsa.
*Per ulteriori informazioni, consulta [Azioni, risorse e chiavi di condizione per AWS Health API e notifiche nel Service Authorization Reference](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthapisandnotifications.html).*
**Example : condizione Action-based**
Questa dichiarazione politica concede l'accesso a AWS Health Dashboard e alle operazioni AWS Health `Describe*` API, ma nega l'accesso a qualsiasi AWS Health evento relativo ad Amazon EC2.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "health:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeAffectedEntities",
"health:DescribeEventDetails"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"health:service": "EC2"
}
}
}
]
}
```
**Example Resource-based : condizione**
La seguente policy ha lo stesso effetto, ma utilizza l'elemento `Resource`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:Describe*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeEventDetails",
"health:DescribeAffectedEntities"
],
"Resource": "arn:aws:health:*::event/EC2/*/*"
}]
}
```
**Example : TypeCode condizione dell'evento**
Questa dichiarazione politica concede l'accesso alla AWS Health Dashboard e alle operazioni dell' AWS Health `Describe*`API, ma nega l'accesso a qualsiasi AWS Health evento `eventTypeCode` che corrisponda. `AWS_EC2_*`
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "health:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeAffectedEntities",
"health:DescribeEventDetails"
],
"Resource": "*",
"Condition": {
"StringLike": {
"health:eventTypeCode": "AWS_EC2_*"
}
}
}
]
}
```
**Importante**
Se chiami le [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html)operazioni [DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html)and e non disponi dell'autorizzazione per accedere all' AWS Health evento, viene `AccessDeniedException` visualizzato l'errore. Per ulteriori informazioni, consulta [Risoluzione dei problemi relativi AWS Health all'identità e all'accesso](security_iam_troubleshoot.md).