Limita le autorizzazioni con le dichiarazioni sulle policy dei ruoli IAM - Guida per l'utente avanzato di AMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Limita le autorizzazioni con le dichiarazioni sulle policy dei ruoli IAM

AMS utilizza un ruolo IAM per impostare le autorizzazioni degli utenti tramite il servizio di federazione.

Landing Zone AMS per account singolo: vedi SALZ: Ruoli utente IAM predefiniti.

Multi-Account Landing Zone AMS: vedi MALZ: Ruoli utente IAM predefiniti.

Un ruolo IAM è un'entità IAM che definisce un insieme di autorizzazioni per effettuare AWS richieste di servizio. I ruoli IAM non sono associati a un utente o gruppo specifico. Invece, le entità attendibili assumono ruoli, come utenti IAM, applicazioni o AWS servizi come Amazon EC2. Per ulteriori informazioni, consulta IAM Roles (Ruoli IAM).

Puoi definire la policy desiderata per un utente che assume il ruolo utente AMS IAM utilizzando l'operazione API AWS Security Token Service (STS) AssumeRoleinserendo una policy IAM più restrittiva nel campo di Policy richiesta.

Di seguito vengono fornite istruzioni politiche di esempio che è possibile utilizzare per limitare l'accesso CT.

Utilizzando i gruppi Active Directory (AD) configurati e l'operazione API AWS Security Token Service (STS) AssumeRole, puoi impostare le autorizzazioni per determinati utenti o gruppi, inclusa la limitazione dell'accesso a determinati tipi di modifiche ()CTs. Puoi utilizzare le dichiarazioni politiche mostrate di seguito per limitare l'accesso CT in vari modi.

Dichiarazione AMS change type nel profilo di istanza IAM predefinito che consente l'accesso a tutte le chiamate API AMS (amscm e amsskms) e a tutti i tipi di modifica:

{
    "Sid": "AWSManagedServicesFullAccess",
    "Effect": "Allow",
    "Action": [
        "amscm:*",
        "amsskms:*"
    ],
    "Resource": [
        "*"
    ]
}

  1. Dichiarazione per consentire l'accesso e tutte le azioni solo per due operazioni specificate CTs, dove «Azione» indica le operazioni dell'API AMS (una amscm o l'altraamsskms) e «Resource» rappresenta il tipo di modifica e il numero di versione esistenti: IDs

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "amscm:*",
            "Resource": [
                "arn:aws:amscm:*:*:changetype/ct-ID1:1.0",
                "arn:aws:amscm:*:*:changetype/ct-ID2:1.0"
            ]
        }
    ]
}

  2. Dichiarazione per CreateRfc consentire l'accesso a e solo SubmitRfc su due specificate CTs: UpdateRfc

  3. Dichiarazione per CreateRfc consentire l'accesso a e SubmitRfc su tutti i dispositivi disponibili CTs: UpdateRfc

  4. Dichiarazione per negare l'accesso a tutte le azioni relative alla TAC con restrizioni e consentire ad altre CTs: