Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Policy di controllo delle risorse (RCP)
Nota
Politiche di controllo dei servizi (SCP) e politiche di controllo delle risorse (RCP)
Utilizza un SCP quando devi limitare le autorizzazioni dei responsabili IAM all'interno degli account dei membri della tua organizzazione.
Utilizza un RCP quando devi limitare i responsabili IAM esterni agli account dell'organizzazione che effettuano richieste di accesso alle risorse all'interno degli account dei membri dell'organizzazione.
Per ulteriori informazioni, consulta Understanding SCP and RCP.
Le politiche di controllo delle risorse (RCP) sono un tipo di politica organizzativa che è possibile utilizzare per gestire le autorizzazioni all'interno dell'organizzazione. Gli RCP offrono il controllo centralizzato sulle autorizzazioni massime disponibili per le risorse dell'organizzazione. Gli RCP ti aiutano a garantire che le risorse dei tuoi account rispettino le linee guida per il controllo degli accessi dell'organizzazione. Gli RCP sono disponibili solo in un'organizzazione che ha tutte le funzionalità abilitate. Gli RCP non sono disponibili se l'organizzazione ha abilitato solo le funzionalità di fatturazione consolidata. Per istruzioni sull'attivazione degli RCP, consulta. Abilitazione di un tipo di policy
Gli RCP da soli non sono sufficienti per concedere le autorizzazioni alle risorse dell'organizzazione. Nessun permesso viene concesso da un RCP. Un RCP definisce una barriera di autorizzazioni, o impone dei limiti, alle azioni che le identità possono intraprendere sulle risorse delle organizzazioni. L'amministratore deve comunque collegare politiche basate sull'identità agli utenti o ai ruoli IAM o politiche basate sulle risorse alle risorse dei tuoi account per concedere effettivamente le autorizzazioni. Per ulteriori informazioni, consulta le policy e le Identity-based policy basate sulle risorse nella IAM User Guide.
Le autorizzazioni effettive sono l'intersezione logica tra ciò che è consentito dagli RCP e dalle politiche di controllo dei servizi (SCP) e ciò che è consentito dalle politiche basate sull'identità e sulle risorse.
Gli RCP non influiscono sulle risorse dell'account di gestione
Gli RCP non influiscono sulle risorse dell'account di gestione. Influiscono solo sulle risorse degli account dei membri all'interno dell'organizzazione. Ciò significa anche che gli RCP si applicano agli account dei membri designati come amministratori delegati.
Elenco di Servizi AWS che supportano gli RCP
Gli RCP si applicano alle azioni relative a quanto segue: Servizi AWS
Effetti dei test degli RCP
AWS consiglia vivamente di non collegare gli RCP alla radice dell'organizzazione senza aver testato a fondo l'impatto che la politica ha sulle risorse dei propri account. È possibile iniziare collegando gli RCP ai singoli account di test, trasferendoli alle unità organizzative più basse nella gerarchia e poi risalire all'interno della struttura organizzativa, se necessario. Un modo per determinarne l'impatto consiste nell'esaminare i log per verificare la presenza di errori di AWS CloudTrail accesso negato.
Dimensione massima degli RCP
Tutti i caratteri del tuo RCP vengono conteggiati ai fini della dimensione massima. Gli esempi di questa guida mostrano gli RCP formattati con uno spazio bianco aggiuntivo per migliorarne la leggibilità. Tuttavia, per risparmiare spazio se la dimensione della policy è prossima alla dimensione massima, puoi eliminare qualsiasi spazio vuoto, come i caratteri spazio e le interruzioni di linea che si trovano al di fuori delle virgolette.
Suggerimento
Usa l'editor visivo per creare il tuo RCP. Rimuove automaticamente lo spazio vuoto aggiuntivo.
Collegamento degli RCP a diversi livelli dell'organizzazione
È possibile allegare gli RCP direttamente ai singoli account, alle unità organizzative o alla radice dell'organizzazione. Per una spiegazione dettagliata del funzionamento degli RCP, consulta. Valutazione RCP
Effetti RCP sulle autorizzazioni
Gli RCP sono un tipo di policy AWS Identity and Access Management (IAM). Sono strettamente correlati alle politiche basate sulle risorse. Tuttavia, un RCP non concede mai le autorizzazioni. Gli RCP sono invece controlli di accesso che specificano le autorizzazioni massime disponibili per le risorse dell'organizzazione. Per ulteriori informazioni, consulta Logica di valutazione delle policy nella Guida per l’utente di IAM.
-
Gli RCP si applicano alle risorse per un sottoinsieme di. Servizi AWS Per ulteriori informazioni, consulta Elenco di Servizi AWS che supportano gli RCP.
-
Gli RCP influiscono solo sulle risorse gestite da account che fanno parte dell'organizzazione che ha collegato gli RCP. Non influiscono sulle risorse degli account esterni all'organizzazione. Ad esempio, considera un bucket Amazon S3 di proprietà dell'account A di un'organizzazione. La bucket policy (una politica basata sulle risorse) consente l'accesso agli utenti dell'Account B esterni all'organizzazione. All'account A è associato un RCP. Tale RCP si applica al bucket S3 nell'Account A anche quando vi accedono utenti dell'Account B. Tuttavia, tale RCP non si applica alle risorse dell'Account B quando vi accedono gli utenti dell'Account A.
-
Un RCP limita le autorizzazioni per le risorse negli account dei membri. Qualsiasi risorsa in un account dispone solo delle autorizzazioni consentite da ogni genitore superiore a tale account. Se un'autorizzazione è bloccata a qualsiasi livello superiore a quello dell'account, una risorsa nell'account interessato non dispone di tale autorizzazione, anche se il proprietario della risorsa stabilisce una politica basata sulle risorse che consente l'accesso completo a qualsiasi utente.
-
Gli RCP si applicano alle risorse autorizzate come parte di una richiesta operativa. Queste risorse sono disponibili nella colonna «Tipo di risorsa» della tabella Azione del Service Authorization Reference. Se una risorsa è specificata nella colonna «Tipo di risorsa», vengono applicati gli RCP dell'account principale chiamante. Ad esempio,
s3:GetObjectautorizza la risorsa oggetto. Ogni volta che viene effettuata unaGetObjectrichiesta, verrà applicato un RCP applicabile per determinare se il principale richiedente può richiamare l'operazione.GetObjectUn RCP applicabile è un RCP collegato a un account, a un'unità organizzativa (OU) o alla radice dell'organizzazione proprietaria della risorsa a cui si accede. -
Gli RCP influiscono solo sulle risorse degli account dei membri dell'organizzazione. Non hanno alcun effetto sulle risorse dell'account di gestione. Ciò significa anche che gli RCP si applicano agli account dei membri designati come amministratori delegati. Per ulteriori informazioni, consulta Best practice per l'account di gestione.
-
Quando un principale effettua una richiesta di accesso a una risorsa all'interno di un account a cui è collegato un RCP (una risorsa con un RCP applicabile), l'RCP viene incluso nella logica di valutazione delle politiche per determinare se al principale è consentito o negato l'accesso.
-
Gli RCP influiscono sulle autorizzazioni effettive dei responsabili che cercano di accedere alle risorse di un account membro con un RCP applicabile, indipendentemente dal fatto che i responsabili appartengano o meno alle stesse organizzazioni. Ciò include gli utenti root. L'eccezione è quando i principali sono ruoli collegati ai servizi perché gli RCP non si applicano alle chiamate effettuate dai ruoli collegati ai servizi. Service-linked i ruoli consentono Servizi AWS di eseguire le azioni necessarie per conto dell'utente e non possono essere limitati dagli RCP.
-
Agli utenti e ai ruoli devono comunque essere concesse le autorizzazioni con politiche di autorizzazione IAM appropriate, comprese le politiche basate sull'identità e sulle risorse. Un utente o un ruolo senza alcuna policy di autorizzazione IAM non ha accesso, anche se un RCP applicabile consente tutti i servizi, tutte le azioni e tutte le risorse.
Risorse ed entità non limitate dagli RCP
Non è possibile utilizzare gli RCP per limitare quanto segue:
-
Qualsiasi azione sulle risorse dell'account di gestione.
-
Gli RCP non influiscono sulle autorizzazioni effettive di alcun ruolo collegato al servizio. Service-linked i ruoli sono un tipo unico di ruolo IAM collegato direttamente a un AWS servizio e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS Le autorizzazioni dei ruoli collegati ai servizi non possono essere limitate dagli RCP. Inoltre, gli RCP non influiscono sulla capacità AWS dei servizi di assumere un ruolo collegato ai servizi; vale a dire, anche la politica di fiducia del ruolo collegato ai servizi non è influenzata dagli RCP.
-
Gli RCP non si applicano a.Chiavi gestite da AWSAWS Key Management Service Chiavi gestite da AWS vengono creati, gestiti e utilizzati per tuo conto da un. Servizio AWS Non puoi modificare o gestire le loro autorizzazioni.
Gli RCP non influiscono sulle seguenti autorizzazioni:
Servizio "Hello, World!" Risorse non autorizzate dagli RCP AWS Key Management Service kms:RetireGrantGli RCP non influiscono sull'autorizzazione. kms:RetireGrantPer ulteriori informazioni su comekms:RetireGrantviene determinata l'autorizzazione a, consulta Ritiro e revoca delle sovvenzioni nella Guida per gli sviluppatori.AWS KMS