Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di Quick Suite con IAM
| Si applica a: Enterprise Edition e Standard Edition |
| Destinatari: amministratori di sistema |
Prima di utilizzare IAM per gestire l'accesso ad Amazon Quick Suite, è necessario comprendere quali funzionalità IAM sono disponibili per l'uso con Amazon Quick Suite. Per avere una visione di alto livello di come Amazon Quick Suite e altri AWS servizi funzionano con IAM, consulta AWS Services That Work with IAM nella IAM User Guide.
Argomenti
Policies di Amazon Quick Suite (basate sull'identità)
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Amazon Quick Suite supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta Documentazione di riferimento degli elementi delle policy JSON IAM nella Guida per l'utente IAM.
Puoi utilizzare le credenziali AWS root o le credenziali utente IAM per creare un account Amazon Quick Suite. AWS le credenziali root e di amministratore dispongono già di tutte le autorizzazioni necessarie per gestire l'accesso alle AWS risorse di Amazon Quick Suite.
Tuttavia, consigliamo di proteggere le credenziali root e utilizzare invece le credenziali utente IAM. A tale scopo, puoi creare una policy e collegarla all'utente e ai ruoli IAM che intendi utilizzare per Amazon Quick Suite. La policy deve includere le dichiarazioni appropriate per le attività amministrative di Amazon Quick Suite che devi eseguire, come descritto nelle sezioni seguenti.
Importante
Tieni presente quanto segue quando lavori con le politiche di Quick Suite e IAM:
-
Evita di modificare direttamente una policy creata da Quick Suite. Quando la modifichi tu stesso, Quick Suite non può modificarla. Ciò può causare problemi a livello di policy. Per risolvere il problema, eliminare la policy modificata in precedenza.
-
Se ricevi un errore sulle autorizzazioni quando tenti di creare un account Amazon Quick Suite, consulta Actions Defined by Amazon Quick Suite nella IAM User Guide.
-
In alcuni casi, potresti avere un account Amazon Quick Suite a cui non puoi accedere nemmeno dall'account root (ad esempio, se hai eliminato accidentalmente il relativo servizio di directory). In questo caso, puoi eliminare il tuo vecchio account Amazon Quick Suite e ricrearlo. Per ulteriori informazioni, consulta Eliminazione dell'abbonamento Amazon Quick Suite e chiusura dell'account.
Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale entità principale può eseguire operazioni su quali risorse e in quali condizioni.
L’elemento Action di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l’accesso a un criterio. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le azioni politiche in Amazon Quick Suite utilizzano il seguente prefisso prima dell'azione:quicksight:. Ad esempio, per concedere a qualcuno l'autorizzazione a eseguire un' EC2 istanza Amazon con il funzionamento dell' EC2 RunInstancesAPI Amazon, includi l'ec2:RunInstancesazione nella sua politica. Le istruzioni della policy devono includere un elemento Action o NotAction. Amazon Quick Suite definisce il proprio set di azioni che descrivono le attività che puoi eseguire con questo servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
"Action": [ "quicksight:action1", "quicksight:action2"]
È possibile specificare più azioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola Create, includi la seguente azione:
"Action": "quicksight:Create*"
Amazon Quick Suite offre una serie di azioni AWS Identity and Access Management (IAM). Tutte le azioni di Amazon Quick Suite hanno il prefissoquicksight:, ad esempioquicksight:Subscribe. Per informazioni sull'utilizzo delle azioni di Amazon Quick Suite in una policy IAM, consulta Esempi di policy IAM per Amazon Quick Suite.
Per visualizzare la maggior parte up-to-date delle azioni di Amazon Quick Suite, consulta Actions Defined by Amazon Quick Suite nella IAM User Guide.
Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale entità principale può eseguire operazioni su quali risorse e in quali condizioni.
L’elemento JSON Resource della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo nome della risorsa Amazon (ARN). Per le azioni che non supportano le autorizzazioni a livello di risorsa, utilizzare un carattere jolly (*) per indicare che l’istruzione si applica a tutte le risorse.
"Resource": "*"
Di seguito è riportato un esempio di policy. Significa che l'intermediario a cui questa policy è collegata è in grado di invocare l'operazione CreateGroupMembership su qualsiasi gruppo, a condizione che il nome utente che viene aggiunto al gruppo non sia user1.
{ "Effect": "Allow", "Action": "quicksight:CreateGroupMembership", "Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*", "Condition": { "StringNotEquals": { "quicksight:UserName": "user1" } } }
Alcune azioni di Amazon Quick Suite, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).
"Resource": "*"
Molte operazioni API coinvolgono più risorse. Per specificare più risorse in una singola istruzione, separale ARNs con virgole.
"Resource": [ "resource1", "resource2"
Per visualizzare un elenco dei tipi di risorse di Amazon Quick Suite e i relativi nomi di risorse Amazon (ARNs), consulta Resources Defined by Amazon Quick Suite nella IAM User Guide. Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta Actions Defined by Amazon Quick Suite.
Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale entità principale può eseguire operazioni su quali risorse e in quali condizioni.
L’elemento Condition specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'utente IAM.
Amazon Quick Suite non fornisce chiavi di condizione specifiche del servizio, ma supporta l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta AWS Global Condition Context Keys nella Guida per l'utente IAM.
Esempi
Per visualizzare esempi di politiche basate sull'identità di Amazon Quick Suite, consulta Amazon Quick Suite Policies (basate sull'identità).
Politiche di Amazon Quick Suite (basate sulle risorse)
Amazon Quick Suite non supporta politiche basate sulle risorse. Tuttavia, puoi utilizzare la console Amazon Quick Suite per configurare l'accesso ad altre AWS risorse del tuo Account AWS.
Autorizzazione basata sui tag di Amazon Quick Suite
Amazon Quick Suite non supporta l'etichettatura delle risorse o il controllo dell'accesso in base ai tag.
Ruoli IAM di Amazon Quick Suite
Un ruolo IAM è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche. Puoi utilizzare i ruoli IAM per raggruppare le autorizzazioni per semplificare la gestione dell'accesso degli utenti alle azioni di Amazon Quick Suite.
Amazon Quick Suite non supporta le seguenti funzionalità di ruolo:
-
Ruoli collegati ai servizi.
-
Ruoli dei servizi.
-
Credenziali temporanee (uso diretto): tuttavia, Amazon Quick Suite utilizza credenziali temporanee per consentire agli utenti di assumere un ruolo IAM per accedere ai dashboard integrati. Per ulteriori informazioni, consulta Analisi integrate per Amazon Quick Suite.
Per ulteriori informazioni su come Amazon Quick Suite utilizza i ruoli IAM, consulta Using Amazon Quick Suite with IAM ed esempi di policy IAM per Amazon Quick Suite.
