Le autorizzazioni permettono di controllare gli accessi alle risorse AWS. Le autorizzazioni vengono assegnate a entità IAM (utenti, gruppi e ruoli); di default, tali identità non dispongono di alcuna autorizzazione. In altre parole, le entità IAM non possono eseguire alcuna operazione in AWS finché non vengono assegnate loro delle autorizzazioni. Per farlo, è possibile applicare una policy che specifichi il tipo di accesso, le operazioni consentite e le risorse su cui tali operazioni possono essere eseguite. Inoltre, è possibile specificare una qualsiasi condizione che deve verificarsi perché l'accesso venga consentito o negato.

Come diventare un esperto di policy IAM in meno di 60 minuti
55:38
Come diventare un esperto di policy di AWS IAM in meno di 60 minuti

Inizia a usare AWS gratis

Crea un account gratuito
Oppure accedi alla console

Il piano gratuito di AWS include 750 ore di nodi di cache Micro con Amazon ElastiCache.

Visualizza i dettagli del piano gratuito di AWS »

Per assegnare delle autorizzazioni a un utente, un gruppo, un ruolo o una risorsa, è necessario creare una policy che consenta di specificare:

  • Azioni: quali azioni di servizio AWS sono consentite. Ad esempio, è possibile consentire agli utenti di richiamare il comando ListBucket di Amazon S3. Le operazioni non autorizzate esplicitamente non saranno consentite.
  • Risorse: su quali risorse di AWS le operazioni sono consentite. Ad esempio, su quali bucket Amazon S3 gli utenti potranno eseguire il comando ListBucket? Nessun utente potrà accedere alle risorse a cui non venga esplicitamente autorizzato l'accesso.
  • Effetto: l'autorizzazione o meno di accesso. Poiché l'accesso è bloccato di default, in genere l'effetto di una policy è quello di consentire l'accesso.
  • Condizioni: quali condizioni devono verificarsi perché la policy venga applicata. Ad esempio, è possibile consentire l'accesso solo a determinati bucket S3 se l'utente si connette da un intervallo di indirizzi IP specifico, oppure se esegue il login con l'autenticazione a più fattori.

Si creano le policy utilizzando l'editor visivo o JSON. Una policy è composta da una o più istruzioni, ognuna delle quali descrive un set di permessi. Per ulteriori informazioni sulla sintassi delle policy, consulta il documento AWS IAM Policy Reference.

L'editor visivo ti spiega come concedere autorizzazioni utilizzando le policy IAM senza dover scrivere le policy in JSON (anche se è sempre possibile redigerle e modificarle in JSON, se preferisci). La policy nella schermata seguente è stata creata con l'editor visivo. Consente cinque azioni List e Read di Amazon S3 al bucket S3 e oggetti in SampleBucket se il prefisso inizia con MyPrefix.

Schermata dell'editor visivo

Se usi la console di gestione AWS per gestire le autorizzazioni, puoi visualizzare i riepiloghi delle policy. Nel riepilogo della policy è riportato il livello di accesso, le risorse e le condizioni di ciascun servizio definito in una policy (guarda la seguente schermata a titolo di esempio). Per aiutarti a capire le autorizzazioni definite in una policy, le azioni di ciascun servizio AWS sono categorizzate in quattro livelli di accesso: List, Read, Write e Permissions management.

Schermata del riepilogo di una policy

È possibile selezionare una policy predefinita gestita da AWS oppure crearne una utilizzando lo strumento di generazione di policy. Per ulteriori informazioni, consulta la sezione Overview of IAM Policies nella guida Using IAM.