Policy gestite e policy inline

Quando imposti le autorizzazioni per un'identità in IAM, dovrai scegliere tra una policy gestita da AWS, una policy gestita dal cliente o una policy inline. Gli argomenti seguenti forniscono ulteriori informazioni su ciascuno dei tipi di policy basate sull'identità e su quando utilizzarli.

AWS policy gestite

Una policy gestita da AWS è una policy autonoma che viene creata e amministrata da AWS. Una policy autonoma è una policy che ha un proprio nome della risorsa Amazon (ARN) che include il nome della policy. Ad esempio, arn:aws:iam::aws:policy/IAMReadOnlyAccess è una policy gestita da AWS. Per ulteriori informazioni sugli ARN, consultare la pagina ARN IAM. Per un elenco delle policy gestite da AWS per Servizi AWS, consulta Policy gestite da AWS.

Le policy gestite da AWS consentono di assegnare facilmente le autorizzazioni appropriate a utenti, gruppi IAM e ruoli. È più veloce della scrittura delle policy in autonomia e include le autorizzazioni per molti casi d'uso comuni.

Non è possibile modificare le autorizzazioni definite nelle policy gestite da AWS. AWS aggiorna di tanto in tanto le autorizzazioni definite in una policy gestita da AWS. Quando AWS effettua questa operazione, l'aggiornamento interessa tutte le entità principali (utenti IAM, gruppi IAM e ruoli IAM) a cui la policy è collegata. È probabile che AWS aggiorni una policy gestita da AWS quando viene lanciato un nuovo servizio AWS o quando nuove chiamate API diventano disponibili per servizi esistenti. Ad esempio, la policy gestita da AWS denominata ReadOnlyAccess fornisce accesso in sola lettura a tutti i Servizi AWS e le risorse. Quando AWS lancia un nuovo servizio, AWS aggiorna la policy ReadOnlyAccess per aggiungere le autorizzazioni di sola lettura per il nuovo servizio. Le autorizzazioni aggiornate vengono applicate a tutte le entità principali a cui la policy è collegata.

Policy gestite da AWS con accesso completo: queste policy definiscono le autorizzazioni per gli amministratori del servizio, concedendo accesso completo a un servizio. Esempi includono:

Policy gestite da AWS per utenti esperti: queste policy forniscono l'accesso completo ai Servizi AWS e alle risorse, ma non consentono la gestione di utenti e gruppi IAM. Esempi includono:

Policy gestite da AWS ad accesso parziale: queste policy forniscono livelli specifici di accesso ai Servizi AWS, ma non consentono la gestione delle autorizzazioni a livello di accesso. Esempi includono:

Policy gestite da AWS per le funzioni lavorative: queste policy si allineano strettamente alle funzioni lavorative comunemente utilizzate nel settore IT e facilitano la concessione delle autorizzazioni per queste funzioni. Uno dei principali vantaggi dell'utilizzo di queste policy per le funzioni lavorative è che sono gestite e aggiornate da AWS, quando nuovi servizi e operazioni API vengono introdotte. Ad esempio, la mansione lavorativa AdministratorAccess fornisce l'accesso completo e la delega delle autorizzazioni a ogni servizio e risorsa in AWS. Si consiglia di utilizzare questa policy solo per l'amministratore dell'account. Per gli utenti avanzati che richiedono accesso completo a ogni servizio, tranne accesso limitato a IAM e Organizations, utilizza la mansione lavorativa PowerUserAccess. Per un elenco e descrizioni delle policy delle mansioni lavorative, consulta Policy gestite AWS per le funzioni lavorative.

Il diagramma seguente illustra le policy gestite da AWS. Il diagramma mostra tre policy gestite da AWS: AdministratorAccess, PowerUserAccess e AWSCloudTrail_ReadOnlyAccess. Si noti che una singola policy gestita da AWS può essere collegata alle entità principali in diversi Account AWS e a diverse entità principali in un singolo Account AWS.

Policy gestite dal cliente

Puoi creare policy autonome nel tuo Account AWS che possono essere collegate a entità principali (utenti IAM, gruppi IAM e ruoli IAM). Puoi creare queste policy gestite dal cliente per i tuoi casi d'uso specifici e modificarle e aggiornarle tutte le volte che desideri. Come per le policy gestite da AWS, quando colleghi una policy a un'entità principale, fornisci all'entità le autorizzazioni definite nella policy. Quando le autorizzazioni della policy vengono aggiornate, le modifiche vengono applicate a tutte le entità principali a cui è collegata la policy.

Un ottimo modo per creare una policy gestita dal cliente è iniziare copiando una policy gestita da AWS esistente. In questo modo è possibile assicurarsi che la policy sia corretta come base ed è sufficiente personalizzarla per il proprio ambiente.

Il diagramma seguente illustra le policy gestite dal cliente. Ogni policy è un'entità in IAM con un proprio Amazon Resource Name (ARN) che include il nome della policy. Si noti che la stessa policy può essere collegata a più entità principali, ad esempio, la stessa policy DynamoDB-books-app è collegata a due diversi ruoli IAM.

Per ulteriori informazioni, consulta la sezione Definire le autorizzazioni IAM personalizzate con policy gestite dal cliente

Policy inline

Una policy in linea è una policy creata per una singola identità IAM (utente, gruppo di utenti o ruolo). Le policy in linea sono utili per mantenere una stretta relazione uno a uno tra una policy e un'identità. Vengono eliminate quando elimini l'identità. È possibile creare una policy e incorporarla in un'identità, sia quando si crea l'identità sia in un secondo momento. Se una policy può essere applicata a più di un'entità, è meglio utilizzare una policy gestita.

Il diagramma seguente illustra le policy inline. Ogni policy è parte integrante dell'utente, gruppo o ruolo. Si noti che i due ruoli includono la stessa policy (la policy DynamoDB-books-app), ma non condividono una singola policy. Ogni ruolo dispone di una propria copia della policy.