Ruoli IAM - AWS Identity and Access Management
Quando creare un utente IAM invece di un ruoloTermini e concetti dei ruoliRisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruoli IAM

Un ruolo IAM è un'identità IAM che puoi creare nel tuo account e che dispone di autorizzazioni specifiche. Un ruolo IAM è simile a un utente IAM, in quanto è un'identità AWS con policy di autorizzazioni che determinano ciò che l'identità può e non può fare in AWS. Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Tuttavia, quando assumi un ruolo, vengono fornite le credenziali di sicurezza provvisorie per la sessione del ruolo.

Puoi utilizzare i ruoli per delegare l'accesso agli utenti, alle applicazioni o ai servizi che generalmente non hanno accesso alle tue risorse AWS. Ad esempio, è possibile concedere agli utenti nel tuo AWS l'accesso alle risorse a cui generalmente non è concesso oppure concedere agli utenti in un Account AWS l'accesso alle risorse in un altro account. In alternativa, è possibile consentire a un'applicazione mobile l'utilizzo delle risorse AWS senza tuttavia incorporare le chiavi AWS all'interno dell'app, dove l'aggiornamento può essere difficile e dove gli utenti possono potenzialmente estrarle. A volte si desidera offrire l'accesso AWS agli utenti che hanno già definito le identità al di fuori di AWS, ad esempio nella directory aziendale. In alternativa, è possibile concedere l'accesso all'account a terze parti in modo che possano eseguire un controllo sulle proprie risorse.

Per questi scenari, puoi delegare l'accesso a risorse AWS utilizzando un ruolo IAM. Questa sezione introduce i ruoli e i diversi modi in cui è possibile utilizzarli, quando e come selezionare gli approcci, come creare, gestire, cambiare (o assumere) ed eliminare i ruoli.

Nota

Quando crei per la prima volta il tuo Account AWS, per impostazione predefinita non viene creato alcun ruolo. Man mano che aggiungi servizi al tuo account, questi possono aggiungere ruoli collegati ai servizi per supportarne i casi d'uso.

Un ruolo collegato ai servizi è un tipo di ruolo di servizio che è collegato a un Servizio AWS. Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. I ruoli collegati ai servizi sono visualizzati nell'account Account AWSe sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non modificarle.

Prima di poter eliminare i ruoli collegati ai servizi, devi eliminare le risorse associate. Questa procedura protegge le risorse di perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Per informazioni su quali servizi supportano i ruoli collegati ai servizi, consulta la pagina AWS servizi che funzionano con IAM e cerca i servizi per cui è indicato nella colonna Ruolo collegato ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Argomenti

Quando creare un utente IAM invece di un ruolo

Ti consigliamo di utilizzare gli utenti IAM solo per casi d'uso non supportati dagli utenti federati. Alcuni dei casi d'uso sono i seguenti:

  • Carichi di lavoro che non possono utilizzare ruoli IAM: è possibile eseguire un carico di lavoro da una posizione che deve accedere a AWS. In alcune situazioni, non puoi utilizzare i ruoli IAM per fornire le credenziali temporanee, ad esempio per i plugin di WordPress. In queste situazioni, per autenticarti a AWS usa le chiavi di accesso a lungo termine dell'utente IAM per quel carico di lavoro.

  • Client AWS di terzi: se utilizzi strumenti che non supportano l'accesso con IAM Identity Center, ad esempio fornitori o client AWS di terzi non ospitati su AWS, usa le chiavi di accesso a lungo termine dell'utente IAM.

  • Accesso AWS CodeCommit - Se si utilizza CodeCommit per memorizzare il codice, è possibile utilizzare un utente IAM con chiavi SSH o credenziali specifiche del servizio per CodeCommit per l'autenticazione nei repository. Si consiglia di eseguire questa operazione oltre a utilizzare un utente di IAM Identity Center per l'autenticazione normale. Gli utenti di IAM Identity Center sono le persone della tua forza lavoro che hanno bisogno di accedere ai tuoi Account AWS o alle tue applicazioni cloud. Per consentire agli utenti di accedere ai repository di CodeCommit senza configurare gli utenti IAM, puoi configurare l'utilità git-remote-codecommit. Per ulteriori informazioni sulla creazione di policy IAM e CodeCommit consulta Credenziali IAM per CodeCommit: credenziali Git, chiavi SSH e chiavi di accesso AWS. Per ulteriori informazioni sulla configurazione dell'utility git-remote-codecommit, vedi Connessione a repository AWS CodeCommit con rotazione delle credenziali nella Guida per l'utente di AWS CodeCommit.

  • Accesso ad Amazon Keyspaces (per Apache Cassandra): in una situazione in cui non è possibile utilizzare gli utenti in IAM Identity Center, ad esempio per scopi di test per la compatibilità con Cassandra, puoi utilizzare un utente IAM con credenziali specifiche del servizio per l'autenticazione con Amazon Keyspaces. Gli utenti di IAM Identity Center sono le persone della tua forza lavoro che hanno bisogno di accedere ai tuoi Account AWS o alle tue applicazioni cloud. Puoi anche connetterti ad Amazon Keyspaces utilizzando credenziali temporanee. Per ulteriori informazioni, consulta Utilizzo di credenziali temporanee per connettersi ad Amazon Keyspaces utilizzando un ruolo IAM e il plugin SIGv4 nella Guida per gli sviluppatori di Amazon Keyspaces (per Apache Cassandra).

  • Accesso di emergenza: in una situazione in cui non puoi accedere al tuo provider di identità e devi intervenire nel tuo Account AWS. Stabilire l'accesso di emergenza per gli utenti IAM può far parte del tuo piano di resilienza. Si consiglia di controllare e proteggere le credenziali degli utenti di emergenza con l'autenticazione a più fattori (MFA).

Termini e concetti dei ruoli

Di seguito sono elencati alcuni termini di base per aiutarti a iniziare a utilizzare i ruoli.

Ruolo

UN'identità IAM che puoi creare nell'account che ha le autorizzazioni specifiche. Un ruolo IAM presenta alcune analogie con un utente IAM. Ruoli e utenti sono entrambi identità AWS con policy di autorizzazioni che determinano ciò che l'identità può o non può fare in AWS. Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Tuttavia, quando assumi un ruolo, vengono fornite le credenziali di sicurezza provvisorie per la sessione del ruolo.

I ruoli possono essere assunti da:

  • Un utente IAM nello stesso Account AWS o in un altro Account AWS

  • Ruoli IAM nello stesso account

  • I principali di servizio, da utilizzare con servizi e funzionalità AWS come:

    • Servizi che consentono di eseguire codice su servizi di calcolo, come Amazon EC2 o AWS Lambda

    • Funzionalità che eseguono azioni sulle tue risorse per tuo conto, come la replica di oggetti Amazon S3

    • Servizi che forniscono credenziali di sicurezza temporanee alle applicazioni eseguite all'esterno di AWS, come IAM Roles Anywhere o Amazon ECS Anywhere

  • Un utente esterno autenticato da un gestore dell'identità digitale (IdP) compatibile con SAML 2.0 o OpenID Connect

Ruolo del servizio AWS

Un ruolo di servizio è un ruolo IAM che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall'interno di IAM. Per ulteriori informazioni, consulta la sezione Create a role to delegate permissions to an Servizio AWS nella Guida per l'utente IAM.

Ruolo collegato al servizio AWS

Un ruolo collegato ai servizi è un tipo di ruolo di servizio che è collegato a un Servizio AWS. Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. I ruoli collegati ai servizi sono visualizzati nell'account Account AWSe sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non modificarle.

Nota

Se stai già utilizzando un servizio quando inizia a supportare i ruoli collegati al servizio, potresti ricevere un'e-mail che annuncia un nuovo ruolo nel tuo account. In questo caso, il servizio ha creato automaticamente il ruolo collegato al servizio nel tuo account. Non è necessario compiere alcuna operazione per supportare questo ruolo e non è necessario eliminarlo manualmente. Per ulteriori informazioni, consulta Un nuovo ruolo appare nell'account AWS.

Per informazioni su quali servizi supportano i ruoli collegati ai servizi, consulta la pagina AWS servizi che funzionano con IAM e cerca i servizi per cui è indicato nella colonna Ruolo collegato ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio. Per ulteriori informazioni, consulta Creare un ruolo collegato ai servizi.

Concatenazione del ruolo

La concatenazione del ruolo si verifica quando si utilizza un ruolo per assumere un secondo ruolo tramite la AWS CLI o l'API. Ad esempio, RoleA dispone dell'autorizzazione per assumere il ruolo RoleB. Puoi abilitare l'Utente1 ad assumere il ruolo RoleA utilizzando le credenziali a lungo termine nell'operazione API AssumeRole. Questa restituisce le credenziali a breve termine del ruolo RoleA. Con la concatenazione del ruolo, puoi utilizzare le credenziali a breve termine del ruolo RoleA per abilitare l'Utente1 ad assumere il ruolo RoleB.

Quando assumi un ruolo, puoi passare un tag di sessione e impostare il tag come transitivo. I tag di sessione transitivi vengono passati a tutte le sessioni successive in una concatenazione del ruolo. Per ulteriori informazioni sui tag di sessione, consulta Passare i tag di sessione in AWS STS.

La concatenazione del ruolo limita la sessione del ruolo AWS CLI o API AWS a un massimo di un'ora. Quando si utilizza l'operazione API AssumeRole per assumere un ruolo, è possibile specificare la durata della sessione del ruolo utilizzando il parametro DurationSeconds. Puoi specificare un valore di parametro fino a 43200 secondi (12 ore), che dipende dall'impostazione della durata massima della sessione per il tuo ruolo. Tuttavia, se assumi un ruolo utilizzando la concatenazione dei ruoli e fornisci un valore del parametro DurationSeconds maggiore di un'ora, l'operazione ha esito negativo.

Delega

La concessione delle autorizzazioni a un altro utente per permettere l'accesso alle risorse di controllo. La delega comporta la configurazione di un trust tra due account. Il primo è l'account proprietario della risorsa (l'account che concede fiducia). Il secondo è l'account che contiene gli utenti che devono accedere alla risorsa (l'account attendibile). L'account a cui viene concessa fiducia e l'account che concede fiducia possono essere uno dei seguenti:

  • Lo stesso account.

  • Account diversi che sono comunque sotto il controllo della tua organizzazione.

  • Due account di proprietà di organizzazioni diverse.

Per delegare l'autorizzazione per accedere a una risorsa, crea un ruolo IAM nell'account che concede fiducia che ha due policy collegate. Le policy di autorizzazioni concedono all'utente del ruolo le autorizzazioni necessarie per eseguire le attività previste sulla risorsa. La policy di attendibilità specifica quali membri degli account a cui viene concessa fiducia sono autorizzati ad assumere il ruolo.

Quando si crea una politica di affidabilità, non è possibile specificare un carattere jolly (*) come parte di un ARN come elemento principale. La policy di affidabilità è associata al ruolo nell'account che concede fiducia e rappresenta una metà delle autorizzazioni. L'altra metà è una policy delle autorizzazioni collegata all'utente nell'account a cui viene concessa fiducia che consente a quell'utente di passare al ruolo o di assumerlo. Un utente che assume un ruolo temporaneamente cede le proprie autorizzazioni e ottiene le autorizzazioni del ruolo. Quando l'utente esce o termina l'utilizzo del ruolo, le autorizzazioni originali dell'utente vengono ripristinate. Un parametro aggiuntivo chiamato external ID contribuisce a garantire sicuro l'uso dei ruoli tra gli account che non vengono controllati dalla stessa organizzazione.

Policy di trust

Documento di policy JSON in cui si definiscono i principali considerati attendibili per assumere il ruolo. Una policy di attendibilità del ruolo è una policy basata sulle risorse collegata a un ruolo in IAM. I principali che è possibile specificare nella policy di attendibilità includono utenti, ruoli, account e servizi.

Ruolo per l'accesso tra account

Un ruolo che concede l'accesso alle risorse in un account a un principale affidabile in un diverso account. I ruoli sono lo strumento principale per concedere l'accesso multi-account. Tuttavia, alcuni dei servizi AWS ti consentono di collegare una policy direttamente a una risorsa (invece di utilizzare un ruolo come proxy). Queste sono chiamate policy basate su risorse e possono essere utilizzate per concedere principali in altri accessi Account AWS alla risorsa. Alcune di queste risorse includono bucket Amazon Simple Storage Service (S3), vault S3 Glacier, argomenti Amazon Simple Notification Service (SNS) e code Amazon Simple Queue Service (SQS). Per informazioni su quali servizi supportano le policy basate su risorse, consulta AWS servizi che funzionano con IAM. Per ulteriori informazioni sulle policy basate sulle risorse, consulta Accesso alle risorse multi-account in IAM.

Risorse aggiuntive

Le seguenti risorse possono rivelarsi utili per saperne di più sulla terminologia di IAM relativa ai ruoli IAM.

  • I principali sono entità in AWS che possono eseguire operazioni e accedere alle risorse. Un principale può essere un Utente root dell'account AWS, un utente IAM o un ruolo. Un principale che rappresenta l'identità di un servizio AWS è un principale di servizio. Utilizza l'elemento Principal nelle policy di attendibilità per il ruolo per definire i principali attendibili per assumere il ruolo.

    Per ulteriori informazioni ed esempi di principali a cui è possibile consentire l'assunzione di un ruolo, consulta AWS JSONelementi politici: Principal.

  • La federazione delle identità crea una relazione di fiducia tra un provider di identità esterno e AWS. Puoi utilizzare il tuo provider OpenID Connect (OIDC) o Security Assertion Markup Language (SAML) 2.0 esistente per gestire chi può accedere alle risorse AWS. Quando usi OIDC e SAML 2.0 per configurare una relazione di attendibilità tra questi provider di identità esterni e AWS, l'utente viene assegnato a un ruolo IAM. e riceve credenziali provvisorie che gli consentono di accedere alle tue risorse AWS.

    Per ulteriori informazioni sugli utenti federati, consulta Provider di identità e federazione.

  • Gli utenti federati sono identità esistenti in AWS Directory Service, nella tua directory di utente aziendale o in un provider OIDC. Sono noti come utenti federati. AWS assegna un ruolo a un utente federato quando è richiesto l'accesso tramite un provider di identità.

    Per ulteriori informazioni sugli utenti federati, consulta Utenti federati e ruoli.

  • Le policy di autorizzazione sono policy basate sull'identità che definiscono le azioni e le risorse che il ruolo può utilizzare. Il documento è scritto in base alle regole del linguaggio della policy IAM.

    Per ulteriori informazioni, consulta Riferimento alla policy JSON IAM.

  • Il limite delle autorizzazioni è una funzione avanzata in cui le policy vengono utilizzate per limitare il numero massimo di autorizzazioni che una policy basata su identità può concedere a un ruolo. Non è possibile applicare un limite delle autorizzazioni a un ruolo collegato al servizio.

    Per ulteriori informazioni, consulta Limiti delle autorizzazioni per le entità IAM.