Controllo granulare degli accessi di IAM

Panoramica

Grazie al controllo granulare degli accessi di AWS Identity and Access Management (IAM), puoi impostare le autorizzazioni che determinano quali utenti possono accedere a risorse specifiche e secondo quali condizioni. Utilizza questa funzionalità per proteggere le risorse AWS durante il percorso verso il privilegio minimo

immagine di un lucchetto trasparente

Come funziona

Come funziona: in IAM puoi utilizzare le policy per stabilire quali utenti che possono accedere alle risorse AWS. Puoi collegare le policy sia ai ruoli IAM negli account AWS che alle risorse AWS. IAM confronta ogni richiesta che giunge ad AWS con le policy impostate dall'utente e in base a quest'ultime decide se autorizzare o negare tale richiesta. Per ulteriori informazioni, consulta la sezione Informazioni su come funziona IAM nella Guida per l'utente di IAM.

Il linguaggio delle policy IAM: questo linguaggio, denominato JSON, consente di esprimere i requisiti di accesso in modo dettagliato tramite operazioni, risorse ed elementi di condizione nelle policy. Per ulteriori informazioni, consulta la sezione Riferimento alla policy JSON di IAM.

Tipi di policy per concedere l'accesso: IAM offre la flessibilità di collegare le policy sia ai ruoli IAM sia alle risorse AWS che supportano le policy basate sulle risorse. Le policy basate sulle identità e le policy basate sulle risorse interagiscono per definire il controllo degli accessi. Per ulteriori informazioni sui tipi di policy, consulta la sezione Policy e autorizzazioni in IAM nella Guida per l'utente di IAM.

Guardrail preventivi: grazie ai guardrail preventivi, puoi stabilire il numero massimo di autorizzazioni disponibili per i ruoli IAM. Puoi utilizzare le policy di controllo dei servizi, i limiti delle autorizzazioni e le policy di sessione per controllare le autorizzazioni concesse a un ruolo IAM. Per ulteriori informazioni sulla creazione di guardrail preventivi, consulta la sezione Perimetri dei dati in AWS.

Controllo degli accessi basato su attributi (ABAC): utilizza l'ABAC per stabilire le autorizzazioni granulari in base agli attributi associati ai ruoli IAM, come reparti e mansioni. Concedendo l'accesso alle singole risorse in base agli attributi, non è necessario aggiornare le policy ogni volta che viene aggiunta una nuova risorsa. Per ulteriori informazioni, consulta la pagina ABAC per AWS.

Per informazioni sulla semplificazione della gestione delle autorizzazioni, consulta la pagina IAM Access Analyzer ti guida verso le autorizzazioni con privilegi minimi. Inoltre, guarda AWS identity: Next-generation permissions management per ulteriori informazioni sul controllo granulare degli accessi in IAM.

Funzionamento dei perimetri di dati