Creare un ruolo per un provider di identità di terza parte (federazione) - AWS Identity and Access Management
Creazione di un ruolo per gli utenti federati (console)Creazione di un ruolo per l'accesso federato (AWS CLI)Creazione di un ruolo per l'accesso federato (API AWS)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creare un ruolo per un provider di identità di terza parte (federazione)

Puoi utilizzare i provider di identità anziché creare utenti IAM nel tuo Account AWS. I provider di identità (IdP) ti permettono di gestire le identità degli utenti al di fuori di AWS e di fornire a tali utenti esterni le autorizzazioni di identità per accedere alle risorse AWS nel tuo account. Per ulteriori informazioni sulla federazione e sui provider di identità, consultare Provider di identità e federazione.

Creazione di un ruolo per gli utenti federati (console)

Le procedure per la creazione di un ruolo per gli utenti federati dipendono dai provider di terze parti disponibili:

Creazione di un ruolo per l'accesso federato (AWS CLI)

Le procedure per creare un ruolo per il provider di identità supportato (OIDC o SAML) dalla AWS CLI sono identiche. La differenza consiste nel contenuto della policy di affidabilità creata in passaggi preliminari. Inizia seguendo le fasi descritte nella sezione dei prerequisiti per il tipo di provider in uso:

La creazione di un ruolo da AWS CLI richiede più passaggi. Quando si utilizza la console per creare un ruolo, molte delle fasi vengono eseguite senza alcun intervento da parte dell'utente, ma con AWS CLI ogni fase deve essere eseguita personalmente. È necessario creare il ruolo e quindi assegnargli una policy di autorizzazione. Puoi anche scegliere di impostare il limite delle autorizzazioni per il ruolo.

Per creare un ruolo per la federazione delle identità (AWS CLI)

  1. Creare un ruolo: aws iam create-role

  2. Collegare una policy delle autorizzazioni al ruolo: aws iam attach-role-policy

    oppure

    Creare una policy delle autorizzazioni inline per il ruolo: aws iam put-role-policy

  3. (Facoltativo) Aggiungere attributi personalizzati al ruolo collegando tag: aws iam tag-role

    Per ulteriori informazioni, consulta Gestione di tag sui ruoli IAM (AWS CLI o API AWS).

  4. (Facoltativo) Impostare il limite delle autorizzazioni per il ruolo: aws iam put-role-permissions-boundary

    Il limite delle autorizzazioni controlla il numero massimo di autorizzazioni che è possibile concedere a un ruolo. I limiti delle autorizzazioni sono una caratteristica avanzata di AWS.

L'esempio seguente mostra i primi due passaggi, più comuni, per la creazione di un ruolo del provider di identità in un ambiente semplice. Questo esempio permette agli utenti dell'account 123456789012 di assumere il ruolo e visualizzare il bucket example_bucket di Amazon S3. Questo esempio presuppone inoltre l'utilizzo di AWS CLI su un computer con Windows in esecuzione e su cui sia già stato configurato AWS CLI con le credenziali dell'utente. Per ulteriori informazioni, consultare la pagina relativa alla configurazione di AWS Command Line Interface.

La policy di attendibilità di esempio riportata di seguito è progettata per un'app per dispositivi mobili in cui l'utente accede tramite Amazon Cognito. In questo esempio, us-east:12345678-ffff-ffff-ffff-123456 rappresenta l'ID del pool di identità assegnato da Amazon Cognito.

{
    "Version": "2012-10-17",
    "Statement": {
        "Sid": "RoleForCognito",
        "Effect": "Allow",
        "Principal": {"Federated": "cognito-identity.amazonaws.com"},
        "Action": "sts:AssumeRoleWithWebIdentity",
        "Condition": {"StringEquals": {"cognito-identity.amazonaws.com:aud": "us-east:12345678-ffff-ffff-ffff-123456"}}
    }
}

La policy delle autorizzazioni seguente consente agli utenti che assumono il ruolo di eseguire solo l'operazione ListBucket sul bucket example_bucket di Amazon S3.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::example_bucket"
  }
}

Per creare questo ruolo Test-Cognito-Role, è prima necessario salvare la policy di attendibilità precedente con il nome trustpolicyforcognitofederation.json e la policy di autorizzazione precedente con il nome permspolicyforcognitofederation.json nella cartella policies dell'unità C: locale. È quindi possibile utilizzare i comandi seguenti per creare il ruolo e collegare la policy inline.

# Create the role and attach the trust policy that enables users in an account to assume the role.
$ aws iam create-role --role-name Test-Cognito-Role --assume-role-policy-document file://C:\policies\trustpolicyforcognitofederation.json

# Attach the permissions policy to the role to specify what it is allowed to do.
aws iam put-role-policy --role-name Test-Cognito-Role --policy-name Perms-Policy-For-CognitoFederation --policy-document file://C:\policies\permspolicyforcognitofederation.json

Creazione di un ruolo per l'accesso federato (API AWS)

Le procedure per creare un ruolo per il provider di identità supportato (OIDC o SAML) dalla AWS CLI sono identiche. La differenza consiste nel contenuto della policy di affidabilità creata in passaggi preliminari. Inizia seguendo le fasi descritte nella sezione dei prerequisiti per il tipo di provider in uso:

Per creare un ruolo per la federazione delle identità (API AWS)

  1. Creare un ruolo: CreateRole

  2. Collegare una policy delle autorizzazioni al ruolo: AttachRolePolicy

    oppure

    Creare una policy delle autorizzazioni inline per il ruolo: PutRolePolicy

  3. (Facoltativo) Aggiungere attributi personalizzati all'utente collegando tag: TagRole

    Per ulteriori informazioni, consulta Gestione di tag di utenti IAM (AWS CLI o API AWS).

  4. (Facoltativo) Impostare il limite delle autorizzazioni per il ruolo: PutRolePermissionsBoundary

    Il limite delle autorizzazioni controlla il numero massimo di autorizzazioni che è possibile concedere a un ruolo. I limiti delle autorizzazioni sono una caratteristica avanzata di AWS.