Fase 1: Creazione di una policy IAM Fase 2: Creare un ruolo di esecuzione Best practice di sicurezza

Configurazione delle autorizzazioni IAM

Amazon Location Jobs richiede un ruolo di esecuzione IAM che conceda al servizio l'autorizzazione ad accedere ai bucket Amazon S3. Quando esegui un lavoro, Amazon Location assume questo ruolo per leggere i file di input dal tuo bucket di input e scrivere i risultati di output nel tuo bucket di output per tuo conto. Fornisci queste autorizzazioni creando una policy IAM con le autorizzazioni Amazon S3 richieste e collegandola a un ruolo IAM con una policy di fiducia che consenta al servizio Amazon Location di assumere il ruolo.

Nota

I bucket di input e output di Amazon S3 che crei devono esistere nello stesso Regione AWS luogo in cui prevedi di eseguire i processi. Le risorse IAM che crei devono essere create nello stesso account.

Fase 1: Creazione di una policy IAM

Crea una policy IAM che conceda le autorizzazioni necessarie per i lavori di Amazon Location.

Per creare una policy IAM per i lavori di Amazon Location

Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione, scegli Policy.
Scegli Create Policy (Crea policy).

Scegli la scheda JSON e inserisci il seguente documento di policy, sostituendo INPUT_BUCKET_NAME e OUTPUT_BUCKET_NAME con i nomi dei bucket:


{
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket",
        "s3:GetObjectVersion",
        "s3:GetBucketVersioning"
      ],
      "Resource": [
        "arn:aws:s3:::INPUT_BUCKET_NAME",
        "arn:aws:s3:::INPUT_BUCKET_NAME/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:AbortMultipartUpload"
      ],
      "Resource": [
        "arn:aws:s3:::OUTPUT_BUCKET_NAME/*"
      ]
    }
  ]
}

Scegli Next (Successivo).
Per il nome della policy, inserisci un nome descrittivo, ad esempio LocationJobsS3AccessPolicy.
Scegli Crea policy.

La tabella seguente descrive le autorizzazioni concesse da questa politica:

Autorizzazione	Description
`s3:GetObject`	Consente ad Amazon Location di leggere i file di input dal tuo bucket di input.
`s3:ListBucket`	Consente ad Amazon Location di elencare i file nel tuo bucket di input per identificare tutti i file di input da elaborare.
`s3:GetObjectVersion`	Consente ad Amazon Location di accedere a versioni specifiche dei file di input. Obbligatorio perché il controllo delle versioni deve essere abilitato nei bucket.
`s3:GetBucketVersioning`	Consente ad Amazon Location di verificare che il controllo delle versioni sia abilitato sul tuo bucket di input.
`s3:PutObject`	Consente ad Amazon Location di scrivere i risultati di output nel tuo bucket di output.
`s3:AbortMultipartUpload`	Consente ad Amazon Location di eliminare i caricamenti multiparte non riusciti durante la scrittura di file di output di grandi dimensioni.

Nota

Questa politica segue il principio del privilegio minimo concedendo solo le autorizzazioni necessarie per il funzionamento di Amazon Location Jobs. La policy limita le autorizzazioni di lettura al bucket di input e le autorizzazioni di scrittura al bucket di output.

Per creare una policy IAM utilizzando il AWS CLI

Crea un file denominato location-jobs-policy.json con il seguente contenuto, sostituendo INPUT_BUCKET_NAME e OUTPUT_BUCKET_NAME con i nomi dei tuoi bucket:


{
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket",
        "s3:GetObjectVersion",
        "s3:GetBucketVersioning"
      ],
      "Resource": [
        "arn:aws:s3:::INPUT_BUCKET_NAME",
        "arn:aws:s3:::INPUT_BUCKET_NAME/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:AbortMultipartUpload"
      ],
      "Resource": [
        "arn:aws:s3:::OUTPUT_BUCKET_NAME/*"
      ]
    }
  ]
}

Crea la politica:


aws iam create-policy \
    --policy-name LocationJobsS3AccessPolicy \
    --policy-document file://location-jobs-policy.json

Annota l'ARN della politica dall'output. Il presente ARN è necessario nella fase successiva.

Fase 2: Creare un ruolo di esecuzione

Crea un ruolo IAM che Amazon Location assume per accedere ai tuoi bucket Amazon S3 durante l'esecuzione del lavoro.

La politica di fiducia consente al servizio Amazon Location (geo.amazonaws.com) di assumere questo ruolo. Questa relazione di fiducia è necessaria per consentire ad Amazon Location di accedere ai bucket Amazon S3 durante l'esecuzione del job.

Per creare un ruolo di esecuzione per i lavori di Amazon Location

Nel pannello di navigazione della console IAM, scegli Roles (Ruoli).
Scegli Crea ruolo.
Per Trusted entity type (Tipo di entità attendibile), scegli Custom trust policy (Policy di attendibilità personalizzata).

Inserisci la seguente politica di fiducia, sostituendola ACCOUNT_ID con l'ID AWS del tuo account:


{
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "geo.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "ACCOUNT_ID"
        }
      }
    }
  ]
}

Scegli Next (Successivo).
Cerca e seleziona la politica che hai creato nella Fase 1 (ad esempioLocationJobsS3AccessPolicy).
Scegli Next (Successivo).
Per Nome ruolo, inserisci un nome descrittivo, ad esempioLocationServiceJobExecutionRole.
Scegli Crea ruolo.

Per creare un ruolo di esecuzione utilizzando il AWS CLI

Crea un file denominato trust-policy.json con il seguente contenuto, sostituendolo ACCOUNT_ID con l'ID AWS del tuo account:


{
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "geo.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "ACCOUNT_ID"
        }
      }
    }
  ]
}

Crea il ruolo:


aws iam create-role \
    --role-name LocationServiceJobExecutionRole \
    --assume-role-policy-document file://trust-policy.json

Allega la politica che hai creato nella Fase 1 (sostituiscila ACCOUNT_ID con l'ID AWS del tuo account e LocationJobsS3AccessPolicy con il nome della tua polizza, se diverso):
```
aws iam attach-role-policy \
    --role-name LocationServiceJobExecutionRole \
    --policy-arn arn:aws:iam::ACCOUNT_ID:policy/LocationJobsS3AccessPolicy
```

Ottieni il ruolo ARN:


aws iam get-role \
    --role-name LocationServiceJobExecutionRole \
    --query 'Role.Arn' \
    --output text

Nota il ruolo ARN dall'output. È necessario questo ARN quando si avviano i lavori utilizzando il ExecutionRoleArn parametro.

Dopo aver creato il ruolo, annota il ruolo ARN. È necessario questo ARN quando si avviano i lavori utilizzando il ExecutionRoleArn parametro. Per ulteriori informazioni, consulta Preparazione dei dati di input.

Best practice di sicurezza

Segui queste best practice di sicurezza durante la configurazione delle autorizzazioni IAM per Amazon Location Jobs:

Usa bucket specifici ARNs: sostituisci i nomi dei bucket segnaposto nella policy con i nomi dei bucket effettivi per limitare l'accesso solo ai bucket che intendi utilizzare.
Bucket di input e output separati: utilizza bucket diversi per input e output per mantenere una chiara separazione tra le autorizzazioni di lettura e scrittura.
Abilita il controllo delle versioni dei bucket Amazon S3: il controllo delle versioni deve essere abilitato sui bucket. Ciò è necessario per il corretto funzionamento di Amazon Location Jobs.
Usa le policy dei bucket Amazon S3: aggiungi le policy dei bucket ai tuoi bucket Amazon S3 per un ulteriore controllo degli accessi oltre alle policy IAM.
Monitora l'utilizzo dei ruoli: da utilizzare per monitorare quando e come il ruolo di esecuzione viene utilizzato da Amazon Location Jobs.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Crea bucket Amazon S3

Preparazione dei dati di input