Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Creazione di un limite delle autorizzazioni Dopo aver distribuito i set di autorizzazioni, si stabilisce un limite delle autorizzazioni. Questo *limite delle autorizzazioni* è un meccanismo per delegare l'accesso IAM solo agli utenti che stanno sviluppando, testando, lanciando e gestendo l'infrastruttura cloud. Questi utenti possono eseguire solo le azioni consentite dalla policy e dal limite delle autorizzazioni. È possibile definire il limite delle autorizzazioni in un AWS CloudFormation modello e quindi CloudFormation StackSets utilizzarlo per distribuire il modello in più account. Questo ti aiuta a stabilire e mantenere policy standardizzate in tutta l'organizzazione con un'unica operazione. Per ulteriori informazioni e istruzioni, vedete [Lavorare con AWS CloudFormation StackSets (documentazione](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html))CloudFormation . Il seguente CloudFormation modello prevede un ruolo IAM e crea una policy IAM che funge da limite di autorizzazione. Utilizzando un set di stack, puoi implementare questo modello a tutti gli account membri della tua organizzazione. ``` CloudFormationRole: Type: "AWS::IAM::Role" Properties: AssumeRolePolicyDocument: Version: "2012-10-17" Statement: Effect: Allow Principal: Service: !Sub "cloudformation.${AWS::URLSuffix}" Action: "sts:AssumeRole" Condition: StringEquals: "aws:SourceAccount": !Ref "AWS::AccountId" Description: !Sub "DO NOT DELETE - Used by CloudFormation. Created by CloudFormation ${AWS::StackId}" ManagedPolicyArns: - !Sub "arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess" PermissionsBoundary: !Ref DeveloperBoundary RoleName: CloudFormationRole DeveloperBoundary: Type: "AWS::IAM::ManagedPolicy" Properties: Description: Permission boundary for developers ManagedPolicyName: PermissionsBoundary PolicyDocument: Version: "2012-10-17" Statement: - Sid: AllowModifyIamRolesWithBoundary Effect: Allow Action: - "iam:AttachRolePolicy" - "iam:CreateRole" - "iam:DeleteRolePolicy" - "iam:DetachRolePolicy" - "iam:PutRolePermissionsBoundary" - "iam:PutRolePolicy" Resource: !Sub "arn:${AWS::Partition}:iam::${AWS::AccountId}:role/app/*" Condition: ArnEquals: "iam:PermissionsBoundary": !Sub "arn:${AWS::Partition}:iam::${AWS::AccountId}:policy/PermissionsBoundary" - Sid: AllowModifyIamRoles Effect: Allow Action: - "iam:DeleteRole" - "iam:TagRole" - "iam:UntagRole" - "iam:UpdateAssumeRolePolicy" - "iam:UpdateRole" - "iam:UpdateRoleDescription" Resource: !Sub "arn:${AWS::Partition}:iam::${AWS::AccountId}:role/app/*" - Sid: OverlyPermissiveAllowedServices Effect: Allow Action: - "lambda:*" - "apigateway:*" - "events:*" - "s3:*" - "logs:*" Resource: "*" ``` Il **CloudFormationRole**ruolo, la **PermissionsBoundary**policy e il set di **DeveloperAccess**autorizzazioni collaborano per concedere le seguenti autorizzazioni: + Gli utenti hanno accesso in sola lettura alla maggior parte degli utenti Servizi AWS, tramite la **ReadOnlyAccess** AWS policy gestita. + Gli utenti hanno accesso ai casi di supporto aperti, tramite la policy AWS gestita di **AWSSupportaccesso**. + Gli utenti hanno accesso in sola lettura alla dashboard della AWS Billing console, tramite la policy **AWSBillingReadOnlyAccess** AWS gestita. + Gli utenti possono fornire prodotti da Service Catalog, tramite la policy **AWSServiceCatalogEndUserFullAccess** AWS gestita. + Gli utenti sono in grado di convalidare e stimare il costo di qualsiasi CloudFormation modello, tramite la politica in linea. + **Utilizzando il ruolo **CloudFormationRole**IAM, gli utenti possono creare, aggiornare o eliminare qualsiasi CloudFormation stack che inizia con app/.** + **Gli utenti possono utilizzare per CloudFormation creare, aggiornare o eliminare i ruoli IAM che iniziano con app/.** La policy **PermissionsBoundary**IAM impedisce agli utenti di aumentare i propri privilegi. + Gli utenti possono effettuare il provisioning di risorse Amazon AWS Lambda EventBridge CloudWatch, Amazon, Amazon Simple Storage Service (Amazon S3) e Amazon API Gateway solo utilizzando. CloudFormation L'immagine seguente mostra come un utente autorizzato, ad esempio uno sviluppatore, può creare un nuovo ruolo IAM in un account membro utilizzando i set di autorizzazioni, i ruoli IAM e i limiti delle autorizzazioni descritti in questa guida: 1. L'utente si autentica in IAM Identity Center e assume il ruolo IAM. **DeveloperAccess** 1. L'utente avvia l'`cloudformation:CreateStack`azione e assume il ruolo IAM. **CloudFormationRole** 1. L'utente avvia l'`iam:CreateRole`azione e la utilizza CloudFormation per creare un nuovo ruolo IAM. 1. La policy **PermissionsBoundary**IAM viene applicata al nuovo ruolo IAM. ![\[Utente che crea un ruolo IAM soggetto al limite delle autorizzazioni nell'account membro\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/transitioning-to-multiple-aws-accounts/images/2_create-iam-role.png) Al **CloudFormationRole**ruolo è associata la policy [AdministratorAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator)gestita, ma grazie alla policy **PermissionsBoundary**IAM, le autorizzazioni effettive del **CloudFormationRole**ruolo diventano uguali alla **PermissionsBoundary**policy. La **PermissionsBoundary**policy fa riferimento a se stessa quando consente l'`iam:CreateRole`azione, il che garantisce che i ruoli possano essere creati solo se viene applicato il limite delle autorizzazioni.