Amazon WorkDocs Guida di amministrazione
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Amazon WorkDocs Guida di amministrazione
Amazon WorkDocs Guida di amministrazione Amazon WorkDocs: Guida di amministrazione Copyright © Amazon Web Services, Inc. and/or its affiliates. All rights reserved. I marchi e il trade dress di Amazon non possono essere utilizzati in relazione ad alcun prodotto o servizio che non sia di Amazon, in alcun modo che possa causare confusione tra i clienti, né in alcun modo che possa denigrare o screditare Amazon. Tutti gli altri marchi non di proprietà di Amazon sono di proprietà dei rispettivi proprietari, che possono o meno essere affiliati, collegati o sponsorizzati da Amazon.
Amazon WorkDocs Guida di amministrazione
Table of Contents
Che cos'è Amazon WorkDocs? ............................................................................................................. 1
Accesso ad Amazon WorkDocs .................................................................................................... 1
Pricing ...................................................................................................................................... 1
Come iniziare ............................................................................................................................. 1
Prerequisiti ........................................................................................................................................ 3
Registrazione ad AWS ................................................................................................................ 3
Creazione di utenti e gruppi IAM (Raccomandato) ........................................................................... 3
Sicurezza .......................................................................................................................................... 4
Identity and Access Management .................................................................................................. 4
Audience ........................................................................................................................... 5
Autenticazione con identità ................................................................................................... 5
Gestione dell'accesso tramite policy ...................................................................................... 7
Funzionamento di Amazon WorkDocs con IAM ....................................................................... 9
Esempi di policy basate su identità ...................................................................................... 11
Risoluzione dei problemi .................................................................................................... 14
Registrazione e monitoraggio ...................................................................................................... 15
Feed attività a livello di sito ................................................................................................ 16
Registrazione CloudTrail .................................................................................................... 16
Convalida della conformità ......................................................................................................... 18
Resilienza ................................................................................................................................ 19
Sicurezza dell'infrastruttura ......................................................................................................... 19
Nozioni di base ................................................................................................................................ 20
Nozioni di base su Quick Start .................................................................................................... 20
Prima di iniziare ................................................................................................................ 21
Fase 1: Avvia il sito Amazon WorkDocs ............................................................................... 21
Fase 2: Creare un punto di accesso e configurare un amministratore ........................................ 21
Fase 3: Configurazione completa del pannello di controllo admin .............................................. 22
Nozioni di base su Standard Setup ............................................................................................. 23
Prima di iniziare ................................................................................................................ 23
Fase 1: Avvia il sito Amazon WorkDocs ............................................................................... 23
Fase 2: Creare una directory di e configurare un amministratore .............................................. 23
Fase 3: Configurazione completa del pannello di controllo admin .............................................. 24
Nozioni di base su una directory esistente .................................................................................... 25
Prima di iniziare ................................................................................................................ 25
Fase 1: Avvia il sito Amazon WorkDocs ............................................................................... 25
Fase 2: Abilitazione di una directory e configurare un amministratore ........................................ 26
Fase 3: Configurazione completa del pannello di controllo admin .............................................. 26
Guida introduttiva su AD Connector ............................................................................................. 26
Prima di iniziare ................................................................................................................ 27
Fase 1: Avvia il sito Amazon WorkDocs ............................................................................... 27
Fase 2: Connect di una directory ........................................................................................ 27
Fase 3: Configurazione completa del pannello di controllo admin .............................................. 28
Nozioni di base su AWS Managed Microsoft AD ............................................................................ 29
Prima di iniziare ................................................................................................................ 29
Fase 1: Avvia il sito Amazon WorkDocs ............................................................................... 29
Fase 2: Abilitazione diAWS Managed Microsoft ADe impostare l'amministratore .......................... 30
Fase 3: Configurazione completa del pannello di controllo admin .............................................. 30
Abilitazione di Single Sign-On ..................................................................................................... 30
Abilitazione dell'autenticazione a più fattori ................................................................................... 31
Promozione di un utente ad amministratore .................................................................................. 32
Gestione delle impostazioni del sito ..................................................................................................... 33
Distribuzione di Amazon WorkDocs Drive su più computer ...................................................................... 37
Invito e gestione di utenti ................................................................................................................... 38
Ruoli utente ............................................................................................................................. 38
iiiAmazon WorkDocs Guida di amministrazione
Avvio del pannello di controllo admin ........................................................................................... 39
Disattivazione dell'attivazione automatica ...................................................................................... 39
Controllo degli inviti degli utenti con attivazione automatica attivata ................................................... 40
Invito di nuovi utenti .................................................................................................................. 40
Modifica di utenti ...................................................................................................................... 41
Disabilitazione di utenti .............................................................................................................. 41
Eliminazione degli utenti in sospeso (solo Simple AD) ............................................................ 42
Trasferimento della proprietà del documento ................................................................................. 42
Download di elenchi utenti ......................................................................................................... 42
Condivisione e collaborazione ............................................................................................................. 44
Sharing .................................................................................................................................... 44
Condividere un link ........................................................................................................... 44
Share by Invite (Condividi con invito) ................................................................................... 44
Condivisione esterna ......................................................................................................... 45
Permissions ............................................................................................................................. 45
Roles .............................................................................................................................. 45
Autorizzazioni per le cartelle condivise ................................................................................. 46
Autorizzazioni di file .......................................................................................................... 46
Autorizzazioni per i file condivisi .......................................................................................... 47
Abilitazione della modifica collaborativa ........................................................................................ 49
Abilitazione di Hancom ThinkFree ....................................................................................... 49
Abilitazione di Open with Office Online ................................................................................. 50
Migrazione dei file ............................................................................................................................. 51
Fase 1: Preparazione per la migrazione ....................................................................................... 51
Fase 2: Caricamento di file in Amazon S3 .................................................................................... 52
Fase 3: Pianificare una migrazione .............................................................................................. 52
Fase 4: Monitoraggio della migrazione ......................................................................................... 54
Fase 5: Pulizia delle risorse ....................................................................................................... 54
Risoluzione dei problemi .................................................................................................................... 55
Non riesco a configurare il sito di Amazon WorkDocs in uno specificoAWSRegion ............................... 55
Vuoi configurare Amazon WorkDocs site in un VPC esistente di Amazon ........................................... 55
È necessario che gli utenti resettino la propria password ................................................................. 55
Un utente ha condiviso accidentalmente un documento sensibile ...................................................... 55
L'utente ha lasciato l'organizzazione e non ha trasferito la proprietà del documento. ............................. 56
Devo distribuire Amazon WorkDocs Drive o Amazon WorkDocs Companion a più utenti ....................... 56
L'editing online non funziona ...................................................................................................... 33
Gestione di Amazon WorkDocs per Amazon Business ............................................................................ 57
Cronologia dei documenti ................................................................................................................... 58
Glossario AWS ................................................................................................................................. 60
....................................................................................................................................................... lxi
ivAmazon WorkDocs Guida di amministrazione
Accesso ad Amazon WorkDocs
Che cos'è Amazon WorkDocs?
Amazon WorkDocs è un servizio di condivisione e archiviazione di livello enterprise sicuro e
completamente gestito, dotato di controlli amministrativi avanzati e funzionalità di feedback che consentono
di migliorare la produttività degli utenti. I tuoi file vengono archiviati nel cloud, in modo sicuro. I file dei tuoi
utenti sono visibili solo a loro e ai collaboratori e visualizzatori designati. Gli altri membri dell'organizzazione
non hanno accesso ai file degli altri utenti, a meno che non gli venga concesso l'accesso specificamente.
Gli utenti possono condividere i loro file con altri membri dell'organizzazione a scopi di collaborazione o
revisione Il client Amazon WorkDocs può essere utilizzato per visualizzare diversi tipi di file, a seconda del
tipo di supporto Internet del file. Amazon WorkDocs supporta tutti i formati di documenti e immagini comuni
e viene costantemente aggiunto il supporto per ulteriori formati.
Per ulteriori informazioni, consultaAmazon WorkDocs.
Accesso ad Amazon WorkDocs
Gli amministratori usano ilConsole Amazon WorkDocsPer creare e disattivare siti Amazon WorkDocs. Con
il pannello di controllo admin si possono gestire le impostazioni di utenti, storage e sicurezza. Per ulteriori
informazioni, consultare Gestione delle impostazioni del sito (p. 33) e Invito e gestione di utenti Amazon
WorkDocs (p. 38).
Gli utenti non amministrativi usano le applicazioni client per accedere ai file. Non utilizzano mai la console
Amazon WorkDocs o il dashboard di amministrazione. Amazon WorkDocs offre diverse applicazioni client e
utility:
• Un'applicazione Web usata per la gestione e la revisione dei documenti.
• App native per dispositivi mobili usate per la revisione dei documenti.
• Amazon WorkDocs Drive, un'app che sincronizza una cartella nel computer desktop macOS o Windows
con i file Amazon WorkDocs.
Per ulteriori informazioni su come gli utenti possono scaricare i client Amazon WorkDocs e modificare i
propri file e sui tipi di file supportati, consulta le pagine seguenti:
• Nozioni di base su Amazon WorkDocs
• Modifica di file
• Tipi di file supportati
Pricing
Amazon WorkDocs non richiede alcun impegno né pagamenti anticipati. I prezzi sono pagati solo per gli
account utente attivi e lo spazio di storage utilizzato. Per ulteriori informazioni, consultaPrezzi.
Come iniziare
Per iniziare a usare Amazon WorkDocs, consulta uno dei seguenti tutorial relativi a:
1Amazon WorkDocs Guida di amministrazione
Come iniziare
• Nozioni di base su Quick Start (p. 20)
• Introduzione a Simple AD Configurazione standard (p. 23)
• Nozioni di base su una directory esistente (p. 25)
• Guida introduttiva su AD Connector (p. 26)
• Nozioni di base su AWS Managed Microsoft AD (p. 29)
Se hai un account amministratore WorkSpaces con una directory abilitata per Amazon WorkDocs, puoi
accedere al sito Amazon WorkDocs e completare la configurazione dalla paginaPannello di controllo
admin. Per ulteriori informazioni, consulta Fase 3: Configurazione completa del pannello di controllo
admin (p. 24).
Per ulteriori informazioni sull'uso di WorkSpaces per iniziare a usare Amazon WorkDocs, consulta le
pagine seguenti:Introduzione all'installazione rapida WorkSpacesnellaAmazon WorkSpaces Administration
Guide. Per informazioni sull'uso di un client Amazon WorkDocs in WorkSpaces o un'istanza Amazon EC2,
consulta le pagine seguenti:Endpoint per Amazon S3nellaAmazon VPC User Guide.
2Amazon WorkDocs Guida di amministrazione
Registrazione ad AWS
Prerequisiti per Amazon WorkDocs
Per configurare nuovi siti di Amazon WorkDocs o gestire siti esistenti, devi completare le seguenti attività.
Attività
• Registrazione ad AWS (p. 3)
• Creazione di utenti e gruppi IAM (Raccomandato) (p. 3)
Registrazione ad AWS
Il tuo account AWS ti dà accesso a tutti i servizi, ma paghi solo per le risorse che usi.
Se non disponi di un Account AWS , completa la procedura seguente per crearne uno.
Come registrarsi a un Account AWS
1. Apri la pagina all'indirizzo https://portal.aws.amazon.com/billing/signup.
2. Segui le istruzioni online.
Come parte della procedura di registrazione riceverai una telefonata, durante la quale dovrai inserire
un codice di verifica sulla tastiera del telefono.
Il tuoAWSle credenziali dell'account principale identificano i servizi inAWSe concederti un uso illimitato del
tuoAWSrisorse, ad esempio i siti Amazon WorkDocs.
Creazione di utenti e gruppi IAM (Raccomandato)
Per consentire ad altri utenti di configurare nuovi siti di Amazon WorkDocs o per gestire siti esistenti senza
condividere le tue credenziali di sicurezza, usaAWS Identity and Access Management(IAM). Consigliamo a
tutti di lavorare come utente IAM, anche al proprietario dell'account. Ti consigliamo di creare un utente IAM
per te stesso, di assegnare a tale utente IAM e di utilizzarlo per tutte le operazioni.
Per ulteriori informazioni, consulta Gestione delle identità e degli accessi per Amazon WorkDocs (p. 4).
3Amazon WorkDocs Guida di amministrazione
Identity and Access Management
Sicurezza in Amazon WorkDocs
Per AWS, la sicurezza della cloud ha la massima priorità. In quanto cliente AWS, puoi trarre vantaggio da
un'architettura di data center e di rete progettata per soddisfare i requisiti delle aziende più esigenti a livello
di sicurezza.
La sicurezza è una responsabilità condivisa tra AWS e l'utente. Il modello di responsabilità condivisa
descrive questo come sicurezza del cloud e sicurezza nel cloud:
• Sicurezza del cloud - AWS è responsabile della protezione dell'infrastruttura che esegue i servizi AWS
in AWS Cloud. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. I revisori di terze
parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei programmi di conformità
AWS. Per ulteriori informazioni sui programmi di conformità che si applicano ad Amazon WorkDocs,
consultaAWSServizi coperti dal programma di compliance.
• Sicurezza nel cloud: la tua responsabilità è determinata dal servizio AWS che viene utilizzato. L'utente
è anche responsabile per altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda e leggi e
normative applicabili.
Questa documentazione aiuta a comprendere come applicare il modello di responsabilità condivisa quando
si utilizza Amazon WorkDocs. Gli argomenti seguenti illustrano come configurare Amazon WorkDocs per
soddisfare gli obiettivi di sicurezza e conformità. Vengono inoltre fornite informazioni su come utilizzare altri
servizi AWS che consentono di monitorare e proteggere le risorse Amazon WorkDocs.
Argomenti
• Gestione delle identità e degli accessi per Amazon WorkDocs (p. 4)
• Registrazione e monitoraggio in Amazon WorkDocs (p. 15)
• Convalida della conformità per Amazon WorkDocs (p. 18)
• Resilienza in Amazon WorkDocs (p. 19)
• Sicurezza dell'infrastruttura in Amazon WorkDocs (p. 19)
Gestione delle identità e degli accessi per Amazon
WorkDocs
AWS Identity and Access Management (IAM) è un servizio AWS che consente agli amministratori
a controllare in modo sicuro l'accesso alle risorse AWS. Gli amministratori IAM controllano chi può
essereAutenticazione(effettuato l'accesso) eautorizzato(disporre delle autorizzazioni) per utilizzare
le risorse di Amazon WorkDocs. IAM è un servizio AWS che è possibile utilizzare senza alcun costo
aggiuntivo.
Argomenti
• Audience (p. 5)
• Autenticazione con identità (p. 5)
• Gestione dell'accesso tramite policy (p. 7)
• Funzionamento di Amazon WorkDocs con IAM (p. 9)
• Esempi di policy di Amazon WorkDocs (p. 11)
• Risoluzione dei problemi di identità e accesso di Amazon WorkDocs (p. 14)
4Amazon WorkDocs Guida di amministrazione
Audience
Audience
Modalità di utilizzo diAWS Identity and Access Management(IAM) cambia in base alle operazioni eseguite
in Amazon WorkDocs.
Utente del servizio: se utilizzi il servizio Amazon WorkDocs per eseguire il tuo lavoro, l'amministratore ti
fornisce le credenziali e le autorizzazioni necessarie. All'aumentare del numero di funzionalità Amazon
WorkDocs utilizzate per il lavoro, potrebbero essere necessarie ulteriori autorizzazioni. La comprensione
della gestione dell'accesso consente di richiedere le autorizzazioni corrette all'amministratore. Se non
riesci ad accedere a una funzionalità di Amazon WorkDocs, consulta.Risoluzione dei problemi di identità e
accesso di Amazon WorkDocs (p. 14).
Amministratore del servizioSe sei il responsabile delle risorse Amazon WorkDocs presso la tua azienda,
probabilmente disponi dell'accesso completo ad Amazon WorkDocs. Il tuo compito è determinare le
caratteristiche e le risorse Amazon WorkDocs a cui i dipendenti devono accedere. Devi inviare le richieste
all'amministratore IAM per cambiare le autorizzazioni degli utenti del servizio. Esamina le informazioni
contenute in questa pagina per comprendere i concetti di base relativi a IAM. Per ulteriori informazioni
su come la tua azienda può utilizzare IAM con Amazon WorkDocs, consultaFunzionamento di Amazon
WorkDocs con IAM (p. 9).
Amministratore IAM— Se sei un amministratore IAM, potresti essere interessato a ottenere informazioni
su come scrivere policy per gestire l'accesso ad Amazon WorkDocs. Per visualizzare policy basate su
identità Amazon WorkDocs di esempio che puoi utilizzare in IAM, consultaEsempi di policy di Amazon
WorkDocs (p. 11).
Autenticazione con identità
L'autenticazione è la procedura di accesso ad AWS utilizzando le credenziali di identità. Per ulteriori
informazioni sull'accesso tramite la AWS Management Console, consultare Accesso alla AWS
Management Console come utente IAM o utente root nella Guida per l'utente di IAM.
È necessario essere autenticato (connesso a AWS) come utente root Account AWS , come utente IAM o
assumendo un ruolo IAM. È anche possibile utilizzare l'autenticazione Single Sign-On (SSO) della propria
azienda oppure collegarsi utilizzando Google o Facebook. In questi casi, l'amministratore ha configurato in
precedenza la federazione delle identità utilizzando i ruoli IAM. Quando si accede ad AWS utilizzando le
credenziali di un'altra azienda, si assume indirettamente un ruolo.
Per accedere direttamente alla AWS Management Console, utilizzare la password con l'indirizzo e-mail
dell'utente root o il nome utente IAM. È possibile effettuare l'accesso a AWS a livello di programmazione
utilizzando le chiavi di accesso dell'utente root o dell'utente IAM. AWS fornisce SDK e gli strumenti a riga
di comando per firmare in maniera crittografica la richiesta utilizzando le tue credenziali. Se non utilizzi gli
strumenti AWS, è necessario firmare la richiesta personalmente. A questo scopo, utilizza Signature Version
4, un protocollo per l'autenticazione di richieste API in entrata. Per ulteriori informazioni sull'autenticazione
delle richieste, consultare Processo di firma con Signature Version 4 in Riferimenti generali AWS.
Indipendentemente dal metodo di autenticazione utilizzato, potrebbe essere necessario specificare ulteriori
informazioni sulla sicurezza. AWS consiglia ad esempio di utilizzare la multi-factor authentication (MFA) per
aumentare la sicurezza dell'account. Per ulteriori informazioni, consulta Utilizzo dell'autenticazione a più
fattori (MFA) in AWS nella Guida per l'utente di IAM.
AWSUtente root dell'account
Quando crei un Account AWS per la prima volta, inizi con una singola identità di accesso che ha accesso
completo a tutti i servizi e le risorse AWS nell'account. Tale identità è detta utente root Account AWS e
puoi accedervi con l'indirizzo e-mail e la password utilizzati per creare l'account. È vivamente consigliato
di non utilizzare l'utente root per le attività quotidiane, anche quelle amministrative. Rispetta piuttosto la
5Amazon WorkDocs Guida di amministrazione
Autenticazione con identità
best practice di utilizzare l'utente root soltanto per creare il tuo primo utente IAM. Quindi conserva al sicuro
le credenziali dell'utente root e utilizzale per eseguire solo alcune attività di gestione dell'account e del
servizio.
Utenti e gruppi IAM
Un utente IAM è una identità all'interno di Account AWS che dispone di autorizzazioni specifiche per un
singolo utente o applicazione. Un utente IAM può disporre di credenziali a lungo termine, ad esempio un
nome utente e una password oppure un set di chiavi di accesso. Per informazioni su come generare le
chiavi di accesso, consultare Gestione delle chiavi di accesso per gli utenti IAM nella Guida per l'utente di
IAM. Quando generi le chiavi di accesso per un utente IAM, assicurarti di visualizzare e salvare la coppia
di chiavi in modo sicuro. Non puoi recuperare la chiave di accesso segreta in futuro. Al contrario, sarà
necessario generare una nuova coppia di chiavi di accesso.
Un gruppo IAM è un'identità che specifica un insieme di utenti IAM. Non è possibile eseguire l’accesso
come gruppo. È possibile utilizzare gruppi per specificare le autorizzazioni per più utenti alla volta. I gruppi
semplificano la gestione delle autorizzazioni per set di utenti di grandi dimensioni. Ad esempio, puoi avere
un gruppo denominato Amministratori IAM e concedere a tale gruppo le autorizzazioni per amministrare le
risorse IAM.
Gli utenti sono diversi dai ruoli. Un utente è associato in modo univoco a una persona o un'applicazione,
mentre un ruolo è destinato a essere assunto da chiunque ne abbia bisogno. Gli utenti dispongono di
credenziali a lungo termine permanenti, mentre i ruoli forniscono credenziali temporanee. Per ulteriori
informazioni, consultare Quando creare un utente IAM invece di un ruolo) nella Guida per l'utente di IAM.
Ruoli IAM
Un ruolo IAM è un'identità all'interno di Account AWS che dispone di autorizzazioni specifiche. È simile a un
utente IAM, ma non è associato a una persona specifica. È possibile assumere temporaneamente un ruolo
IAM in AWS Management Console mediante lo scambio di ruoli. È possibile assumere un ruolo chiamando
un'operazione AWS CLI o API AWS oppure utilizzando un URL personalizzato. Per ulteriori informazioni sui
metodi per l'utilizzo dei ruoli, consultare Utilizzo di ruoli IAM nella Guida per l'utente di IAM.
I ruoli IAM con credenziali temporanee sono utili nelle seguenti situazioni:
• Autorizzazioni utente IAM temporanee: un utente IAM può assumere un ruolo IAM per ottenere
temporaneamente autorizzazioni diverse per un'attività specifica.
• Accesso di utenti federati: anziché creare un utente IAM, puoi utilizzare le identità utente preesistenti da
AWS Directory Service, la directory utente aziendale o un provider di identità Web. Sono noti come utenti
federati. AWS assegna un ruolo a un utente federato quando è richiesto l'accesso tramite un provider
di identità. Per ulteriori informazioni sugli utenti federati, consultare la sezione relativa a utenti federati e
ruoli nella Guida per l'utente di IAM.
• Accesso multi-account: è possibile utilizzare un ruolo IAM per permettere a un utente (principale
attendibile) con un account diverso di accedere alle risorse nell'account. I ruoli sono lo strumento
principale per concedere l'accesso tra account. Tuttavia, con alcuni dei servizi AWS, puoi collegare una
policy direttamente a una risorsa (anziché utilizzare un ruolo come un proxy). Per informazioni sulle
differenze tra ruoli e policy basate su risorse per l'accesso multi-account, consultare Differenza tra i ruoli
IAM e le policy basate su risorse nella Guida per l'utente di IAM.
• Accesso cross-service: alcuni servizi AWS utilizzano funzionalità in altri servizi AWS. Ad esempio,
quando effettui una chiamata in un servizio, è comune che tale servizio esegua applicazioni in Amazon
EC2 o memorizzi oggetti in Amazon S3. Un servizio può eseguire questa operazione utilizzando le
autorizzazioni dell'entità chiamante, utilizzando un ruolo di servizio o utilizzando un ruolo collegato al
servizio.
• Autorizzazioni principale: quando si utilizza un utente o un ruolo IAM per eseguire operazioni in AWS,
si viene considerati un principale. Le policy concedono autorizzazioni a un'entità. Quando si utilizzano
alcuni servizi, è possibile eseguire un'azione che attiva un'altra azione in un servizio diverso. In questo
6Amazon WorkDocs Guida di amministrazione
Gestione dell'accesso tramite policy
caso è necessario disporre delle autorizzazioni per eseguire entrambe le operazioni. Per verificare
se un'azione richiede azioni dipendenti aggiuntive in un criterio, vedere nella sezione Informazioni di
riferimento per l'autorizzazione del servizio.
• Ruolo di servizio: un ruolo di servizio è un ruolo IAM assunto da un servizio per eseguire operazioni
per conto dell'utente. Un amministratore di IAM può creare, modificare ed eliminare un ruolo di servizio
da IAM. Per ulteriori informazioni, consultare Creazione di un ruolo per delegare le autorizzazioni a un
servizio AWS nella Guida per l'utente di IAM.
• Ruolo collegato al servizio: un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un
servizio AWS. Il servizio può assumere il ruolo di eseguire un'azione per conto dell'utente. I ruoli
collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore
IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.
• Applicazioni in esecuzione su Amazon EC2: è possibile utilizzare un ruolo IAM per gestire credenziali
temporanee per le applicazioni in esecuzione su un'istanza EC2 che eseguono richieste di AWS CLI o
dell'API AWS. Ciò è preferibile all'archiviazione delle chiavi di accesso nell'istanza EC2. Per assegnare
un ruolo AWS a un'istanza EC2, affinché sia disponibile per tutte le relative applicazioni, puoi creare un
profilo di istanza collegato all'istanza. Un profilo di istanza contiene il ruolo e consente ai programmi in
esecuzione sull'istanza EC2 di ottenere le credenziali temporanee. Per ulteriori informazioni, consultare
Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni in esecuzione su istanze di Amazon
EC2 nella Guida per l'utente di IAM.
Per informazioni sull'utilizzo dei ruoli IAM, consultare Quando creare un ruolo IAM (invece di un utente)
nella Guida per l'utente di IAM.
Gestione dell'accesso tramite policy
È possibile controllare l'accesso ad AWS creando delle policy e collegandole a identità IAM o a risorse
AWS. Una policy è un oggetto in AWS che, se associato a un'identità o risorsa, ne definisce le relative
autorizzazioni. È possibile accedere come utente root o utente IAM oppure assumere un ruolo IAM.
Quando si effettua una richiesta, AWS valuta le policy basate su identità o su risorse correlate. Le
autorizzazioni nella policy determinano l'approvazione o il rifiuto della richiesta. La maggior parte delle
policy viene memorizzata in AWS sotto forma di documenti JSON. Per ulteriori informazioni sulla struttura
e sui contenuti dei documenti delle policy JSON, consultare Panoramica delle policy JSON nella Guida per
l'utente di IAM.
Gli amministratori possono utilizzare le policy AWS JSON per specificare l'accesso ai diversi elementi.
Cioè, quale principale può eseguire azioni su quali risorse, e in quali condizioni.
Ogni entità IAM (utente o ruolo) inizialmente non dispone di autorizzazioni. Ovvero, per impostazione
predefinita, gli utenti non possono eseguire alcuna operazione, neppure modificare la propria password.
Per autorizzare un utente a eseguire operazioni, un amministratore deve collegare una policy di
autorizzazioni a tale utente. In alternativa, l'amministratore può aggiungere l'utente a un gruppo che
dispone delle autorizzazioni desiderate. Quando un amministratore fornisce le autorizzazioni a un gruppo,
le autorizzazioni vengono concesse a tutti gli utenti in tale gruppo.
Le policy IAM definiscono le autorizzazioni relative a un'operazione, indipendentemente dal metodo
utilizzato per eseguirla. Ad esempio, supponiamo di disporre di una policy che consente l'operazione
iam:GetRole. Un utente con tale policy può ottenere informazioni sul ruolo dalla AWS Management
Console, la AWS CLI o l'API AWS.
Policy basate su identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare
a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli
possono eseguire, su quali le risorse e in quali condizioni . Per informazioni su come creare una policy
basata su identità, consultare Creazione di policy IAM nella Guida per l'utente di IAM.
7Amazon WorkDocs Guida di amministrazione
Gestione dell'accesso tramite policy
Le policy basate su identità possono essere ulteriormente classificate come policy inline o policy gestite.
Le policy inline sono incorporate direttamente in un singolo utente, gruppo o ruolo. Le policy gestite sono
policy standalone che possono essere collegate a più utenti, gruppi e ruoli in Account AWS . Le policy
gestite includono le policy gestite da AWS e le policy gestite dal cliente. Per informazioni su come scegliere
tra una policy gestita o una policy inline, consultare Scelta fra policy gestite e policy inline nella Guida per
l'utente di IAM.
Policy basate su risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli
esempi più comuni di policy basate su risorse sono le policy dei bucket Amazon S3 e le policy di affidabilità
dei ruoli IAM. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono
utilizzarle per controllare l'accesso a una risorsa specifica. Per la risorsa a cui è associata la policy, questa
definisce le azioni che un'entità specificata può eseguire su tale risorsa e a quali condizioni. È necessario
specificare un'entità in una policy basata sulle risorse. I principali possono includere account, utenti, ruoli,
utenti federati o servizi AWS.
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le
policy gestite da AWS da IAM in una policy basata su risorse.
Liste di controllo accessi
Le policy di controllo degli accessi (ACL) controllano quali principali (membri, utenti o ruoli dell’account)
hanno le autorizzazioni ad accedere a una risorsa. Gli ACL sono simili alle policy basate sulle risorse,
sebbene non utilizzino il formato del documento delle policy JSON.
Amazon S3, AWS WAF e Amazon VPC sono esempi di servizi che supportano le ACL. Per maggiori
informazioni sugli ACL, consultare Panoramica dell'elenco di controllo degli accessi nella Guida per gli
sviluppatori di Amazon Simple Storage Service.
Altri tipi di policy
AWS supporta altri tipi di policy meno comuni. Questi tipi di policy possono impostare il numero massimo di
autorizzazioni concesse dai tipi di policy più comuni.
• Limiti delle autorizzazioni: un limite delle autorizzazioni è una funzione avanzata nella quale si imposta
il numero massimo di autorizzazioni che una policy basata su identità può concedere a un'entità IAM
(utente o ruolo IAM). È possibile impostare un limite delle autorizzazioni per un'entità. Le autorizzazioni
risultanti sono l'intersezione delle policy basate su identità dell'entità e i suoi limiti delle autorizzazioni. Le
policy basate su risorse che specificano l'utente o il ruolo nel campo Principal sono limitate dal limite
delle autorizzazioni. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione. Per
ulteriori informazioni sui limiti delle autorizzazioni, consultare Limiti delle autorizzazioni per le entità IAM
nella Guida per l'utente di IAM.
• Policy di controllo dei servizi (SCP): le SCP sono policy JSON che specificano il numero massimo
di autorizzazioni per un'organizzazione o unità organizzativa (OU) in AWS Organizations. AWS
Organizations è un servizio per il raggruppamento e la gestione centralizzata degli Account AWS multipli
di proprietà dell'azienda. Se si abilitano tutte le caratteristiche in un'organizzazione, è possibile applicare
le policy di controllo dei servizi (SCP) a uno o tutti i propri account. Una SCP limita le autorizzazioni
per le entità negli account membri, compreso ogni utente root Account AWS . Per ulteriori informazioni
su Organizations e le policy SCP, consultare Utilizzo delle SCP nella Guida per l'utente di AWS
Organizations.
• Policy di sessione - Le policy di sessione sono policy avanzate che si passano come parametro
quando si crea in modo programmatico una sessione temporanea per un ruolo o un utente federato.
Le autorizzazioni della sessione risultante sono l'intersezione delle policy basate sull'identità del ruolo
o dell'utente e le policy di sessione. Le autorizzazioni possono anche provenire da una policy basata
su risorse. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione. Per ulteriori
informazioni, consultare Policy gestite AWS nella Guida per l'utente di IAM.
8Amazon WorkDocs Guida di amministrazione
Funzionamento di Amazon WorkDocs con IAM
Note
Amazon WorkDocs non supporta le politiche di controllo dei servizi per Organizations Slack.
Più tipi di policy
Quando più tipi di policy si applicano a una richiesta, le autorizzazioni risultanti sono più complicate da
comprendere. Per informazioni su come AWS determina se consentire una richiesta quando sono coinvolti
più tipi di policy, consultare Logica di valutazione delle policy nella Guida per l'utente di IAM.
Funzionamento di Amazon WorkDocs con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon WorkDocs, è necessario comprendere quali
funzioni IAM sono disponibili per l'uso con Amazon WorkDocs. Per ottenere una presentazione generale
di come Amazon WorkDocs e altriAWSServizi supportati da IAM, consulta.AWSservizi supportati da
IAMnellaIAM User Guide.
Argomenti
• Policy basate su identità di Amazon WorkDocs (p. 9)
• Policy basate sulle risorse di Amazon WorkDocs (p. 10)
• Autorizzazione basata su tag Amazon WorkDocs (p. 10)
• Ruoli IAM di Amazon WorkDocs (p. 10)
Policy basate su identità di Amazon WorkDocs
Con le policy basate sull'identità IAM, è possibile specificare azioni consentite o negate. Amazon
WorkDocs supporta azioni specifiche. Per ulteriori informazioni sugli elementi utilizzati in una policy JSON,
consultaRiferimento agli elementi delle policy di IAM JSONnellaIAM User Guide.
Actions
Gli amministratori possono utilizzare le policy AWS JSON per specificare l'accesso ai diversi elementi.
Cioè, quale principale può eseguire azioni su quali risorse, e in quali condizioni.
L' Action elemento di un criterio JSON descrive le azioni che è possibile utilizzare per consentire o negare
l'accesso a un criterio. Le operazioni della policy hanno spesso lo stesso nome dell'operazione API AWS.
Ci sono alcune eccezioni, ad esempio le operazioni di sola autorizzazione che non hanno un'operazione
API corrispondente. Esistono anche alcune operazioni che richiedono più azioni in una policy. Queste
operazioni aggiuntive sono chiamate operazioni dipendenti.
L'operazione viene utilizzata in una policy per concedere le autorizzazioni di eseguire l'operazione
associata.
Le operazioni delle policy in Amazon WorkDocs utilizzano il seguente prefisso prima dell'operazione:
workdocs:. Ad esempio, per concedere a qualcuno l'autorizzazione per eseguire Amazon
WorkDocsDescribeUsers, si include l'operazione APIworkdocs:DescribeUsersazione nella loro
politica. Le istruzioni della policy devono includere un elemento Action o NotAction. Amazon WorkDocs
definisce un proprio set di operazioni che descrivono le attività che puoi eseguire con quel servizio.
Per specificare più operazioni in una sola dichiarazione, separa ciascuna di esse con una virgola come
mostrato di seguito:
"Action": [
"workdocs:DescribeUsers",
"workdocs:CreateUser"
9Amazon WorkDocs Guida di amministrazione
Funzionamento di Amazon WorkDocs con IAM
Puoi specificare più operazioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le operazioni che
iniziano con la parola Describe, includi la seguente operazione:
"Action": "workdocs:Describe*"
Note
Per garantire la compatibilità con le versioni precedenti, includere ilzocaloOperazione . Ad
esempio:
"Action": [
"zocalo:*",
"workdocs:*"
],
Per visualizzare un elenco di operazioni Amazon WorkDocs, consulta.Operazioni definite da Amazon
WorkDocsnellaIAM User Guide.
Resources
Amazon WorkDocs non supporta la specifica degli ARN delle risorse in una policy.
Chiavi di condizione
Amazon WorkDocs non fornisce chiavi di condizione specifiche del servizio, ma supporta l'utilizzo di alcune
chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione globali di AWS, consulta Chiavi di
contesto delle condizioni globali di AWS nella Guida per l'utente di IAM.
Examples
Per visualizzare esempi di policy basate su identità Amazon WorkDocs, consultaEsempi di policy di
Amazon WorkDocs (p. 11).
Policy basate sulle risorse di Amazon WorkDocs
Amazon WorkDocs non supporta policy basate su risorse.
Autorizzazione basata su tag Amazon WorkDocs
Amazon WorkDocs non supporta il tagging di risorse o il controllo dell'accesso basato sui tag.
Ruoli IAM di Amazon WorkDocs
Un ruolo IAM è un'entità all'interno dell'account AWS che dispone di autorizzazioni specifiche.
Utilizzo di credenziali temporanee con Amazon WorkDocs
Puoi utilizzare credenziali temporanee per effettuare l'accesso utilizzando la federazione, assumere un
ruolo IAM o assumere un ruolo multi-account. Per ottenere le credenziali di sicurezza temporanee, eseguire
una chiamata a operazioni API AWS STS quali, ad esempio, AssumeRole o GetFederationToken.
Amazon WorkDocs supporta l'uso di credenziali temporanee.
Ruoli collegati ai servizi
Ruoli collegati al servizio consentono ai servizi AWS di accedere a risorse in altri servizi per completare
un'operazione a tuo nome. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà
10Amazon WorkDocs Guida di amministrazione
Esempi di policy basate su identità
del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non
può modificarle.
Amazon WorkDocs non supporta i ruoli collegati ai servizi.
Ruoli dei servizi
Questa caratteristica consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo
ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'operazione per conto
dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa
che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questo potrebbe
pregiudicare la funzionalità del servizio.
Amazon WorkDocs non supporta i ruoli del servizio.
Esempi di policy di Amazon WorkDocs
Per impostazione predefinita, gli utenti e i ruoli IAM non dispongono dell'autorizzazione per creare o
modificare risorse Amazon WorkDocs. Inoltre, non sono in grado di eseguire attività utilizzando la AWS
Management Console, AWS CLI o un'API AWS. Un amministratore IAM deve creare policy IAM che
concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate
di cui hanno bisogno. L'amministratore è necessario quindi collegare queste policy a utenti o IAM che
richiedono tali autorizzazioni.
Note
Per garantire la compatibilità con le versioni precedenti, includere ilzocalonei criteri. Ad esempio:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"zocalo:*",
"workdocs:*"
],
"Resource": "*"
}
]
}
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy
JSON di esempio, consultare Creazione di policy nella scheda JSON nella Guida per l'utente di IAM.
Argomenti
• Best practice delle policy (p. 11)
• Utilizzo della console Amazon WorkDocs (p. 12)
• Consentire agli utenti di visualizzare le loro autorizzazioni (p. 12)
• Come consentire agli utenti l'accesso in sola lettura alle risorse Amazon WorkDocs (p. 13)
• Altri esempi di policy basate su identità di Amazon WorkDocs (p. 13)
Best practice delle policy
Le policy basate su identità sono molto potenti. Determinano se qualcuno può creare, accedere o eliminare
risorse Amazon WorkDocs nell'account. Queste operazioni possono comportare costi aggiuntivi per
Account AWS . Quando crei o modifichi policy basate su identità, segui queste linee guida e suggerimenti:
11Amazon WorkDocs Guida di amministrazione
Esempi di policy basate su identità
• Inizia subito a utilizzareAWSPolicy gestite da— Per iniziare a utilizzare rapidamente Amazon WorkDocs,
usaAWSLe policy gestite da per fornire ai dipendenti le autorizzazioni richieste. Queste policy sono già
disponibili nell'account e sono gestite e aggiornate da AWS. Per ulteriori informazioni, consultare Nozioni
di base sull'utilizzo delle autorizzazioni con policy gestite da AWS nella Guida per l'utente di IAM.
• Assegnare il privilegio minimo – Quando crei policy personalizzate, concedi solo le autorizzazioni
richieste per eseguire un incarico. Iniziare con un set di autorizzazioni minimo e concedere autorizzazioni
aggiuntive quando necessario. In questo modo, è più sicuro che iniziare con autorizzazioni che sono
troppo permissive e cercare di limitarle in un secondo momento. Per ulteriori informazioni, consultare
Assegnare il privilegio minimo nella Guida per l'utente di IAM.
• Abilitare MFA per operazioni sensibili – per una maggiore sicurezza, richiedi agli utenti IAM di utilizzare
l'autenticazione a più fattori (MFA) per accedere a risorse sensibili o operazioni API. Per ulteriori
informazioni, consultare Utilizzo dell'autenticazione a più fattori (MFA) in AWS nella Guida per l'utente di
IAM.
• Utilizza le condizioni della policy per ulteriore sicurezza - Per quanto possibile, definisci le condizioni
per cui le policy basate su identità consentono l'accesso a una risorsa. Ad esempio, è possibile scrivere
condizioni per specificare un intervallo di indirizzi IP consentiti dai quali deve provenire una richiesta. È
anche possibile scrivere condizioni per consentire solo le richieste all'interno di un intervallo di date o ore
specificato oppure per richiedere l'utilizzo di SSL o MFA. Per ulteriori informazioni, consultaElementi delle
policy JSON di IAM: ConditionnellaIAM User Guide.
Utilizzo della console Amazon WorkDocs
Per accedere alla console Amazon WorkDocs, è necessario disporre di un set di autorizzazioni
minimo. Queste autorizzazioni devono consentire di pubblicare e visualizzare i dettagli delle risorse
Amazon WorkDocs nella tuaAWSconto. Se crei una policy basata su identità più restrittiva rispetto alle
autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità utente e ruolo
IAM.
Per garantire che tali entità possano utilizzare la console Amazon WorkDocs, collega anche
la seguenteAWSPolicy gestite alle entità. Per ulteriori informazioni sull'associazione di policy,
consulta.Aggiungere autorizzazioni a un utentenellaIAM User Guide.
• AmazonWorkDocsFullAccess
• AWSDirectoryServiceFullAccess
• AmazonEC2FullAccess
Queste norme garantiscono a un utente IAM l'accesso completo alle risorse di Amazon WorkDocs,
alle operazioni di AWS Directory Service e alle operazioni Amazon EC2 necessarie per il corretto
funzionamento di Amazon WorkDocs.
Non sono necessarie le autorizzazioni minime della console per gli utenti che effettuano chiamate solo
all'API di AWS CLI o di AWS. Al contrario, puoi accedere solo alle operazioni che soddisfano l'operazione
API che stai cercando di eseguire.
Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di
visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa policy include le
autorizzazioni per completare questa operazione sulla console o a livello di codice utilizzando AWS CLI o
l'API AWS.
{
"Version": "2012-10-17",
"Statement": [
{
12Amazon WorkDocs Guida di amministrazione
Esempi di policy basate su identità
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
Come consentire agli utenti l'accesso in sola lettura alle risorse
Amazon WorkDocs
I seguentiAWSgestite daAmazonWorkDocsReadOnlyAccessLa policy consente a un utente IAM di
accedere in sola lettura alle risorse Amazon WorkDocs. La policy consente all'utente di accedere a tutti
i documenti Amazon WorkDocsDescribeoperazioni. L'accesso alle due operazioni Amazon EC2 è
necessario per consentire ad Amazon WorkDocs di ottenere un elenco di VPC e sottoreti. L'accesso
all'operazione AWS Directory Service DescribeDirectories è necessario per ottenere le informazioni
sulle directory AWS Directory Service.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workdocs:Describe*",
"ds:DescribeDirectories",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
}
]
}
Altri esempi di policy basate su identità di Amazon WorkDocs
Gli amministratori IAM possono creare policy aggiuntive per consentire a un ruolo o a un utente IAM di
accedere all'API Amazon WorkDocs. Per ulteriori informazioni, consultaAutenticazione e controllo degli
accessi per le applicazioni amministrativenellaGuida per gli sviluppatori di Amazon WorkDocs.
13Amazon WorkDocs Guida di amministrazione
Risoluzione dei problemi
Risoluzione dei problemi di identità e accesso di
Amazon WorkDocs
Utilizza le informazioni seguenti per diagnosticare e risolvere i problemi comuni che possono verificarsi
durante l'utilizzo di Amazon WorkDocs e IAM.
Argomenti
• Non sono autorizzato a eseguire un'operazione in Amazon WorkDocs (p. 14)
• Non sono autorizzato a eseguire iam:PassRole (p. 14)
• Desidero visualizzare le mie chiavi di accesso (p. 14)
• Sono un amministratore e desidero consentire ad altri utenti di accedere ad Amazon
WorkDocs (p. 15)
• Voglio consentire alle persone esterne al mioAWSper accedere alle risorse Amazon
WorkDocs (p. 15)
Non sono autorizzato a eseguire un'operazione in Amazon
WorkDocs
Se la AWS Management Console indica che non si è autorizzati autorizzato a eseguire un'operazione, è
necessario contattare l'amministratore per assistenza. L'amministratore è la persona da cui si sono ricevuti
il nome utente e la password.
Non sono autorizzato a eseguire iam:PassRole
Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione iam:PassRole, è
necessario contattare il proprio amministratore per ricevere assistenza. L'amministratore è la persona da
cui si sono ricevuti il nome utente e la password. Richiedi a tale persona di aggiornare le tue policy per
poter passare un ruolo ad Amazon WorkDocs.
Alcuni servizi AWS consentono di passare un ruolo esistente a tale servizio, invece di creare un nuovo
ruolo del servizio o ruolo collegato ai servizi. Per eseguire questa operazione, è necessario disporre delle
autorizzazioni per passare il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominatomarymajorcerca di utilizzare
la console per eseguire un'operazione in Amazon WorkDocs. Tuttavia, l'operazione richiede che il servizio
disponga delle autorizzazioni concesse da un ruolo del servizio. Mary non dispone di autorizzazioni per
passare il ruolo al servizio.
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
In questo caso, Mary chiede all'amministratore di aggiornare la sue policy per poter eseguire l'operazione
iam:PassRole.
Desidero visualizzare le mie chiavi di accesso
Dopo aver creato le chiavi di accesso utente IAM, è possibile visualizzare il proprio ID chiave di accesso in
qualsiasi momento. Tuttavia, non puoi visualizzare nuovamente la chiave di accesso segreta. Se perdi la
chiave segreta, dovrai creare una nuova coppia di chiavi di accesso.
Le chiavi di accesso sono composte da due parti: un ID chiave di accesso (ad esempio
AKIAIOSFODNN7EXAMPLE) e una chiave di accesso segreta (ad esempio, wJalrXUtnFEMI/K7MDENG/
14Puoi anche leggere
