Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Gestione dei ruoli del servizio Elastic Beanstalk
<a name="iam-servicerole"></a>

Per gestire e monitorare l'ambiente, AWS Elastic Beanstalk esegue azioni sulle risorse ambientali per conto dell'utente. Elastic Beanstalk necessita di determinate autorizzazioni per eseguire queste azioni e AWS Identity and Access Management presuppone ruoli di servizio (IAM) per ottenere queste autorizzazioni.

Elastic Beanstalk deve utilizzare delle credenziali di sicurezza provvisorie ogni volta che assume un ruolo di servizio. Per ottenere queste credenziali, Elastic Beanstalk invia una richiesta a AWS Security Token Service (AWS STS) su un endpoint specifico della regione. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) nella *Guida per l'utente di IAM*.

**Nota**  
Se l' AWS STS endpoint per la regione in cui si trova l'ambiente è disattivato, Elastic Beanstalk invia la richiesta su un endpoint alternativo che non può essere disattivato. Questo endpoint è associato a una regione diversa. Pertanto, la richiesta è una richiesta tra regioni. *Per ulteriori informazioni, consulta [Attivazione e disattivazione AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html) in una regione nella Guida per l'utente IAM. AWS *

## Gestione dei ruoli del servizio utilizzando la console Elastic Beanstalk e CLI EB
<a name="iam-servicerole-console"></a>

La console Elastic Beanstalk e la CLI EB possono essere utilizzate per impostare i ruoli del servizio per l'ambiente con un set di autorizzazioni sufficiente. Creano un ruolo di servizio predefinito e utilizzano policy gestite.

### Policy gestite dei ruoli dei servizi
<a name="iam-servicerole-policy"></a>

Elastic Beanstalk fornisce una policy gestita per [il monitoraggio avanzato dello stato](health-enhanced.md) e una con le autorizzazioni aggiuntive necessarie per gli [aggiornamenti gestiti della piattaforma](environment-platform-update-managed.md). La console e la CLI EB assegnano entrambi queste policy al ruolo di servizio predefinito creato per l'utente. Queste policy devono essere utilizzate solo per questo ruolo di servizio predefinito. Non devono essere utilizzate con altri utenti o ruoli nei tuoi account.

#### `AWSElasticBeanstalkEnhancedHealth`
<a name="iam-servicerole-policy.health"></a>

Questa policy concede le autorizzazioni a Elastic Beanstalk per monitorare l'integrità dell'istanza e dell'ambiente. Inoltre include anche operazioni Amazon SQS per consentire a Elastic Beanstalk di monitorare le attività di coda per gli ambienti worker. Per visualizzare il contenuto di questa policy gestita, consulta la [ AWSElasticBeanstalkEnhancedHealth](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkEnhancedHealth.html)pagina della Managed *Policy Reference AWS Guide*.

#### `AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy`
<a name="iam-servicerole-policy.service"></a>

Questa policy concede le autorizzazioni a Elastic Beanstalk per aggiornare gli ambienti per tuo conto ed eseguire gli aggiornamenti gestiti della piattaforma. Per visualizzare il contenuto di questa policy gestita, consulta la [AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy.html)pagina della *AWS Managed Policy Reference Guide*. 

**Raggruppamenti di autorizzazioni a livello di servizio**

Questa policy è raggruppata in istruzioni in base al set di autorizzazioni fornite.
+ *`ElasticBeanstalkPermissions`*— Questo gruppo di autorizzazioni serve a richiamare le azioni del servizio Elastic Beanstalk (Elastic Beanstalk). APIs
+ *`AllowPassRoleToElasticBeanstalkAndDownstreamServices`*: questo gruppo di autorizzazioni consente di passare qualsiasi ruolo a Elastic Beanstalk e ad altri servizi downstream come CloudFormation.
+ *`ReadOnlyPermissions`*: questo gruppo di autorizzazioni serve a raccogliere informazioni sull'ambiente in esecuzione.
+ *`*OperationPermissions`*: i gruppi con questo modello di denominazione servono a chiamare le operazioni necessarie per eseguire gli aggiornamenti della piattaforma.
+ *`*BroadOperationPermissions`*: i gruppi con questo modello di denominazione servono a chiamare le operazioni necessarie per eseguire gli aggiornamenti della piattaforma. Includono inoltre autorizzazioni estese per il supporto degli ambienti legacy.
+ *`*TagResource`*— I gruppi con questo modello di denominazione sono destinati alle chiamate che utilizzano per tag-on-create APIs allegare tag alle risorse che vengono create in un ambiente Elastic Beanstalk.

Per visualizzare il contenuto di una policy gestita, puoi utilizzare anche la [pagina **Policy**](https://console.aws.amazon.com/iam/home#policies) nella console IAM.

**Importante**  
Le policy gestite da Elastic Beanstalk non forniscono autorizzazioni granulari, ma concedono tutte le autorizzazioni potenzialmente necessarie per lavorare con le applicazioni Elastic Beanstalk. In alcuni casi potresti voler limitare ulteriormente le autorizzazioni delle nostre politiche gestite. Per un esempio di un caso d'uso, vedi[Impedire l'accesso ai bucket Amazon S3 tra ambienti](AWSHowTo.iam.cross-env-s3-access.md).  
Inoltre, le nostre policy gestite non coprono le autorizzazioni per le risorse personalizzate che potresti aggiungere alla soluzione e che non sono gestite da Elastic Beanstalk. Per implementare autorizzazioni più granulari, autorizzazioni minime richieste o autorizzazioni a livello di risorsa personalizzate, utilizza le [policy personalizzate](AWSHowTo.iam.managed-policies.md#AWSHowTo.iam.policies).

**Policy gestite da obsolete**  
In passato, Elastic Beanstalk **AWSElasticBeanstalkService**supportava la politica dei ruoli dei servizi gestiti. Questa policy è stata sostituita da **AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy**. Potresti comunque essere in grado di visualizzare e utilizzare le policy precedenti nella console IAM.

Per visualizzare il contenuto della policy gestita, consulta la *AWS Managed Policy [AWSElasticBeanstalkService](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkService.html)*Reference Guide.

Tuttavia, ti consigliamo di passare all'utilizzo della nuova policy gestita (**AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy**). Aggiungi policy personalizzate per concedere autorizzazioni alle risorse personalizzate, se presenti.

### Utilizzo della console Elastic Beanstalk
<a name="iam-servicerole-console"></a>

Quando avvii un ambiente nella console Elastic Beanstalk, la console crea un ruolo di servizio predefinito denominato `aws-elasticbeanstalk-service-role` a cui collega le policy gestite con le autorizzazioni predefinite. 

Per consentire a Elastic Beanstalk di assumere il ruolo `aws-elasticbeanstalk-service-role`, il ruolo di servizio specifica Elastic Beanstalk come entità attendibile nella policy delle relazioni di trust.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Sid": "",
        "Effect": "Allow",
        "Principal": {
          "Service": "elasticbeanstalk.amazonaws.com"
        },
        "Action": "sts:AssumeRole",
        "Condition": {
          "StringEquals": {
            "sts:ExternalId": "elasticbeanstalk"
          }
        }
      }
    ]
}
```

------

Quando abiliti gli [aggiornamenti gestiti della piattaforma](environment-platform-update-managed.md) per l'ambiente, Elastic Beanstalk assume un ruolo di servizio degli aggiornamenti gestiti separato per eseguire gli aggiornamenti gestiti. Per impostazione predefinita, la console Elastic Beanstalk utilizza lo stesso ruolo di servizio generato, `aws-elasticbeanstalk-service-role`, per il ruolo di servizio degli aggiornamenti gestiti. Se modifichi il ruolo di servizio predefinito, la console imposta il ruolo del servizio degli aggiornamenti gestiti in modo da utilizzare il ruolo collegato al servizio degli aggiornamenti gestiti, `AWSServiceRoleForElasticBeanstalkManagedUpdates`. Per ulteriori informazioni sui ruoli collegati al servizio, consulta [Uso di ruoli collegati ai servizi](#iam-servicerole-slr).

**Nota**  
A causa di problemi di autorizzazione, il servizio Elastic Beanstalk non sempre riesce a creare questo ruolo collegato ai servizi per tuo conto. Pertanto, la console tenta di crearlo in modo esplicito. Per garantire che l'account disponga di questo ruolo collegato ai servizi, crea un ambiente almeno una volta utilizzando la console e configura gli aggiornamenti gestiti da abilitare prima di creare l'ambiente.

### Utilizzo della CLI EB
<a name="iam-servicerole-ebcli"></a>

Quando avvii un ambiente utilizzando il comando [**eb create**](eb3-create.md) dell'interfaccia a riga di comando di Elastic Beanstalk (CLI EB) e non specifichi un ruolo di servizio tramite l'opzione `--service-role`, Elastic Beanstalk crea il ruolo di servizio predefinito `aws-elasticbeanstalk-service-role`. Se il ruolo di servizio predefinito esiste già, Elastic Beanstalk lo utilizza per il nuovo ambiente. Anche la console Elastic Beanstalk, in queste situazioni, esegue azioni simili.

Al contrario della console, non puoi specificare un ruolo di servizio degli aggiornamenti gestiti quando si utilizza un'opzione di comando della CLI EB. Se attivi gli aggiornamenti gestiti per l'ambiente, imposta il ruolo di servizio degli aggiornamenti gestiti tramite le opzioni di configurazione. Nell'esempio seguente vengono attivati gli aggiornamenti gestiti e viene utilizzato il ruolo del servizio predefinito come ruolo del servizio degli aggiornamenti gestiti.

**Example .ebextensions/ managed-platform-update .config**  

```
option_settings:
  aws:elasticbeanstalk:managedactions:
    ManagedActionsEnabled: true
    PreferredStartTime: "Tue:09:00"
    ServiceRoleForManagedUpdates: "aws-elasticbeanstalk-service-role"
  aws:elasticbeanstalk:managedactions:platformupdate:
    UpdateLevel: patch
    InstanceRefreshEnabled: true
```

## Gestione dei ruoli del servizio utilizzando l'API Elastic Beanstalk
<a name="iam-servicerole-api"></a>

Quando utilizzi l'operazione `CreateEnvironment` dell'API Elastic Beanstalk per creare un ambiente, specifica un ruolo di servizio utilizzando l'opzione di configurazione `ServiceRole` nello spazio dei nomi `aws:elasticbeanstalk:environment`. Per ulteriori informazioni sull'utilizzo del monitoraggio avanzato dello stato con l'API Elastic Beanstalk, consulta [Utilizzo di report dello stato avanzato con l'API Elastic Beanstalk](health-enhanced-api.md). 

Inoltre, se abiliti gli [aggiornamenti gestiti della piattaforma](environment-platform-update-managed.md) per l'ambiente, puoi specificare un ruolo del servizio degli aggiornamenti gestiti utilizzando l'opzione `ServiceRoleForManagedUpdates` dello spazio dei nomi `aws:elasticbeanstalk:managedactions`.

## Uso di ruoli collegati ai servizi
<a name="iam-servicerole-slr"></a>

Un ruolo collegato al servizio è un tipo unico di ruolo di servizio predefinito da Elastic Beanstalk per includere tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS Il ruolo collegato al servizio è associato al tuo account. Elastic Beanstalk lo crea una volta, quindi lo riutilizza quando crea altri ambienti. Per informazioni dettagliate sull'utilizzo di ruoli collegati ai servizi con ambienti Elastic Beanstalk, consulta [Utilizzo dei ruoli collegati ai servizi per Elastic Beanstalk](using-service-linked-roles.md).

Quando crei un ambiente utilizzando l'API Elastic Beanstalk senza specificare un ruolo di servizio, Elastic Beanstalk crea un [ruolo collegato ai servizi di monitoraggio](using-service-linked-roles-monitoring.md) per il tuo account, se non esiste già. Il ruolo viene quindi utilizzato per il nuovo ambiente. Puoi anche utilizzare IAM per creare in anticipo il ruolo collegato ai servizi di monitoraggio del tuo account. Una volta che l'account ha questo ruolo, potrai utilizzarlo per creare un ambiente utilizzando l'API Elastic Beanstalk, la console Elastic Beanstalk o CLI EB.

Se si abilitano gli [aggiornamenti della piattaforma gestita](environment-platform-update-managed.md) per l'ambiente e si specifica `AWSServiceRoleForElasticBeanstalkManagedUpdates` come valore per l'opzione `ServiceRoleForManagedUpdates` dello spazio dei nomi `aws:elasticbeanstalk:managedactions`, Elastic Beanstalk crea un [ruolo collegato ai servizi con aggiornamenti gestiti](using-service-linked-roles-managedupdates.md) per l'account, se non esiste già. Elastic Beanstalk utilizza il ruolo per eseguire aggiornamenti gestiti per il nuovo ambiente.

**Nota**  
Quando Elastic Beanstalk cerca di creare i ruoli collegati ai servizi di monitoraggio e di aggiornamenti gestiti per il tuo account al momento della creazione di un ambiente, devi disporre dell'autorizzazione `iam:CreateServiceLinkedRole`. Se non disponi di questa autorizzazione, la creazione dell'ambiente non va a buon fine e viene visualizzato un messaggio che descrive il problema.  
In alternativa, un altro utente con l'autorizzazione per creare ruoli collegati ai servizi può utilizzare IAM per creare in anticipo il ruolo collegato ai servizi. Utilizzando questo metodo, non è necessaria l'autorizzazione `iam:CreateServiceLinkedRole` per creare l'ambiente.

## Verifica delle autorizzazioni del ruolo di servizio predefinito
<a name="iam-servicerole-verify"></a>

Le autorizzazioni concesse dal ruolo di servizio predefinito possono variare in base al momento in cui è stato creato, all'ultima volta in cui hai avviato un ambiente e al client che hai utilizzato. Puoi verificare le autorizzazioni concesse dal ruolo predefinito del servizio nella console IAM.

**Per verificare le autorizzazioni del ruolo di servizio predefinito**

1. Apri la [pagina **Ruoli**](https://console.aws.amazon.com/iam/home#roles) nella console IAM.

1. Scegli **aws-elasticbeanstalk-service-role**.

1. Nella scheda **Permissions (Autorizzazioni)**, esamina l'elenco delle policy collegate al ruolo.

1. Per vedere le autorizzazioni concesse da una policy, scegli la policy.

## Aggiornamento di un ruolo di servizio predefinito out-of-date
<a name="iam-servicerole-update"></a>

Se il ruolo predefinito del servizio non dispone delle autorizzazioni necessarie, puoi aggiornarlo mediante la [creazione di un nuovo ambiente](using-features.environments.md) nella console di gestione dell'ambiente Elastic Beanstalk.

In alternativa, puoi aggiungere manualmente le policy gestite al ruolo di servizio predefinito.

**Per aggiungere policy gestite al ruolo di servizio predefinito**

1. Apri la [pagina **Ruoli**](https://console.aws.amazon.com/iam/home#roles) nella console IAM.

1. Scegli **aws-elasticbeanstalk-service-role**.

1. Nella scheda **Autorizzazioni**, scegli **Collega policy**.

1. Digita **AWSElasticBeanstalk** per filtrare le policy.

1. Seleziona le policy seguenti e scegli **Collega policy**:
   + `AWSElasticBeanstalkEnhancedHealth`
   + `AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy`

## Aggiunta di autorizzazioni al ruolo di servizio predefinito
<a name="iam-servicerole-addperms"></a>

Se l'applicazione include file di configurazione che fanno riferimento a AWS risorse per le quali le autorizzazioni non sono incluse nel ruolo di servizio predefinito, Elastic Beanstalk potrebbe aver bisogno di autorizzazioni aggiuntive. Queste autorizzazioni aggiuntive sono necessarie per risolvere questi riferimenti quando elabora i file di configurazione durante un aggiornamento gestito. Se le autorizzazioni mancano, l'aggiornamento non riesce ed Elastic Beanstalk restituisce un messaggio che indica l'autorizzazione richiesta. Segui le istruzioni riportate per aggiungere le autorizzazioni per i servizi aggiuntivi al ruolo di servizio predefinito nella console IAM.

**Per aggiungere policy aggiuntive al ruolo di servizio predefinito**

1. Apri la [pagina **Ruoli**](https://console.aws.amazon.com/iam/home#roles) nella console IAM.

1. Scegli **aws-elasticbeanstalk-service-role**.

1. Nella scheda **Autorizzazioni**, scegli **Collega policy**.

1. Seleziona la policy gestita per i servizi aggiuntivi utilizzati dall'applicazione. Ad esempio `AmazonAPIGatewayAdministrator` o `AmazonElasticFileSystemFullAccess`.

1. Scegli **Collega policy**.

## Creazione di un ruolo del servizio
<a name="iam-servicerole-create"></a>

Se non riesci a utilizzare il ruolo di servizio predefinito, creane uno.

**Per creare un ruolo di servizio**

1. Apri la [pagina **Ruoli**](https://console.aws.amazon.com/iam/home#roles) nella console IAM.

1. Scegli **Crea ruolo**.

1. In **AWS service (Servizio AWS )**, scegli **AWS Elastic Beanstalk** e seleziona il caso d'uso.

1. Scegli **Successivo: autorizzazioni**.

1. Collega le policy gestite `AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy` e `AWSElasticBeanstalkEnhancedHealth` ed eventuali policy aggiuntive che forniscono le autorizzazioni necessarie per l'applicazione.

1. Scegli **Successivo: Tag**.

1. (Facoltativo) Aggiungi i tag al ruolo.

1. Scegli **Prossimo: Rivedi**.

1. Inserisci un nome per il ruolo.

1. Scegli **Crea ruolo**.

Puoi applicare il ruolo di servizio personalizzato quando crei un ambiente nella [procedura guidata per la creazione di un ambiente](environments-create-wizard.md) o con l'opzione `--service-role` nel comando `eb create`.