Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza nel servizio AWS Fault Injection
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di data center e architetture di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra te e te. AWS Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per ulteriori informazioni sui programmi di conformità che si applicano al servizio di iniezione di AWS errori, vedere [AWS Servizi nell'ambito del programma di conformitàAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa quando si utilizza AWS FIS. I seguenti argomenti mostrano come configurare il AWS FIS per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse AWS FIS.
**Topics**
+ [Protezione dei dati in AWS Fault Injection Service](data-protection.md)
+ [Gestione delle identità e degli accessi per AWS Fault Injection Service](security-iam.md)
+ [Sicurezza dell'infrastruttura in AWS Fault Injection Service](infrastructure-security.md)
+ [Accedere a AWS FIS utilizzando un'interfaccia VPC endpoint ()AWS PrivateLink](vpc-interface-endpoints.md)
# Protezione dei dati in AWS Fault Injection Service
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in AWS Fault Injection Service. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò vale anche quando lavori con AWS FIS o altri dispositivi Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
## Crittografia dei dati a riposo
AWS FIS crittografa sempre i dati inattivi. I dati in AWS FIS vengono crittografati quando sono inattivi utilizzando una crittografia trasparente lato server. Questo consente di ridurre gli oneri operativi e la complessità associati alla protezione dei dati sensibili. La crittografia dei dati inattivi consente di creare applicazioni sicure che rispettano rigorosi requisiti normativi e di conformità per la crittografia.
## Crittografia dei dati in transito
AWS FIS crittografa i dati in transito tra il servizio e altri servizi integrati. AWS Tutti i dati che passano tra AWS FIS e i servizi integrati vengono crittografati utilizzando Transport Layer Security (TLS). Per ulteriori informazioni su altri AWS servizi integrati, vedere. [Supportato Servizi AWS](what-is.md#supported-services)
# Gestione delle identità e degli accessi per AWS Fault Injection Service
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare le risorse FIS. AWS IAM è uno strumento Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona AWS Fault Injection Service con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy](security_iam_id-based-policy-examples.md)
+ [Utilizzo dei ruoli collegati ai servizi](using-service-linked-roles.md)
+ [AWS politiche gestite](security-iam-awsmanpol.md)
## Destinatari
Il modo in cui si utilizza AWS Identity and Access Management (IAM) varia a seconda del lavoro svolto in AWS FIS.
**Utente del servizio**: se utilizzi il servizio AWS FIS per svolgere il tuo lavoro, l'amministratore ti fornisce le credenziali e le autorizzazioni necessarie. Man mano che utilizzi più funzionalità AWS FIS per svolgere il tuo lavoro, potresti aver bisogno di autorizzazioni aggiuntive. La comprensione della gestione dell’accesso consente di richiedere le autorizzazioni corrette all’amministratore.
**Amministratore del servizio**: se sei responsabile delle risorse AWS FIS della tua azienda, probabilmente hai pieno accesso a FIS. AWS È tuo compito determinare a quali funzionalità e risorse AWS FIS devono accedere gli utenti del servizio. Devi quindi inviare le richieste all’amministratore IAM per modificare le autorizzazioni degli utenti del servizio. Esamina le informazioni contenute in questa pagina per comprendere i concetti di base relativi a IAM.
**Amministratore IAM**: se sei un amministratore IAM, potresti voler conoscere i dettagli su come scrivere policy per gestire l'accesso al AWS FIS.
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona AWS Fault Injection Service con IAM
Prima di utilizzare IAM per gestire l'accesso al AWS FIS, scopri quali funzionalità IAM sono disponibili per l'uso con AWS FIS.
**Funzionalità IAM che puoi utilizzare con AWS Fault Injection Service**
| Funzionalità IAM | AWS Supporto FIS |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | Sì |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
*Per avere una visione di alto livello di come AWS FIS e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) User Guide.*
## Politiche basate sull'identità per FIS AWS
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di politiche basate sull'identità per FIS AWS
Per visualizzare esempi di politiche AWS FIS basate sull'identità, vedere. [AWS Esempi di policy relative al servizio Fault Injection](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno della FIS AWS
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per la FIS AWS
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
*Per visualizzare un elenco di azioni AWS FIS, vedere [Azioni definite da AWS Fault Injection Service nel Service Authorization](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfaultinjectionservice.html#amazonec2-actions-as-permissions) Reference.*
Le azioni politiche in AWS FIS utilizzano il seguente prefisso prima dell'azione:
```
fis
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"fis:action1",
"fis:action2"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `List`, includi la seguente azione:
```
"Action": "fis:List*"
```
## Risorse politiche per la FIS AWS
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Alcune azioni dell'API AWS FIS supportano più risorse. Per specificare più risorse in un'unica istruzione, separale ARNs con virgole.
```
"Resource": [
"resource1",
"resource2"
]
```
Per visualizzare un elenco dei tipi di risorse AWS FIS e relativi ARNs, vedere Tipi di [risorse definiti da AWS Fault Injection Service nel Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfaultinjectionservice.html#amazonec2-resources-for-iam-policies) *Authorization* Reference. Per sapere con quali azioni è possibile specificare l'ARN di ogni risorsa, vedere [Azioni definite da AWS Fault Injection Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfaultinjectionservice.html#amazonec2-actions-as-permissions).
## Chiavi relative alle condizioni delle politiche per AWS FIS
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco delle chiavi di condizione AWS FIS, consulta [Condition keys for AWS Fault Injection Service nel Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfaultinjectionservice.html#amazonec2-policy-keys) *Authorization Reference*. Per sapere con quali azioni e risorse è possibile utilizzare una chiave di condizione, vedere [Azioni definite da AWS Fault Injection Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfaultinjectionservice.html#amazonec2-actions-as-permissions).
Per visualizzare esempi di politiche AWS FIS basate sull'identità, vedere. [AWS Esempi di policy relative al servizio Fault Injection](security_iam_id-based-policy-examples.md)
## ACLs AWS in FIS
**Supporti ACLs: no**
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con FIS AWS
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
Per visualizzare un esempio di politica basata sull'identità per limitare l'accesso a una risorsa in base ai tag di quella risorsa, consulta. [Esempio: utilizzare i tag per controllare l'utilizzo delle risorse](security_iam_id-based-policy-examples.md#security-iam-policy-examples-tagging)
## Utilizzo di credenziali temporanee con FIS AWS
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali multiservizio per FIS AWS
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso diretto (FAS) utilizzano le autorizzazioni del principale chiamante an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per FIS AWS
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
## Ruoli collegati ai servizi per FIS AWS
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per informazioni dettagliate sulla creazione o la gestione di ruoli collegati ai servizi AWS FIS, vedere. [Utilizza ruoli collegati ai servizi per Fault Injection Service AWS](using-service-linked-roles.md)
# AWS Esempi di policy relative al servizio Fault Injection
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse AWS FIS. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti dalla AWS FIS, incluso il formato di ARNs per ciascun tipo di risorsa, vedere [Azioni, risorse e chiavi di condizione per il servizio AWS Fault Injection nel Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfaultinjectionservice.html) *Authorization* Reference.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Esempio: utilizza la console FIS AWS](#security-iam-policy-examples-console)
+ [Esempio: elenca le azioni FIS disponibili AWS](#security-iam-policy-examples-list-actions)
+ [Esempio: creare un modello di esperimento per un'azione specifica](#security-iam-policy-examples-create-template)
+ [Esempio: avvia un esperimento](#security-iam-policy-examples-start-experiment)
+ [Esempio: utilizzare i tag per controllare l'utilizzo delle risorse](#security-iam-policy-examples-tagging)
+ [Esempio: eliminare un modello di esperimento con un tag specifico](#security-iam-policy-examples-delete-tagged-template)
+ [Esempio: consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Esempio: utilizza i tasti condizionali per `ec2:InjectApiError`](#security-iam-policy-examples-ec2)
+ [Esempio: utilizzare i tasti condizionali per `aws:s3:bucket-pause-replication`](#security-iam-policy-examples-s3)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse AWS FIS nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Esempio: utilizza la console FIS AWS
Per accedere alla console AWS Fault Injection Service, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentire all'utente di elencare e visualizzare i dettagli sulle risorse AWS FIS del proprio. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o l'API. AWS Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
La seguente politica di esempio concede l'autorizzazione a elencare e visualizzare tutte le risorse AWS FIS utilizzando la console AWS FIS, ma non a crearle, aggiornarle o eliminarle. Concede inoltre le autorizzazioni per visualizzare le risorse disponibili utilizzate da tutte le azioni AWS FIS che è possibile specificare in un modello di esperimento.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FISReadOnlyActions",
"Effect": "Allow",
"Action": [
"fis:List*",
"fis:Get*"
],
"Resource": "*"
},
{
"Sid": "AdditionalReadOnlyActions",
"Effect": "Allow",
"Action": [
"ssm:Describe*",
"ssm:Get*",
"ssm:List*",
"ec2:DescribeInstances",
"rds:DescribeDBClusters",
"ecs:DescribeClusters",
"ecs:ListContainerInstances",
"eks:DescribeNodegroup",
"cloudwatch:DescribeAlarms",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "PermissionsToCreateServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "fis.amazonaws.com"
}
}
}
]
}
```
------
## Esempio: elenca le azioni FIS disponibili AWS
La seguente politica concede l'autorizzazione a elencare le azioni AWS FIS disponibili.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fis:ListActions"
],
"Resource": "arn:aws:fis:*:*:action/*"
}
]
}
```
------
## Esempio: creare un modello di esperimento per un'azione specifica
La seguente politica concede l'autorizzazione a creare un modello di esperimento per l'azione`aws:ec2:stop-instances`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PolicyExample",
"Effect": "Allow",
"Action": [
"fis:CreateExperimentTemplate"
],
"Resource": [
"arn:aws:fis:*:*:action/aws:ec2:stop-instances",
"arn:aws:fis:*:*:experiment-template/*"
]
},
{
"Sid": "PolicyPassRoleExample",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/role-name"
]
}
]
}
```
------
## Esempio: avvia un esperimento
La seguente politica concede il permesso di avviare un esperimento utilizzando il ruolo IAM e il modello di esperimento specificati. Consente inoltre a AWS FIS di creare un ruolo collegato al servizio per conto dell'utente. Per ulteriori informazioni, consulta [Utilizza ruoli collegati ai servizi per Fault Injection Service AWS](using-service-linked-roles.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PolicyExample",
"Effect": "Allow",
"Action": [
"fis:StartExperiment"
],
"Resource": [
"arn:aws:fis:*:*:experiment-template/experiment-template-id",
"arn:aws:fis:*:*:experiment/*"
]
},
{
"Sid": "PolicyExampleforServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "fis.amazonaws.com"
}
}
}
]
}
```
------
## Esempio: utilizzare i tag per controllare l'utilizzo delle risorse
La seguente politica concede il permesso di eseguire esperimenti da modelli di esperimenti che dispongono del tag`Purpose=Test`. Non concede il permesso di creare o modificare modelli di esperimento o eseguire esperimenti utilizzando modelli che non hanno il tag specificato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "fis:StartExperiment",
"Resource": "arn:aws:fis:*:*:experiment-template/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Purpose": "Test"
}
}
}
]
}
```
------
## Esempio: eliminare un modello di esperimento con un tag specifico
La seguente politica concede il permesso di eliminare un modello di esperimento con tag`Purpose=Test`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fis:DeleteExperimentTemplate"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Purpose": "Test"
}
}
}
]
}
```
------
## Esempio: consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Esempio: utilizza i tasti condizionali per `ec2:InjectApiError`
La seguente politica di esempio utilizza la chiave `ec2:FisTargetArns` condition per definire l'ambito delle risorse di destinazione. Questa politica consente le azioni AWS FIS `aws:ec2:api-insufficient-instance-capacity-error` e`aws:ec2:asg-insufficient-instance-capacity-error`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:InjectApiError",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:FisActionId": [
"aws:ec2:api-insufficient-instance-capacity-error",
"aws:ec2:asg-insufficient-instance-capacity-error"
]
}
}
},
{
"Effect": "Allow",
"Action": "ec2:InjectApiError",
"Resource": "*",
"Condition": {
"ForAllValues:ArnLike": {
"ec2:FisTargetArns": [
"arn:aws:autoscaling:*:*:autoScalingGroup:uuid:autoScalingGroupName/asg-name"
]
}
}
},
{
"Effect": "Allow",
"Action": "autoscaling:DescribeAutoScalingGroups",
"Resource": "*"
}
]
}
```
------
## Esempio: utilizzare i tasti condizionali per `aws:s3:bucket-pause-replication`
La politica di esempio seguente utilizza la chiave `S3:IsReplicationPauseRequest` condition per consentire `PutReplicationConfiguration` e `GetReplicationConfiguration` solo se utilizzata da AWS FIS nel contesto dell'azione AWS FIS. `aws:s3:bucket-pause-replication`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"S3:PauseReplication"
],
"Resource": "arn:aws:s3:::mybucket",
"Condition": {
"StringEquals": {
"s3:DestinationRegion": "region"
}
}
},
{
"Effect": "Allow",
"Action": [
"S3:PutReplicationConfiguration",
"S3:GetReplicationConfiguration"
],
"Resource": "arn:aws:s3:::mybucket",
"Condition": {
"BoolIfExists": {
"s3:IsReplicationPauseRequest": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"S3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
}
]
}
```
------
# Utilizza ruoli collegati ai servizi per Fault Injection Service AWS
AWS [Fault Injection Service utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un ruolo collegato al servizio è un tipo unico di ruolo IAM collegato direttamente al FIS. AWS I ruoli collegati ai servizi sono predefiniti da AWS FIS e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per conto dell'utente. AWS
Un ruolo collegato ai servizi semplifica la configurazione del AWS FIS perché non è necessario aggiungere manualmente le autorizzazioni necessarie per gestire il monitoraggio e la selezione delle risorse per gli esperimenti. AWS FIS definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo FIS può assumerne i ruoli. AWS Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
Oltre al ruolo collegato al servizio, è necessario specificare anche un ruolo IAM che conceda l'autorizzazione a modificare le risorse specificate come destinazioni in un modello di esperimento. Per ulteriori informazioni, consulta [Ruoli IAM per AWS esperimenti FIS](getting-started-iam-service-role.md).
È possibile eliminare un ruolo collegato ai servizi solo dopo avere eliminato le risorse correlate. In questo modo proteggi le tue risorse AWS FIS perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
## Autorizzazioni di ruolo collegate al servizio per FIS AWS
AWS FIS utilizza il ruolo collegato al servizio denominato ****AWSServiceRoleForFIS per consentirgli di gestire il monitoraggio e la**** selezione delle risorse per gli esperimenti.
Il ruolo collegato al servizio **AWSServiceRoleForFIS** prevede che i seguenti servizi assumano il ruolo:
+ `fis.amazonaws.com`
**Il ruolo collegato al servizio **AWSServiceRoleForFIS** utilizza la politica gestita Amazon. FISService RolePolicy** Questa policy consente alla AWS FIS di gestire il monitoraggio e la selezione delle risorse per gli esperimenti. Per ulteriori informazioni, consulta [Amazon FISService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFISServiceRolePolicy.html) nel *AWS Managed Policy Reference*.
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. ****AWSServiceRoleForAffinché il ruolo collegato al servizio FIS**** venga creato correttamente, l'identità IAM con cui si utilizza AWS FIS deve disporre delle autorizzazioni richieste. Per concedere le autorizzazioni richieste, collega la seguente policy all'identità IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "fis.amazonaws.com"
}
}
}
]
}
```
------
Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Crea un ruolo collegato al servizio per FIS AWS
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando si avvia un esperimento AWS FIS nell' Console di gestione AWS, nella o nell' AWS API AWS CLI, AWS FIS crea automaticamente il ruolo collegato al servizio.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando si avvia un esperimento FIS, AWS AWS FIS crea nuovamente il ruolo collegato al servizio.
## Modifica un ruolo collegato al servizio per FIS AWS
AWS **FIS non consente di modificare il ruolo collegato al servizio FIS. AWSService RoleFor** Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminare un ruolo collegato al servizio per FIS AWS
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il servizio AWS FIS utilizza il ruolo quando si tenta di ripulire le risorse, la pulizia potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
****Per pulire le risorse AWS FIS utilizzate dal FIS AWSService RoleFor****
Assicurati che nessuno dei tuoi esperimenti sia attualmente in esecuzione. Se necessario, interrompi gli esperimenti. Per ulteriori informazioni, consulta [Interrompere un esperimento](stop-experiment.md).
**Eliminazione manuale del ruolo collegato al servizio con IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al servizio **AWSServiceRoleForFIS**. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per AWS i ruoli collegati ai servizi FIS
AWS FIS supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, vedere [Endpoint e quote del AWS Fault Injection Service](https://docs.aws.amazon.com/general/latest/gr/fis.html).
# AWS politiche gestite per AWS Fault Injection Service
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: Amazon FISService RolePolicy
Questa politica è allegata al ruolo collegato al servizio denominato **AWSServiceRoleForFIS per consentire a FIS** di gestire il monitoraggio e AWS la selezione delle risorse per gli esperimenti. Per ulteriori informazioni, consulta [Utilizza ruoli collegati ai servizi per Fault Injection Service AWS](using-service-linked-roles.md).
## AWS politica gestita: accesso AWSFault InjectionSimulator EC2
Utilizza questa policy in un ruolo di esperimento per concedere l'autorizzazione AWS FIS a eseguire esperimenti che utilizzano le [azioni AWS FIS per Amazon EC2](fis-actions-reference.md#ec2-actions-reference). Per ulteriori informazioni, consulta [Ruoli IAM per AWS esperimenti FIS](getting-started-iam-service-role.md).
*Per visualizzare le autorizzazioni per questa politica, consulta [AWSFaultInjectionSimulatorEC2Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSFaultInjectionSimulatorEC2Access.html) nel Managed Policy Reference.AWS *
## AWS politica gestita: AWSFault InjectionSimulator ECSAccess
Usa questa policy in un ruolo di esperimento per concedere l'autorizzazione AWS FIS a eseguire esperimenti che utilizzano le [azioni AWS FIS per Amazon ECS](fis-actions-reference.md#ecs-actions-reference). Per ulteriori informazioni, consulta [Ruoli IAM per AWS esperimenti FIS](getting-started-iam-service-role.md).
Per vedere le autorizzazioni per questa policy, consulta [AWSFaultInjectionSimulatorECSAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSFaultInjectionSimulatorECSAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## AWS politica gestita: AWSFault InjectionSimulator EKSAccess
Utilizza questa politica in un ruolo di esperimento per concedere l'autorizzazione AWS FIS a eseguire esperimenti che utilizzano le [azioni AWS FIS per Amazon EKS](fis-actions-reference.md#eks-actions-reference). Per ulteriori informazioni, consulta [Ruoli IAM per AWS esperimenti FIS](getting-started-iam-service-role.md).
Per vedere le autorizzazioni per questa policy, consulta [AWSFaultInjectionSimulatorEKSAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSFaultInjectionSimulatorEKSAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## AWS politica gestita: AWSFault InjectionSimulatorNetworkAccess
Utilizza questo criterio in un ruolo di esperimento per concedere l'autorizzazione AWS FIS a eseguire esperimenti che utilizzano le azioni di [rete AWS FIS](fis-actions-reference.md#network-actions-reference). Per ulteriori informazioni, consulta [Ruoli IAM per AWS esperimenti FIS](getting-started-iam-service-role.md).
Per vedere le autorizzazioni per questa policy, consulta [AWSFaultInjectionSimulatorNetworkAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSFaultInjectionSimulatorNetworkAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## AWS politica gestita: AWSFault InjectionSimulator RDSAccess
Usa questa policy in un ruolo di esperimento per concedere l'autorizzazione AWS FIS a eseguire esperimenti che utilizzano le [azioni AWS FIS per Amazon](fis-actions-reference.md#rds-actions-reference) RDS. Per ulteriori informazioni, consulta [Ruoli IAM per AWS esperimenti FIS](getting-started-iam-service-role.md).
Per vedere le autorizzazioni per questa policy, consulta [AWSFaultInjectionSimulatorRDSAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSFaultInjectionSimulatorRDSAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## AWS politica gestita: AWSFault InjectionSimulator SSMAccess
Utilizzate questo criterio in un ruolo di esperimento per concedere l'autorizzazione AWS FIS a eseguire esperimenti che utilizzano le [azioni AWS FIS per Systems Manager](fis-actions-reference.md#ssm-actions-reference). Per ulteriori informazioni, consulta [Ruoli IAM per AWS esperimenti FIS](getting-started-iam-service-role.md).
Per vedere le autorizzazioni per questa policy, consulta [AWSFaultInjectionSimulatorSSMAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSFaultInjectionSimulatorSSMAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## AWS Aggiornamenti FIS alle politiche gestite AWS
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per AWS FIS da quando questo servizio ha iniziato a tenere traccia di queste modifiche.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSFaultInjectionSimulatorEC2Accesso](#AWSFaultInjectionSimulatorEC2Access): aggiornamento a una politica esistente | È stata aggiunta l'autorizzazione richiesta per gli scenari «AZ: Application Slowdown» e «Cross-AZ: Traffic Slowdown». Le autorizzazioni sono: ec2: DescribeSubnets | 12 novembre 2025 |
| [AWSFaultInjectionSimulatorECSAccess](#AWSFaultInjectionSimulatorECSAccess): aggiornamento di una policy esistente | Sono state aggiunte le autorizzazioni necessarie per gli scenari «AZ: Application Slowdown» e «Cross-AZ: Traffic Slowdown». Le autorizzazioni sono: ecs:, ec2: ed ec2: DescribeContainerInstances DescribeSubnets DescribeInstances | 12 novembre 2025 |
| [AWSFaultInjectionSimulatorECSAccess](#AWSFaultInjectionSimulatorECSAccess): aggiornamento di una policy esistente | Sono state aggiunte autorizzazioni per consentire al AWS FIS di risolvere gli obiettivi ECS. | 25 gennaio 2024 |
| [AWSFaultInjectionSimulatorNetworkAccess](#AWSFaultInjectionSimulatorNetworkAccess): aggiornamento di una policy esistente | Sono state aggiunte autorizzazioni per consentire a AWS FIS di eseguire esperimenti utilizzando le azioni and. aws:network:route-table-disrupt-cross-region-connectivity aws:network:transit-gateway-disrupt-cross-region-connectivity | 25 gennaio 2024 |
| [AWSFaultInjectionSimulatorEC2Accesso](#AWSFaultInjectionSimulatorEC2Access): aggiornamento a una politica esistente | Autorizzazioni aggiunte per consentire a AWS FIS di risolvere le istanze EC2. | 13 novembre 2023 |
| [AWSFaultInjectionSimulatorEKSAccess](#AWSFaultInjectionSimulatorEKSAccess): aggiornamento di una policy esistente | Sono state aggiunte autorizzazioni per consentire a FIS di risolvere gli obiettivi AWS EKS. | 13 novembre 2023 |
| [AWSFaultInjectionSimulatorRDSAccess](#AWSFaultInjectionSimulatorRDSAccess): aggiornamento di una policy esistente | Sono state aggiunte autorizzazioni per consentire a AWS FIS di risolvere gli obiettivi RDS. | 13 novembre 2023 |
| [AWSFaultInjectionSimulatorEC2Accesso](#AWSFaultInjectionSimulatorEC2Access): aggiornamento a una politica esistente | Sono state aggiunte autorizzazioni per consentire a AWS FIS di eseguire documenti SSM su istanze EC2 e di terminare le istanze EC2. | 2 giugno 2023 |
| [AWSFaultInjectionSimulatorSSMAccess](#AWSFaultInjectionSimulatorSSMAccess): aggiornamento di una policy esistente | Sono state aggiunte autorizzazioni per consentire AWS a FIS di eseguire documenti SSM su istanze EC2. | 2 giugno 2023 |
| [AWSFaultInjectionSimulatorECSAccess](#AWSFaultInjectionSimulatorECSAccess): aggiornamento di una policy esistente | Sono state aggiunte autorizzazioni per consentire a AWS FIS di eseguire esperimenti utilizzando le nuove azioni. aws:ecs:task | 1 giugno 2023 |
| [AWSFaultInjectionSimulatorEKSAccess](#AWSFaultInjectionSimulatorEKSAccess): aggiornamento di una policy esistente | Sono state aggiunte autorizzazioni per consentire a AWS FIS di eseguire esperimenti utilizzando le nuove azioni. aws:eks:pod | 1 giugno 2023 |
| [AWSFaultInjectionSimulatorEC2Accesso: nuova](#AWSFaultInjectionSimulatorEC2Access) politica | È stata aggiunta una policy per consentire a AWS FIS di eseguire un esperimento che utilizza azioni AWS FIS per Amazon EC2. | 26 ottobre 2022 |
| [AWSFaultInjectionSimulatorECSAccess](#AWSFaultInjectionSimulatorECSAccess): nuova policy | È stata aggiunta una policy per consentire a AWS FIS di eseguire un esperimento che utilizza azioni AWS FIS per Amazon ECS. | 26 ottobre 2022 |
| [AWSFaultInjectionSimulatorEKSAccess](#AWSFaultInjectionSimulatorEKSAccess): nuova policy | È stata aggiunta una policy per consentire a AWS FIS di eseguire un esperimento che utilizza azioni AWS FIS per Amazon EKS. | 26 ottobre 2022 |
| [AWSFaultInjectionSimulatorNetworkAccess](#AWSFaultInjectionSimulatorNetworkAccess): nuova policy | È stata aggiunta una policy per consentire a AWS FIS di eseguire un esperimento che utilizza azioni di rete AWS FIS. | 26 ottobre 2022 |
| [AWSFaultInjectionSimulatorRDSAccess](#AWSFaultInjectionSimulatorRDSAccess): nuova policy | È stata aggiunta una policy per consentire a AWS FIS di eseguire un esperimento che utilizza azioni AWS FIS per Amazon RDS. | 26 ottobre 2022 |
| [AWSFaultInjectionSimulatorSSMAccess](#AWSFaultInjectionSimulatorSSMAccess): nuova policy | È stata aggiunta una policy per consentire a AWS FIS di eseguire un esperimento che utilizza azioni AWS FIS per Systems Manager. | 26 ottobre 2022 |
| [Amazon FISService RolePolicy](#security-iam-awsmanpol-AmazonFISServiceRolePolicy): aggiornamento a una politica esistente | Sono state aggiunte autorizzazioni per consentire a AWS FIS di descrivere le sottoreti. | 26 ottobre 2022 |
| [Amazon FISService RolePolicy](#security-iam-awsmanpol-AmazonFISServiceRolePolicy): aggiornamento a una politica esistente | Sono state aggiunte autorizzazioni per consentire a AWS FIS di descrivere i cluster EKS. | 7 luglio 2022 |
| [Amazon FISService RolePolicy](#security-iam-awsmanpol-AmazonFISServiceRolePolicy): aggiornamento a una politica esistente | Sono state aggiunte autorizzazioni per consentire a AWS FIS di elencare e descrivere le attività nei cluster. | 7 febbraio 2022 |
| [Amazon FISService RolePolicy](#security-iam-awsmanpol-AmazonFISServiceRolePolicy): aggiornamento a una politica esistente | È stata rimossa la events:ManagedBy condizione per l'events:DescribeRuleazione. | 6 gennaio 2022 |
| [Amazon FISService RolePolicy](#security-iam-awsmanpol-AmazonFISServiceRolePolicy): aggiornamento a una politica esistente | Sono state aggiunte autorizzazioni per consentire a AWS FIS di recuperare la cronologia degli CloudWatch allarmi utilizzati in condizioni di arresto. | 30 giugno 2021 |
| AWS FIS ha iniziato a tenere traccia delle modifiche | AWS La FIS ha iniziato a tenere traccia delle modifiche alle sue politiche AWS gestite | 1° marzo 2021 |
# Sicurezza dell'infrastruttura in AWS Fault Injection Service
In quanto servizio gestito, AWS Fault Injection Service è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzate chiamate API AWS pubblicate per accedere a AWS FIS attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
# Accedere a AWS FIS utilizzando un'interfaccia VPC endpoint ()AWS PrivateLink
Puoi stabilire una connessione privata tra il tuo VPC e il servizio AWS Fault Injection creando un endpoint *VPC* di interfaccia. Gli endpoint VPC sono alimentati da [AWS PrivateLink](https://aws.amazon.com/privatelink)una tecnologia che consente di accedere privatamente al AWS FIS APIs senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione Direct Connect. AWS Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per comunicare con AWS FIS. APIs
Ogni endpoint di interfaccia è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) nelle sottoreti.
*Per ulteriori informazioni, consulta [Access Servizi AWS through AWS PrivateLink nella Guida](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html).AWS PrivateLink *
## Considerazioni sugli endpoint AWS VPC FIS
*Prima di configurare un endpoint VPC di interfaccia per AWS FIS, consulta [Access an using Servizio AWS an interface VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) endpoint nella Guida.AWS PrivateLink *
AWS FIS supporta l'esecuzione di chiamate a tutte le sue azioni API dal tuo VPC.
## Crea un endpoint VPC di interfaccia per FIS AWS
Puoi creare un endpoint VPC per il servizio AWS FIS utilizzando la console Amazon VPC o (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta la sezione [Creazione di un endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) nella *Guida di AWS PrivateLink *.
Crea un endpoint VPC per AWS FIS utilizzando il seguente nome di servizio:. `com.amazonaws.region.fis`
Se abiliti il DNS privato per l'endpoint, puoi effettuare richieste API a AWS FIS utilizzando il nome DNS predefinito per la regione, per esempio,. `fis.us-east-1.amazonaws.com`
## Crea una policy per gli endpoint VPC per FIS AWS
Puoi allegare una policy per gli endpoint all'endpoint VPC che controlla l'accesso al FIS. AWS La policy specifica le informazioni riportate di seguito:
+ Il principale che può eseguire operazioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire azioni.
Per ulteriori informazioni, consulta [Control access to VPC endpoints using endpoint policies](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella *Guida di AWS PrivateLink *.
**Esempio: policy degli endpoint VPC per azioni FIS specifiche AWS**
La seguente policy sugli endpoint VPC concede l'accesso alle azioni AWS FIS elencate su tutte le risorse a tutti i principali attori.
```
{
"Statement":[
{
"Effect":"Allow",
"Action":[
"fis:ListExperimentTemplates",
"fis:StartExperiment",
"fis:StopExperiment",
"fis:GetExperiment"
],
"Resource":"*",
"Principal":"*"
}
]
}
```
**Esempio: policy degli endpoint VPC che nega l'accesso da uno specifico Account AWS**
La seguente politica degli endpoint VPC nega l' Account AWS accesso specificato a tutte le azioni e le risorse, ma concede a tutti gli altri Account AWS accessi a tutte le azioni e risorse.
```
{
"Statement":[
{
"Effect": "Allow",
"Action": "*",
"Resource": "*",
"Principal": "*"
},
{
"Effect":"Deny",
"Action": "*",
"Resource": "*",
"Principal": {
"AWS": [ "123456789012" ]
}
}
]
}
```