Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Identity and Access Management per AWS Global Accelerator
AWS Identity and Access Management (IAM) è un servizio AWS che permette agli amministratori di controllare in modo sicuro l'accesso alle risorse AWS, incluse le risorse AWS Global Accelerator. Gli amministratori utilizzano IAM per controllare chi è*Autenticazione*(effettuato l'accesso) e*autorizzato*(dispone delle autorizzazioni) per utilizzare le risorse di Global Accelerator. IAM è una caratteristica inclusa nel tuo account AWS senza costi aggiuntivi.
**Importante**
Se non hai familiarità con IAM, consulta le informazioni introduttive in questa pagina e quindi consulta[Nozioni di base su IAM](auth_access_overview.md#auth_access_getting-started): . Facoltativamente, puoi fare riferimento agli argomenti, per ulteriori informazioni sull'autenticazione e sul controllo dell'accesso, consulta[Che cos'è l'autenticazione?](auth_access_overview.md#auth_access_what-is-authentication),[Cos'è il controllo degli accessi?](auth_access_overview.md#auth_access_what-is-access-control), e[Che cosa sono le policy?](auth_access_overview.md#auth_access_what-are-policies): .
**Argomenti**
+ [Nozioni e termini](#auth_access_introduction)
+ [Autorizzazioni necessarie per l'accesso alla console, la gestione dell'autenticazione e il controllo dell'accesso](#auth_access_required-permissions)
+ [Capire come Global Accelerator funziona con IAM](#auth_access_service-with-iam)
+ [Risoluzione dei problemi di autenticazione e controllo degli accessi](#auth_access_troubleshoot)
## Nozioni e termini
**Autenticazione**: per effettuare l'accesso ad AWS, devi utilizzare una delle seguenti credenziali: credenziali utente root (non consigliato), credenziali utente IAM o credenziali temporanee mediante i ruoli IAM. Per ulteriori informazioni su queste entità, consulta [Che cos'è l'autenticazione?](auth_access_overview.md#auth_access_what-is-authentication).
**Controllo degli accessi**: gli amministratori AWS utilizzano le policy per controllare l'accesso alle risorse AWS, ad esempio gli acceleratori in Global Accelerator. Per ulteriori informazioni, consulta [Cos'è il controllo degli accessi?](auth_access_overview.md#auth_access_what-is-access-control) e [Che cosa sono le policy?](auth_access_overview.md#auth_access_what-are-policies).
**Importante**
Tutte le risorse in un account sono di proprietà di tale account, indipendentemente da chi le ha create. Per creare una risorsa, è necessario disporre dell'accesso. Tuttavia, il solo fatto di avere creato una risorsa non significa che automaticamente si dispone dell'accesso completo a tale risorsa. Un amministratore deve concedere in modo esplicito le autorizzazioni per ogni operazione che si desidera eseguire. L'amministratore può inoltre revocare tali autorizzazioni in qualsiasi momento.
Per ulteriori informazioni sulle nozioni di base relative al funzionamento di IAM, consulta i seguenti termini:
**Risorse**
I servizi AWS, ad esempio Global Accelerator e IAM, in genere includono oggetti denominati risorse. Nella maggior parte dei casi, è possibile creare, gestire ed eliminare queste risorse dal servizio. Le risorse IAM includono utenti, gruppi, ruoli e policy:
**Utenti**
Un utente IAM rappresenta la persona o l'applicazione che utilizza le credenziali per interagire con AWS. Un utente è composto da un nome, una password per effettuare l'accesso alla Console di gestione AWS e fino a due chiavi di accesso che possono essere utilizzate con l'interfaccia a riga di comando AWS o l'API AWS.
**Gruppi**
Un gruppo IAM è un insieme di utenti IAM. Gli amministratori possono utilizzare gruppi per specificare le autorizzazioni per gli utenti membri. Ciò semplifica la gestione delle autorizzazioni per più utenti per un amministratore.
**Roles**
A un ruolo IAM non sono associate credenziali a lungo termine (password o chiavi di accesso). Un ruolo può essere assunto da qualsiasi utente che lo richieda e che disponga delle autorizzazioni. Un utente IAM può assumere un ruolo per ottenere temporaneamente autorizzazioni diverse per un'attività specifica. Gli utenti federati possono assumere un ruolo utilizzando un provider di identità esterno mappato al ruolo. Alcuni servizi AWS possono assumere un*Ruolo del servizio*Per accedere alle risorse AWS per conto tuo.
**Policies**
Le policy sono documenti JSON che definiscono le autorizzazioni per l'oggetto a cui sono collegate. AWS Support*Policy basate su identità*Collegare alle identità (utenti, gruppi o ruoli). Alcuni servizi AWS consentono di allegare*Policy basate su risorse*Alle risorse per controllare le operazioni che un principale (persona o applicazione) può eseguire su tale risorsa. Global Accelerator non supporta policy basate su risorse.
**Identità**
Le identità sono risorse IAM per le quali è possibile definire le autorizzazioni. Questi includono utenti, gruppi e ruoli.
**Entità**
Le entità sono risorse IAM che vengono utilizzate per l'autenticazione. Questi includono utenti e ruoli.
**Principali**
In AWS, un principale è una persona o un'applicazione che utilizza un'entità per accedere ed effettuare richieste ad AWS. Un principale può utilizzare AWS Management Console, l'interfaccia a riga di comando AWS oppure l'API AWS per eseguire un'operazione, ad esempio l'eliminazione di un acceleratore. Ciò crea una *richiesta* per tale operazione. La richiesta specifica l'*operazione*, la *risorsa*, il *principale*, l'*account principale* e qualsiasi altra informazione relativa alla richiesta. Tutte queste informazioni forniscono AWS con*context*Per la tua richiesta. AWS controlla tutte le policy applicabili al contesto della richiesta. AWS autorizza la richiesta solo se ogni parte della richiesta è autorizzata in base alla policy.
Per visualizzare un diagramma del processo di autenticazione e controllo dell'accesso, consulta[Introduzione al funzionamento di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html)nella*Guida per l'utente di IAM*: . Per ulteriori informazioni su come AWS determina se una richiesta è consentita, consulta[Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)nella*Guida per l'utente di IAM*: .
## Autorizzazioni necessarie per l'accesso alla console, la gestione dell'autenticazione e il controllo dell'accesso
Per utilizzare Global Accelerator o per gestire l'autorizzazione e il controllo dell'accesso per sé stessi o gli altri utenti, è necessario disporre delle autorizzazioni corrette.
### Autorizzazioni necessarie per creare un acceleratore globale
Per creare un acceleratore AWS Global Accelerator, gli utenti devono disporre dell'autorizzazione per creare ruoli collegati al servizio associati a Global Accelerator.
Per assicurarsi che gli utenti dispongano delle autorizzazioni corrette per creare acceleratori in Global Accelerator, allegare all'utente un criterio come il seguente.
**Nota**
Se crei una policy di autorizzazioni basate sulle identità più restrittiva, gli utenti con tale policy non potranno creare un acceleratore.
```
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "globalaccelerator.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator*"
}
```
### Autorizzazioni necessarie per l'uso della console Global Accelerator
Per accedere alla console AWS Global Accelerator, è necessario disporre di un set minimo di autorizzazioni che consentono di elencare e visualizzare i dettagli relativi alle risorse Global Accelerator nell'account AWS. Se crei una policy di autorizzazioni basate su identità più restrittiva delle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità associate a tale policy.
Per garantire che tali entità possano continuare a usare la console Global Accelerator o le operazioni API, collega anche una delle seguenti policy gestite da AWS all'utente, come descritto in[Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor):
```
GlobalAcceleratorReadOnlyAccess
GlobalAcceleratorFullAccess
```
Allegare il primo criterio,`GlobalAcceleratorReadOnlyAccess`, se gli utenti devono solo visualizzare le informazioni nella console o effettuare chiamate all'interfaccia della riga di comando AWS o all'API che utilizzano`List*`o`Describe*`operazioni.
Allegare la seconda politica,`GlobalAcceleratorFullAccess`, agli utenti che devono creare o aggiornare gli acceleratori. La policy di accesso completo include*FULL*autorizzazioni per Global Accelerator e*describe*autorizzazioni per Amazon EC2 e Elastic Load Balancing.
**Nota**
Se crei un criterio di autorizzazione basato sull'identità che non include le autorizzazioni richieste per Amazon EC2 e Elastic Load Balancing, gli utenti con tale criterio non saranno in grado di aggiungere risorse Amazon EC2 e Elastic Load Balancing agli acceleratori.
Di seguito è riportato il criterio di accesso completo:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"globalaccelerator:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeSubnets",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DeleteNetworkInterface"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeleteSecurityGroup",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AWSServiceName": "GlobalAccelerator"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:DescribeLoadBalancers",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:network-interface/*"
]
}
]
}
```
### Permessi necessari per la gestione dell'autenticazione
Per gestire le credenziali, ad esempio la password, le chiavi di accesso e i dispositivi con autenticazione a più fattori, l'amministratore deve concedere le autorizzazioni richieste. Per visualizzare la policy che include questi autorizzazioni, consulta [Consente agli utenti di gestire in modo autonomo le proprie credenziali](auth_access_overview.md#auth_access_manage-password-mfa).
Un amministratore AWS deve disporre dell'accesso completo a IAM in modo da poter creare e gestire utenti, gruppi, ruoli e policy in IAM. È consigliabile utilizzare l'opzione[AdministratorAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AdministratorAccess)Policy gestita da AWS che include l'accesso completo a tutti AWS. Questa policy non fornisce l'accesso alla console Billing and Cost Management AWS oppure consente attività che richiedono le credenziali utente radice dell'account AWS. Per ulteriori informazioni, consulta[Attività AWS che richiedono credenziali utente root dell'account AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)nella*Riferimenti generali AWS*: .
**avvertimento**
Solo un utente amministratore deve disporre dell'accesso completo ad AWS. Chiunque associato a questa policy dispone dell'autorizzazione per la gestione completa dell'autenticazione e del controllo dell'accesso e per la modifica di tutte le risorse in AWS. Per scoprire come creare questo utente, consulta [Creare l'utente amministratore IAM](auth_access_overview.md#auth_access_setup-iam-admin).
### Autorizzazioni necessarie per il controllo degli
Se l'amministratore fornisce le credenziali utente IAM, tali credenziali associano policy all'utente IAM per controllare le risorse a cui l'utente può accedere. Per visualizzare le policy collegate all'identità utente nella Console di gestione AWS, devi disporre delle seguenti autorizzazioni:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": [
"arn:aws:iam::*:user/${aws:username}"
]
},
{
"Sid": "ListUsersViewGroupsAndPolicies",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
Se sono necessarie ulteriori autorizzazioni, chiedi all'amministratore di aggiornare le policy in modo da consentirti di accedere alle operazioni richieste.
## Capire come Global Accelerator funziona con IAM
I servizi possono funzionare con IAM in diversi modi:
**Operazioni**
Global Accelerator supporta l'utilizzo di operazioni in una policy. Ciò consente a un amministratore di controllare se un'entità è in grado di completare un'operazione in Global Accelerator. Ad esempio, per consentire a un'entità di chiamare il metodo`GetPolicy`Operazione API AWS per visualizzare una policy, un amministratore deve collegare una policy che consente la`iam:GetPolicy`Operazione .
Il seguente criterio di esempio consente a un utente di eseguire la`CreateAccelerator`per creare a livello di codice un acceleratore per il tuo account AWS:
```
{
"Version": "2018-08-08",
"Statement": [
{
"Effect": "Allow",
"Action": [
"globalaccelerator:CreateAccelerator"
],
"Resource":"*"
}
]
}
```
**Autorizzazioni a livello di risorsa**
Global Accelerator supporta le autorizzazioni a livello di risorsa. Le autorizzazioni a livello di risorsa consentono di utilizzare gli [ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) per specificare singole risorse nella policy.
**Policy basate su risorse**
Global Accelerator non supporta policy basate su risorse. Con policy basate sulle risorse, è possibile collegare una policy a una risorsa all'interno del servizio. Le policy basate su risorse includono un`Principal`Elemento per specificare quali identità IAM possono accedere a tale risorsa.
**Autorizzazione basata tag**
Global Accelerator supporta i tag basati sulle autorizzazioni. Questa caratteristica consente di usare i [tag delle risorse](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) nella condizione di una policy.
**Credenziali temporanee**
Global Accelerator supporta le credenziali temporanee. Con credenziali temporanee, puoi effettuare l'accesso utilizzando la federazione, assumere un ruolo IAM o assumere un ruolo multi-account. Per ottenere le credenziali di sicurezza temporanee, eseguire una chiamata a operazioni API AWS STS come[https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o[https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html): .
**Ruoli collegati ai servizi**
Global Accelerator supporta ruoli collegati ai servizi. Questa caratteristica consente a un servizio di assumere un [ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'operazione per conto dell'utente. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.
**Ruoli dei servizi**
Global Accelerator non supporta ruoli di servizio. Questa caratteristica consente a un servizio di assumere un [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'operazione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questa operazione potrebbe pregiudicare la funzionalità del servizio.
## Risoluzione dei problemi di autenticazione e controllo degli accessi
Utilizza le informazioni seguenti per diagnosticare e risolvere i problemi comuni che possono verificarsi durante l'utilizzo di IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'operazione in Global Accelerator](#auth_access_troubleshoot-no-permissions)
+ [Sono un amministratore e desidero consentire ad altri utenti di accedere a Global Accelerator](#auth_access_troubleshoot-admin-allow-access)
+ [Voglio capire IAM senza diventare un esperto](#auth_access_troubleshoot-iam-expert)
### Non sono autorizzato a eseguire un'operazione in Global Accelerator
Se la Console di gestione AWS indica che non sei autorizzato a eseguire un'operazione, devi contattare l'amministratore e richiedere il nome utente e la password.
L'esempio seguente si verifica quando un utente IAM denominato`my-user-name`tenta di utilizzare la console per eseguire l'operazione`globalaccelerator:CreateAccelerator`ma non ha autorizzazioni:
```
User: arn:aws:iam::123456789012:user/my-user-name is not authorized to perform: aws-globalaccelerator:CreateAccelerator on resource: my-example-accelerator
```
In questo caso, devi contattare l'amministratore per l'aggiornamento delle policy in modo che venga autorizzato l'accesso alla`my-example-accelerator`utilizzando l'opzione`aws-globalaccelerator:CreateAccelerator`Operazione .
### Sono un amministratore e desidero consentire ad altri utenti di accedere a Global Accelerator
Per consentire ad altri utenti di accedere ad Global Accelerator, devi creare un'entità IAM (utente o ruolo) per la persona o l'applicazione che richiede l'accesso. Tale utente o applicazione utilizzerà le credenziali dell'entità per accedere ad AWS. Dovrai quindi collegare all'entità una policy che conceda le autorizzazioni corrette in Global Accelerator.
Per iniziare, consulta [Nozioni di base su IAM](auth_access_overview.md#auth_access_getting-started).
### Voglio capire IAM senza diventare un esperto
Per ulteriori informazioni su termini, concetti e procedure IAM di, consulta i seguenti argomenti:
+ [Che cos'è l'autenticazione?](auth_access_overview.md#auth_access_what-is-authentication)
+ [Cos'è il controllo degli accessi?](auth_access_overview.md#auth_access_what-is-access-control)
+ [Che cosa sono le policy?](auth_access_overview.md#auth_access_what-are-policies)
## Policy basate su tag
Durante la progettazione di policy IAM, potrebbe essere necessario impostare autorizzazioni granulari concedendo l'accesso a risorse specifiche. Poiché il numero di risorse che puoi gestire cresce, questa operazione diventa più difficile. Il tagging degli acceleratori e l'utilizzo di tag in condizioni di dichiarazione di policy possono semplificare questa attività. Puoi concedere l'accesso in blocco a qualsiasi acceleratore con un determinato tag. Quindi applicare ripetutamente questo tag a acceleratori pertinenti, quando crea l'acceleratore o aggiornando l'acceleratore in seguito.
**Nota**
L'utilizzo di tag nelle condizioni è un modo per controllare l'accesso alle risorse e alle richieste. Per informazioni sul tagging in Global Accelerator, consulta[Tagging in AWS Global Accelerator](tagging-in-global-accelerator.md): .
I tag possono essere collegati a una risorsa o trasferiti nella richiesta verso servizi che supportano il tagging. In Global Accelerator, solo gli acceleratori possono includere tag. Quando si crea una policy IAM, è possibile utilizzare le chiavi di condizione di tag per controllare:
+ Quali utenti possono eseguire operazioni su un acceleratore in base ai tag di cui dispongono già.
+ Quali tag possono essere passati in una richiesta di operazione;
+ Se delle chiavi di tag specifiche possono essere utilizzate in una richiesta.
Per la sintassi completa e la semantica delle chiavi delle condizioni dei tag, consulta[Controllo dell'accesso tramite tag IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)nella*Guida per l'utente di IAM*: .
Ad esempio, l'acceleratore globale`GlobalAcceleratorFullAccess`La policy utente gestita fornisce agli utenti autorizzazioni illimitate per eseguire qualsiasi operazione di Global Accelerator su qualsiasi risorsa. La policy seguente limita questa capacità e nega agli utenti non autorizzati l'autorizzazione a eseguire qualsiasi operazione di Global Accelerator su qualsiasi*Produzione*Acceleratori L'amministratore di un cliente deve collegare questa policy IAM a utenti IAM non autorizzati oltre alla policy gestita dall'utente.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Deny",
"Action":"*",
"Resource":"*",
"Condition":{
"ForAnyValue:StringEquals":{
"aws:RequestTag/stage":"prod"
}
}
},
{
"Effect":"Deny",
"Action":"*",
"Resource":"*",
"Condition":{
"ForAnyValue:StringEquals":{
"aws:ResourceTag/stage":"prod"
}
}
}
]
}
```
# Ruolo collegato ai servizi per Global Accelerator
AWS Global Accelerator utilizza AWS Identity and Access Management (IAM)[Ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role): . Un ruolo collegato ai servizi è un tipo univoco di ruolo IAM collegato direttamente a un servizio. I ruoli collegati ai servizi sono definiti automaticamente dal servizio stesso e includono tutte le autorizzazioni richieste dal servizio per eseguire chiamate agli altri servizi AWS per tuo conto.
Global Accelerator usa il seguente ruolo collegato ai servizi IAM:
+ **AWSServiceroleForGlobalAccelerator**: Global Accelerator utilizza questo ruolo per consentire a Global Accelerator di creare e gestire le risorse necessarie per la conservazione degli indirizzi IP del client.
Global Accelerator crea automaticamente un ruolo denominato AWSServiceroleForGlobalAccelerator quando il ruolo è richiesto per la prima volta per supportare un'operazione API Global Accelerator. Il ruolo AWSServiceroleForGlobalAccelerator consente a Global Accelerator di creare e gestire le risorse necessarie per la conservazione degli indirizzi IP del client. Questo ruolo è necessario per l'utilizzo degli acceleratori in Global Accelerator. L'ARN per il ruolo AWSServiceRoleForGlobalAccelerator è simile al seguente:
`arn:aws:iam::123456789012:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator`
Un ruolo collegato ai servizi semplifica la configurazione e l'utilizzo di Global Accelerator perché non dovrai più aggiungere manualmente le autorizzazioni necessarie. Global Accelerator definisce le autorizzazioni del relativo ruolo collegato ai servizi; solo Global Accelerator può assumere i propri ruoli. Le autorizzazioni definite includono policy di trust e di autorizzazioni. Queste ultime non possono essere collegate a nessun'altra entità IAM.
È necessario rimuovere qualsiasi risorsa associata a Global Accelerator prima di eliminare il ruolo collegato ai servizi. In questo modo è possibile proteggere le proprie risorse Global Accelerator assicurandosi che non venga rimosso un ruolo collegato ai servizi ancora necessario per accedere alle risorse attive.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione relativa ai [servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che nella colonna **Service-Linked Role** (Ruolo associato ai servizi) riportano **Yes** (Sì).
## Autorizzazioni del ruolo collegato ai servizi per Global Accelerator
Global Accelerator usa un ruolo collegato ai servizi denominato**AWSServiceroleForGlobalAccelerator**: . Nelle sezioni seguenti vengono descritte le autorizzazioni per il ruolo.
### Autorizzazioni del ruolo collegato ai servizi
Questo ruolo collegato ai servizi consente a Global Accelerator di gestire le interfacce di rete elastiche EC2 e i gruppi di sicurezza e di facilitare la diagnosi degli errori.
Il ruolo collegato ai servizi AWSServiceRoleForGlobalAccelerator considera attendibile il seguente servizio per assumere il ruolo:
+ `globalaccelerator.amazonaws.com`
La policy delle autorizzazioni del ruolo consente a Global Accelerator di eseguire le seguenti operazioni sulle risorse specificate, come mostrato nel policy:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeSubnets",
"ec2:DescribeRegions",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DeleteNetworkInterface"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeleteSecurityGroup",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AWSServiceName": "GlobalAccelerator"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:DescribeLoadBalancers",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:network-interface/*"
]
}
]
}
```
Devi configurare le autorizzazioni per consentire a un'entità IAM (ad esempio un utente, un gruppo o un ruolo) di eliminare il ruolo collegato ai servizi di Global Accelerator. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
## Creazione del ruolo collegato ai servizi per Global Accelerator
Non devi creare manualmente il ruolo collegato al servizio per Global Accelerator. Il servizio crea automaticamente il ruolo la prima volta che si crea un acceleratore. Se rimuovi le risorse Global Accelerator ed elimina il ruolo collegato ai servizi, il servizio crea di nuovo automaticamente il ruolo quando crea un nuovo acceleratore.
## Modifica del ruolo collegato ai servizi Global Accelerator
Global Accelerator non consente di modificare il ruolo collegato ai servizi AWSServiceRoleForGlobalAccelerator. Dopo aver creato un ruolo collegato ai servizi, non puoi modificare il nome del ruolo perché varie entità possono farvi riferimento. Puoi tuttavia modificare la descrizione di un ruolo utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione del ruolo collegato ai servizi Global Accelerator
Se non devi più utilizzare Global Accelerator, ti suggeriamo di eliminare il ruolo collegato ai servizi. In questo modo non saranno più presenti entità non utilizzate che non vengono monitorate e gestite attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse di Global Accelerator nel tuo account prima di poter eliminare manualmente i ruoli.
Dopo aver disabilitato ed eliminato i tasti di scelta rapida, è possibile eliminare il ruolo collegato ai servizi. Per ulteriori informazioni sull'eliminazione degli acceleratori, consulta[Creazione o aggiornamento di un acceleratore standard](about-accelerators.creating-editing.md): .
**Nota**
Se gli acceleratori sono stati disattivati ed eliminati ma Global Accelerator non ha completato l'aggiornamento, l'eliminazione del ruolo collegato ai servizi potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti la procedura di eliminazione dei ruoli collegati ai servizi.
**Per eliminare manualmente il ruolo collegato al servizio AWSServiceRoleForGlobalAccelerator**
1. Accedere alla Console di gestione AWS e aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione della console IAM scegliere **Roles (Ruoli)**. Quindi, seleziona la casella di controllo accanto al nome del ruolo che desideri eliminare, non il nome o la riga stessa.
1. In operazioni **Role (Ruolo)** nella parte superiore della pagina, seleziona **Delete (Elimina)** ruolo.
1. Nella finestra di dialogo di conferma, controlla gli ultimi dati del servizio a cui è stato effettuato l'accesso, che mostrano quando ognuno dei ruoli selezionati ha effettuato l'accesso a un servizio AWS. In questo modo potrai verificare se il ruolo è attualmente attivo. Se desideri procedere, seleziona **Yes, Delete (Sì, elimina)** per richiedere l'eliminazione del ruolo collegato ai servizi.
1. Controlla le notifiche della console IAM per monitorare lo stato dell'eliminazione del ruolo collegato ai servizi. Poiché l'eliminazione del ruolo collegato ai servizi IAM è asincrona, una volta richiesta l'eliminazione del ruolo, il task di eliminazione può essere eseguito correttamente o meno. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Aggiornamenti al ruolo collegato al servizio Global Accelerator (un criterio gestito AWS)
Visualizzare i dettagli sugli aggiornamenti del ruolo collegato al servizio per da quando il servizio ha iniziato a tenere traccia di queste modifiche. Per avvisi automatici sulle modifiche apportate a questa pagina, iscriviti al feed RSS su AWS Global Accelerator[Cronologia dei documenti](WhatsNew.md)(Certificato creato).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSServiceroleForGlobalAccelerator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSServiceRoleForGlobalAccelerator)— Aggiornamento della policy | Global Accelerator ha aggiunto una nuova autorizzazione per aiutare Global Accelerator a diagnosticare gli errori. Global Accelerator utilizza`ec2:DescribeRegions`per determinare la regione AWS in cui si trova un cliente, che può aiutare Global Accelerator a risolvere gli errori. | 18 maggio 2021 |
| Global Accelerator ha iniziato a tenere traccia | Global Accelerator ha iniziato a monitorare le modifiche per i suoi criteri gestiti AWS. | 18 maggio 2021 |
## Regioni supportate per i ruoli collegati ai servizi di Global Accelerator
Global Accelerator supporta l'utilizzo di ruoli collegati ai servizi in regioni AWS in cui è supportato Global Accelerator.
Per un elenco delle regioni AWS in cui sono attualmente supportati Global Accelerator e altri servizi, consulta la[Tabella AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/): .
# Panoramica sull'accesso e sull'autenticazione
Se non si è esperti di IAM, leggere i seguenti argomenti per iniziare a utilizzare l'autorizzazione e l'accesso in AWS.
**Topics**
+ [Che cos'è l'autenticazione?](#auth_access_what-is-authentication)
+ [Cos'è il controllo degli accessi?](#auth_access_what-is-access-control)
+ [Che cosa sono le policy?](#auth_access_what-are-policies)
+ [Nozioni di base su IAM](#auth_access_getting-started)
## Che cos'è l'autenticazione?
L'autenticazione è la procedura di accesso ad AWS utilizzando le credenziali.
**Nota**
Per iniziare, puoi ignorare questa sezione. Innanzi tutto, leggi le informazioni introduttive disponibili nella pagina[Identity and Access Management per AWS Global Accelerator](auth-and-access-control.md)e quindi vedere[Nozioni di base su IAM](#auth_access_getting-started): .
In quanto preside, devi essere*Autenticazione*(connesso a AWS) utilizzando un'entità (utente root, utente IAM o ruolo IAM) per inviare una richiesta ad AWS. Un utente IAM può disporre di credenziali a lungo termine, ad esempio un nome utente e una password oppure un set di chiavi di accesso. Quando assumi un ruolo IAM, riceverai le credenziali di sicurezza temporanee.
Per ottenere l'autenticazione dalla console di gestione AWS come utente, devi effettuare l'accesso con il tuo nome utente e la password. Per eseguire l'autenticazione tramite l'interfaccia a riga di comando AWS o l'API AWS, devi fornire la chiave di accesso e la chiave segreta o le credenziali temporanee. AWS fornisce SDK e strumenti CLI per firmare la richiesta in maniera crittografica utilizzando le credenziali. Se non utilizzi gli strumenti di AWS, devi firmare la richiesta personalmente. Indipendentemente dal metodo di autenticazione utilizzato, potrebbe essere necessario specificare ulteriori informazioni sulla sicurezza. AWS consiglia ad esempio di utilizzare l'autenticazione a più fattori (MFA) per aumentare la sicurezza del tuo account.
In qualità di principale, puoi accedere ad AWS utilizzando le seguenti entità (utenti o ruoli):
**Utente root dell'account AWS**
Quando crei un account AWS per la prima volta, inizi con una singola identità di accesso che ha accesso completo a tutti i servizi e le risorse AWS nell'account. Tale identità è detta *utente root* dell'account AWS e puoi accedervi con l'indirizzo e-mail e la password utilizzati per creare l'account. È vivamente consigliato di non utilizzare l'utente root per le attività quotidiane, anche quelle amministrative. Rispetta piuttosto la [best practice di utilizzare l'utente root soltanto per creare il tuo primo utente &IAM;](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users). Quindi conserva al sicuro le credenziali dell'utente root e utilizzale per eseguire solo alcune attività di gestione dell'account e del servizio.
**Utente IAM**
Un[Utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)è un'entità all'interno del tuo account AWS che dispone di autorizzazioni specifiche. Global Accelerator supporta*Signature Version 4*, un protocollo per l'autenticazione di richieste API in entrata. Per ulteriori informazioni sull'autenticazione delle richieste API, consulta la sezione relativa al [processo di firma Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) nella *Guida di riferimento generale di AWS*.
**Ruolo IAM**
Un[Ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)L'identità IAM che puoi creare nell'account che ha le autorizzazioni specifiche. Un ruolo IAM è simile a un utente IAM, in quanto è un'identità AWS con policy di autorizzazioni che determinano ciò che l'identità può e non può fare in AWS. Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Tuttavia, quando assumi un ruolo, vengono fornite le credenziali di sicurezza provvisorie per la sessione del ruolo. I ruoli IAM con credenziali temporanee sono utili nelle seguenti situazioni:
**Accesso utente federato**
Anziché creare un utente IAM, è possibile utilizzare identità preesistenti da AWS Directory Service, dalla directory utente aziendale o da un provider di identità Web (IdP). Questi sono noti come *utenti federati*. AWS assegna un ruolo a un utente federato quando è richiesto l'accesso tramite un [provider di identità](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html). Per ulteriori informazioni sugli utenti federati, consultare la sezione relativa a [Utenti e ruoli federati](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles) nella *Guida per l'utente di IAM*.
**Autorizzazioni temporanee**
Un utente IAM può assumere un ruolo temporaneamente per ottenere autorizzazioni diverse per un'attività specifica.
**Accesso tra account**
Puoi utilizzare un ruolo IAM per permettere a un principale attendibile con un account diverso di accedere alle risorse nel tuo account. I ruoli sono lo strumento principale per concedere l'accesso tra account. Tuttavia, alcuni servizi AWS consentono di collegare una policy direttamente a una risorsa, invece di utilizzare un ruolo come proxy. Global Accelerator non supporta queste policy basate su risorse. Per ulteriori informazioni sulla scelta se utilizzare un ruolo o una policy basata sulle risorse per consentire l'accesso multiaccount, consulta [Controllo dell'accesso ai principale in un account diverso](#auth_access_controlling-principal-accounts).
**Accesso al servizio AWS**
Un ruolo di servizio è un[Ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)che un servizio assume per eseguire operazioni a nome dell'utente. I ruoli del servizio forniscono l'accesso all'interno del tuo account e non possono essere utilizzati per concedere l'accesso ai servizi in altri account. Un amministratore di IAM può creare, modificare ed eliminare un ruolo di servizio da IAM. Per ulteriori informazioni, consultare la sezione [Creazione di un ruolo per delegare le autorizzazioni a un servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l'utente di IAM*.
**Applicazioni in esecuzione su Amazon EC2**
È possibile utilizzare un ruolo IAM per gestire credenziali temporanee per le applicazioni in esecuzione su un'istanza EC2 che eseguono richieste AWS CLI o API AWS. Ciò è preferibile all'archiviazione delle chiavi di accesso nell'istanza EC2. Per assegnare un ruolo AWS a un'istanza EC2, affinché sia disponibile per tutte le relative applicazioni, puoi creare un profilo di istanza collegato all'istanza. Un profilo di istanza contiene il ruolo e consente ai programmi in esecuzione sull'istanza EC2 di ottenere le credenziali temporanee. Per ulteriori informazioni, consultare [Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni in esecuzione su istanze di Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) nella *Guida per l'utente di IAM*.
## Cos'è il controllo degli accessi?
Dopo aver effettuato l'accesso (dopo l'autenticazione) ad AWS, l'accesso alle risorse e alle operazioni AWS è disciplinato dalle policy. Il controllo dell'accesso è noto anche come autorizzazione.
**Nota**
Per iniziare, puoi ignorare questa pagina. Innanzi tutto, leggi le informazioni introduttive disponibili nella pagina[Identity and Access Management per AWS Global Accelerator](auth-and-access-control.md)e quindi vedere[Nozioni di base su IAM](#auth_access_getting-started): .
Durante l'autorizzazione, AWS utilizza i valori della[Richiesta di contesto](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure-request.html)Per verificare le policy applicabili. Quindi, utilizza le policy per determinare se accettare o rifiutare la richiesta. La maggior parte delle policy viene memorizzata in AWS sotto forma di documenti JSON e specifica le autorizzazioni concesse o negate per le entità principali. Per ulteriori informazioni sulla struttura e sui contenuti dei documenti delle policy JSON , consulta [Che cosa sono le policy?](#auth_access_what-are-policies).
Le policy consentono a un amministratore di specificare quali utenti hanno accesso alle risorse AWS e quali operazioni possono effettuare su tali risorse. Ogni entità IAM (utente o ruolo) inizialmente non dispone di autorizzazioni. Ovvero, per impostazione predefinita, gli utenti non possono eseguire alcuna operazione, neppure visualizzare le proprie chiavi di accesso. Per autorizzare un utente a eseguire operazioni, un amministratore deve collegare una policy di autorizzazioni a tale utente. In alternativa, può aggiungere l'utente a un gruppo che dispone delle autorizzazioni desiderate. Quando un amministratore associa le autorizzazioni a un gruppo, tali autorizzazioni verranno assegnate a tutti gli utenti del gruppo.
Anche se disponi di credenziali valide per autenticare le richieste, non puoi creare né accedere a risorse AWS Global Accelerator se un amministratore non ti concede le autorizzazioni necessarie. Ad esempio, devi disporre di autorizzazioni esplicite per creare un acceleratore AWS Global Accelerator.
Un amministratore può scrivere una policy per controllare l'accesso ai seguenti elementi:
+ **[Principali](#auth_access_controlling-principals)**— Consente di controllare quali sono le persone o le applicazioni che effettuano la richiesta (la*principale*) è permesso di fare.
+ **[Identità IAM](#auth_access_controlling-identities)**Consente di controllare a quali identità IAM (gruppi, utenti e ruoli) è possibile accedere e come.
+ **[Policy IAM](#auth_access_controlling-policies)**Controllo degli utenti possono creare, modificare ed eliminare le policy gestite dai clienti e quali utenti possono collegare e scollegare tutte le policy gestite.
+ **[Risorse AWS](#auth_access_controlling-resources)**Controllo dell'accesso alle risorse mediante una policy basata sulle identità o una policy basata sulle risorse.
+ **[Account AWS](#auth_access_controlling-principal-accounts)**: consente di controllare se una richiesta è consentita solo per i membri di un determinato account.
### Controllo dell'accesso per le entità principali
Le policy di autorizzazioni controllano le operazioni che un principale può eseguire. Un amministratore deve collegare una policy di autorizzazioni basata sulle identità all'identità (utente, gruppo o ruolo) che fornisce le autorizzazioni. Le policy di autorizzazioni consentono o negano l'accesso ad AWS. Gli amministratori possono inoltre impostare un limite alle autorizzazioni per un'entità IAM (utente o ruolo) per definire il numero massimo di autorizzazioni che è possibile concedere all'entità. I limiti delle autorizzazioni sono una caratteristica avanzata di IAM. Per ulteriori informazioni sui limiti delle autorizzazioni, consulta [Limiti delle autorizzazioni per le identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l'utente di IAM*.
Per ulteriori informazioni e per un esempio di come controllare l'accesso AWS per i principali, consulta[Controllo dell'accesso per le entità principali](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-principals)nella*Guida per l'utente di IAM*: .
### Controllo dell'accesso ad identità
Gli amministratori controllano le operazioni che è possibile eseguire su un'identità IAM (utente, gruppo o ruolo) mediante la creazione di una policy che limita le operazioni che possono essere eseguite su un'identità o chi può accedervi. Possono quindi collegare tale policy all'identità che fornisce le autorizzazioni.
Ad esempio, un amministratore potrebbe permetterti di reimpostare la password per tre utenti specifici. A tale scopo, l'amministratore collega una policy all'utente IAM che ti autorizza a reimpostare la password solo per te stesso e per gli utenti con l'ARN dei tre utenti specificati. In questo modo potrai reimpostare la password dei membri del tuo team ma non di altri utenti IAM.
Per ulteriori informazioni e per un esempio di utilizzo di una policy per controllare l'accesso AWS alle identità, consulta[Controllo dell'accesso ad identità](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-identities)nella*Guida per l'utente di IAM*: .
### Controllo dell'accesso ai criteri
Gli amministratori possono controllare quali utenti possono creare, modificare ed eliminare le policy gestite dai clienti e quali utenti possono collegare e scollegare tutte le policy gestite. Quando si utilizza una policy, è possibile visualizzare il riepilogo della policy che include un riepilogo del livello di accesso per ciascun servizio nella policy. AWS categorizza ogni azione di servizio in una delle quattro*Livelli di accesso*in base a ciò che ogni azione fa:`List`,`Read`,`Write`, oppure`Permissions management`: . È possibile utilizzare questi livelli di accesso per determinare quali operazioni includere nelle policy. Per ulteriori informazioni, consulta[Informazioni sui riepiloghi dei livelli di accesso all'interno di una policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_understand-policy-summary-access-level-summaries.html)nella*Guida per l'utente di IAM*: .
**avvertimento**
È consigliabile limitare`Permissions Management`Autorizzazioni a livello di accesso nel tuo account. In caso contrario, i membri del tuo account potrebbero creare policy per se stessi con livelli di autorizzazioni superiori a quelli consentiti. Oppure possono creare altri utenti con accesso completo ad AWS.
Per ulteriori informazioni e per un esempio di come controllare l'accesso AWS alle policy, consulta[Controllo dell'accesso ai criteri](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-policies)nella*Guida per l'utente di IAM*: .
### Controllo dell'accesso alle risorse
Gli amministratori possono controllare chi ha accesso alle risorse utilizzando una policy basata sulle identità o una policy basata sulle risorse. In una policy basata sulle identità si collega la policy a un'identità e si specifica a quali risorse può accedere tale identità. In una policy basata sulle risorse, si collega una policy alla risorsa che si desidera controllare. Nella policy, è necessario specificare quali entità principali possono accedere a tale risorsa.
Per ulteriori informazioni, consulta[Controllo dell'accesso alle risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources)nella*Guida per l'utente di IAM*: .
#### I creatori di risorse non dispongono automaticamente delle autorizzazioni
Tutte le risorse in un account sono di proprietà di tale account, indipendentemente da chi le ha create. L'utente root dell'account AWS è il proprietario dell'account e quindidispone dell'autorizzazione per eseguire qualsiasi operazione su qualsiasi risorsa inclusa nell'account.
**Importante**
È vivamente consigliato di non utilizzare l'utente root per le attività quotidiane, anche quelle amministrative. Seguire invece la[Best practice sull'utilizzo dell'utente root solo per creare il tuo primo utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users): . Quindi conserva al sicuro le credenziali dell'utente root e utilizzale per eseguire solo alcune attività di gestione dell'account e del servizio. Per visualizzare le attività che richiedono l'accesso come utente root, consulta[Attività AWS che richiedono l'utente root](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html): .
Alle entità (utenti o ruoli) nell'account AWS deve essere concesso l'accesso per creare una risorsa. Tuttavia, il solo fatto di poter creare una risorsa non significa che automaticamente si dispone dell'accesso completo a tale risorsa. Gli amministratori devono concedere esplicitamente le autorizzazioni per ogni operazione. Inoltre, gli amministratori possono revocare le autorizzazioni in qualsiasi momento, a condizione che dispongano dell'accesso per la gestione di utenti e autorizzazioni del ruolo.
### Controllo dell'accesso ai principale in un account diverso
Gli amministratori possono utilizzare policy basate su risorse AWS, ruoli multiaccount IAM o il servizio AWS Organizations per consentire ai principali in un altro account di accedere alle risorse nell'account corrente.
Per alcuni servizi AWS Services, gli amministratori possono concedere l'accesso per più account alle risorse. A tale scopo, un amministratore collega una policy direttamente alla risorsa da condividere, anziché utilizzare un ruolo come proxy. Se il servizio supporta questo tipo di policy, anche la risorsa condivisa dall'amministratore deve supportare le policy basate sulle risorse. A differenza di una policy basata sugli utenti, una policy basata sulle risorse specifica quali utenti (sotto forma di elenco di numeri ID account AWS) possono accedere a tale risorsa. Global Accelerator non supporta policy basate su risorse.
L'accesso per più account con una policy basata sulle risorse offre alcuni vantaggi rispetto a un ruolo. Con una risorsa accessibile tramite una policy basata sulle risorse, il principale (persona o applicazione) continua a utilizzare l'account attendibile e non deve rinunciare alle proprie autorizzazioni utente al posto delle autorizzazioni di ruolo. In altre parole, il principale ha accesso alle risorse nell'account attendibile *e* nell'account trusting contemporaneamente. Ciò risulta per attività quali, ad esempio, la copia di informazioni da un account a un altro. Per ulteriori informazioni sull'utilizzo di ruoli tra account, consulta[Offerta di un accesso a un utente IAM di un altro account AWS di proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)nella*Guida per l'utente di IAM*: .
AWS Organizations ization offre gestione basata su policy per più account AWS di tua proprietà. Con Organizations, è possibile creare gruppi di account, automatizzare la creazione di account, nonché applicare e gestire policy per tali gruppi. Organizations consentono di gestire a livello centralizzato le policy tra più account, senza la necessità di script personalizzati e di processi manuali. Utilizzando AWS Organizations, è possibile creare policy di controllo dei servizi (SCP) che controllano centralmente l'utilizzo dei servizi AWS negli account AWS. Per ulteriori informazioni, consulta[Cos'è AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)nella*Guida utente AWS Organizations*: .
## Che cosa sono le policy?
Per controllare l'accesso ad AWS è possibile creare policy e collegarle a identità IAM o risorse AWS.
**Nota**
Per iniziare, puoi ignorare questa pagina. Innanzi tutto, leggi le informazioni introduttive disponibili nella pagina[Identity and Access Management per AWS Global Accelerator](auth-and-access-control.md)e quindi vedere[Nozioni di base su IAM](#auth_access_getting-started): .
Una policy è un oggetto in AWS che, se associato a una entità o risorsa, ne definisce le relative autorizzazioni. AWS valuta queste policy quando un principale, come ad esempio un utente, invia una richiesta. Le autorizzazioni della policy determinano l'approvazione o il rifiuto della richiesta. La maggior parte delle policy viene memorizzata in AWS sotto forma di documenti JSON.
Le policy IAM definiscono le autorizzazioni relative a un'operazione, indipendentemente dal metodo utilizzato per eseguirla. Ad esempio, se un criterio consente l'opzione[GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html), un utente con tale policy può ottenere informazioni utente dalla Console di gestione AWS, dall'interfaccia a riga di comando AWS oppure dall'API AWS. Nella creazione di un utente IAM, è possibile configurare l'utente consentendogli l'accesso programmatico o alla console. L'utente IAM può accedere alla console con un nome utente e una password oppure può usare le chiavi di accesso per utilizzare l'API o l'interfaccia a riga di comando.
I seguenti tipi di policy, elencati in ordine di frequenza, possono influenzare se una richiesta viene autorizzata o meno. Per ulteriori dettagli, consulta .[Tipi di policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policy-types)nella*Guida per l'utente di IAM*: .
**Policy basate su identità**
È possibile collegare policy inline e policy gestite a identità IAM (utenti, gruppi a cui appartengono gli utenti e ruoli).
**Policy basate su risorse**
Puoi collegare policy inline alle risorse in alcuni servizi AWS. Gli esempi più comuni di policy basate sulle risorse sono le policy dei bucket Amazon S3 e le policy di affidabilità dei ruoli IAM. Global Accelerator non supporta policy basate su risorse.
**SCP delle Organizations**
È possibile utilizzare una policy di controllo dei servizi (SCP) di AWS Organizations per applicare un limite delle autorizzazioni a un'organizzazione o a un'unità organizzativa (UO) in. Queste autorizzazioni vengono applicate a tutte le entità all'interno degli account membri.
**Liste di controllo accessi di rete (ACL)**
Puoi utilizzare le liste di controllo accessi per controllare quali entità principali possono accedere a una risorsa. Le ACL sono simili alle policy basate su risorse, anche se sono l'unico tipo di policy che non utilizza la struttura del documento di policy JSON. Global Accelerator supporta OR non supporta ACL.
Questi tipi di policy possono essere classificati come *policy di autorizzazione* o *limiti di autorizzazione*.
**Policy di autorizzazione**
Puoi collegare le policy di autorizzazione a una risorsa in AWS per definire le autorizzazioni per tale oggetto. All'interno di un unico account, AWS valuta tutte le policy di autorizzazione insieme. Le policy di autorizzazione sono le più comuni. I seguenti tipi di policy possono essere utilizzati come policy di autorizzazione:
**Policy basate su identità**
Quando colleghi una policy inline o gestita a un utente, un gruppo o un ruolo IAM, la policy definisce le autorizzazioni per tale entità.
**Policy basate su risorse**
Quando si collega un documento di policy JSON a una risorsa, è possibile definire le autorizzazioni per tale risorsa. Il servizio deve supportare le policy basate su risorse.
**Liste di controllo accessi di rete (ACL)**
Quando si collega un ACL a una risorsa, è possibile definire un elenco di entità principali autorizzate ad accedere a tale risorsa. La risorsa deve supportare le ACL.
**Limiti delle autorizzazioni**
È possibile utilizzare le policy per definire il limite delle autorizzazioni per un'entità (utente o ruolo). Il limite di autorizzazione controlla il numero massimo di autorizzazioni di cui un'entità può disporre. I limiti delle autorizzazioni sono una caratteristica avanzata di AWS. Quando più di uno di questi limiti di autorizzazione è applicabile a una richiesta, AWS valuta ogni limite separatamente. È possibile applicare un limite delle autorizzazioni nelle situazioni seguenti:
**Organizations**
È possibile utilizzare una policy di controllo dei servizi (SCP) di AWS Organizations per applicare un limite delle autorizzazioni a un'organizzazione o a un'unità organizzativa (UO) in.
**Utenti o ruoli IAM**
È possibile utilizzare una policy gestita per un limite delle autorizzazioni di un utente o un ruolo. Per ulteriori informazioni, consulta[Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)nella*Guida per l'utente di IAM*: .
**Topics**
+ [Policy basate su identità](#auth_access_manage-access-intro-identity-policies)
+ [Policy basate su risorse](#auth_access_manage-access-intro-resource-policies)
+ [Classificazioni a livello di accesso ai](#auth_access_policies-access-level)
### Policy basate su identità
Puoi collegare le policy alle identità IAM. Ad esempio, puoi eseguire le operazioni seguenti:
**Allegare una policy di autorizzazioni a un utente o un gruppo nell'account**
Per concedere a un utente le autorizzazioni per creare una risorsa AWS Global Accelerator, ad esempio un acceleratore, è possibile collegare una policy di autorizzazione a un utente o a un gruppo a cui appartiene l'utente.
**Allegare una policy di autorizzazione a un ruolo (per concedere autorizzazioni multiaccount)**
Per concedere autorizzazioni multiaccount, puoi collegare una policy di autorizzazione basata su identità a un ruolo IAM. Ad esempio, l'amministratore dell'account A può creare un ruolo per concedere autorizzazioni multi-account a un altro account AWS (ad esempio l'account B) oppure a un servizio AWS nel modo seguente:
1. Account Un amministratore crea un ruolo IAM e attribuisce una policy di autorizzazioni al ruolo che concede le autorizzazioni per le risorse nell'account A.
1. L'amministratore dell'account A collega una policy di attendibilità al ruolo, identificando l'account B come principale per tale ruolo.
1. L'amministratore dell'account B può quindi delegare le autorizzazioni per usare tale ruolo a qualsiasi utente nell'account B. In questo modo, gli utenti nell'account B possono creare risorse nell'account A o accedervi. Se si desidera concedere a un servizio AWS le autorizzazioni per usare il ruolo, l'entità principale nella policy di trust può essere anche un'entità principale del servizio AWS.
Per ulteriori informazioni sull'utilizzo di IAM per delegare le autorizzazioni, consulta[Gestione degli accessi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)nella*Guida per l'utente di IAM*: .
Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta [Identità (utenti, gruppi e ruoli)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) nella *Guida per l'utente di IAM*.
Di seguito sono riportati due esempi di criteri che è possibile utilizzare con Global Accelerator Il primo criterio di esempio concede a un utente l'accesso a livello di programmazione a tutte le azioni Elenca e Descrivi per gli acceleratori nell'account AWS:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"globalaccelerator:List*",
"globalaccelerator:Describe*"
],
"Resource": "*"
}
]
}
```
Nell'esempio seguente viene concesso l'accesso a livello di programmazione alla`ListAccelerators`operazione:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"globalaccelerator:ListAccelerators",
],
"Resource": "*"
}
]
}
```
### Policy basate su risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Queste policy consentono di specificare quali operazioni può effettuare una determinata entità principale su tale risorsa e in quali condizioni. La policy basata su risorse più comune è quella di un bucket Amazon S3. Le policy basate sulle risorse sono policy che esistono solo nella risorsa. Non esistono policy basate su risorse gestite.
La concessione di autorizzazioni ai membri di altri account AWS mediante una policy basata sulle risorse presenta alcuni vantaggi rispetto a un ruolo IAM. Per ulteriori informazioni, consulta [Differenza tra i ruoli IAM e le policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) nella *Guida per l’utente IAM*.
### Classificazioni a livello di accesso ai
Nella console IAM, le operazioni sono raggruppate utilizzando le seguenti classificazioni a livello di accesso:
**Elenco**
Fornisce l'autorizzazione per elencare le risorse all'interno del servizio per determinare l'esistenza di un oggetto. Le operazioni con questo livello di accesso possono elencare gli oggetti, ma consentono di visualizzare i contenuti di una risorsa. La maggior parte delle operazioni all'interno del livello di accesso **List (Elenco)** non può essere eseguita su una risorsa specifica. Quando si crea una dichiarazione di policy con queste operazioni, è necessario specificare **All resources (Tutte le risorse)** (`"*"`).
**Leggi**
Fornisce l'autorizzazione per leggere ma non per modificare i contenuti e gli attributi delle risorse del servizio. Ad esempio, le operazioni Amazon S3`GetObject`e`GetBucketLocation`Dispongono della**Leggi**Livello di accesso.
**Write**
Concede l'autorizzazione per creare, eliminare o modificare le risorse del servizio. Ad esempio, le operazioni Amazon S3`CreateBucket`,`DeleteBucket`, e`PutObject`Dispongono della**Write**Livello di accesso.
**Gestione delle autorizzazioni**
Concede l'autorizzazione per concedere o modificare le autorizzazioni a livello di risorsa nel servizio. Ad esempio, la maggior parte delle operazioni policy di IAM e AWS Organizations ization hanno la proprietà**Gestione delle autorizzazioni**Livello di accesso.
**Tip**
Per migliorare la sicurezza del tuo account AWS, limita o monitora regolarmente le policy che includono il**Gestione delle autorizzazioni**classificazione a livello di accesso.
**Applicazione di tag**
Fornisce l'autorizzazione per creare, eliminare o modificare i tag collegati a una risorsa nel servizio. Ad esempio, Amazon EC2`CreateTags`e`DeleteTags`le operazioni hanno**Applicazione di tag**Livello di accesso.
## Nozioni di base su IAM
AWS Identity and Access Management (IAM) è un servizio AWS che consente di gestire l'accesso ai servizi e alle risorse in modo sicuro. IAM è una caratteristica dell'account AWS offerta senza costi aggiuntivi.
**Nota**
Prima di iniziare a utilizzare IAM, leggi le informazioni introduttive disponibili nella[Identity and Access Management per AWS Global Accelerator](auth-and-access-control.md): .
Quando crei un account AWS per la prima volta, inizi con una singola identità di accesso che ha accesso completo a tutti i servizi e le risorse AWS nell'account. Tale identità è detta *utente root* dell'account AWS e puoi accedervi con l'indirizzo e-mail e la password utilizzati per creare l'account. È vivamente consigliato di non utilizzare l'utente root per le attività quotidiane, anche quelle amministrative. Rispetta piuttosto la [best practice di utilizzare l'utente root soltanto per creare il tuo primo utente &IAM;](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users). Quindi conserva al sicuro le credenziali dell'utente root e utilizzale per eseguire solo alcune attività di gestione dell'account e del servizio.
### Creare l'utente amministratore IAM
**Per creare un utente amministratore per se stessi e aggiungere l'utente a un gruppo di amministratori (console)**
1. Accedere alla [console IAM](https://console.aws.amazon.com/iam/) come proprietario dell'account scegliendo **Root user (Utente root)** e immettendo l'indirizzo email dell'account AWS. Nella pagina successiva, inserisci la password.
**Nota**
È fortemente consigliato rispettare la best practice sull'utilizzo del**Administrator**Utente IAM che segue e blocca in un luogo sicuro le credenziali dell'utente root. Accedere come utente root solo per eseguire alcune [attività di gestione dell'account e del servizio](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html).
1. Nel riquadro di navigazione selezionare **Users (Utenti)**, quindi selezionare **Add user (Aggiungi utente)**.
1. In **User name (Nome utente)**, immettere **Administrator**.
1. Selezionare la casella di controllo accanto a **AWS Management Console access (Accesso a Console di gestione AWS)**. Quindi, selezionare **Custom password (Password personalizzata)**e immettere la nuova password nella casella di testo.
1. (Facoltativo) Per impostazione predefinita, AWS richiede che il nuovo utente crei una nuova password al primo accesso. Puoi deselezionare la casella di controllo accanto a **User must create a new password at next sign-in (L'utente deve creare una nuova password al prossimo accesso)** per consentire al nuovo utente di reimpostare la propria password dopo aver effettuato l'accesso.
1. Scegliere**Successivo: Autorizzazioni.**
1. In **Set permissions (Imposta autorizzazioni)**, selezionare **Add user to group (Aggiungi l'utente al gruppo)**.
1. Seleziona **Create group** (Crea gruppo).
1. Nella finestra di dialogo **Create group (Crea gruppo)**, per **Group name (Nome gruppo)** immettere **Administrators**.
1. Scegliere**Policy di filtro**e quindi selezionare**AWS gestito - funzione di lavoro**per filtrare il contenuto della tabella.
1. Nell'elenco delle policy, selezionare la casella di controllo accanto ad **AdministratorAccess**. Seleziona quindi **Create group** (Crea gruppo).
**Nota**
È necessario attivare l'accesso utente e ruolo IAM alla fatturazione prima di poter utilizzare le autorizzazioni `AdministratorAccess` per accedere alla console Fatturazione e gestione costi AWS. A questo scopo, seguire le istruzioni nella [fase 1 del tutorial sulla delega dell'accesso alla console di fatturazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html).
1. Nell'elenco dei gruppi seleziona la casella di controllo per il tuo nuovo gruppo. Se necessario, selezionare **Refresh (Aggiorna)** per visualizzare il gruppo nell'elenco.
1. Scegliere**Successivo: Tags**: .
1. (Facoltativo) Aggiungere metadati all'utente collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo di tag in IAM, consultare [Tagging di utenti e ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) nella *Guida per l'utente di IAM*.
1. Scegliere**Successivo: Review (Revisione)**Per visualizzare l'elenco delle appartenenze ai gruppi da aggiungere al nuovo utente. Quando sei pronto per continuare, seleziona **Create user (Crea utente)**.
È possibile utilizzare questa stessa procedura per creare altri gruppi e utenti e concedere agli utenti l'accesso alle risorse dell'account AWS. Per ulteriori informazioni sull'utilizzo di policy per limitare le autorizzazioni degli utenti alle risorse AWS, consulta [Gestione degli accessi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) e [Esempi di policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_examples.html).
### Creazione di utenti delegati per Global Accelerator
Per supportare più utenti nel tuo account AWS, devi delegare l'autorizzazione per consentire ad altri utenti di eseguire solo le operazioni che vuoi consentire. A tale scopo, crea un gruppo IAM con le autorizzazioni necessarie a questi utenti e aggiungi gli utenti IAM ai gruppi necessari al momento della creazione. Puoi utilizzare questa procedura per impostare i gruppi, gli utenti e le autorizzazioni per tutto il tuo account AWS. Questa soluzione è ottimale se utilizzata da organizzazioni di piccole e medie dimensioni in cui un amministratore AWS può gestire manualmente gli utenti e gruppi. Per le organizzazioni di grandi dimensioni, è possibile utilizzare[Ruoli IAM personalizzati](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-custom-url.html),[federazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html), oppure[Single Sign-On](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html): .
Nella procedura seguente vengono creati tre utenti denominati**arnav**,**carlos**, e**martha**e allegare un criterio che concede l'autorizzazione a creare un acceleratore denominato**my-example-accelerator**, ma solo entro i prossimi 30 giorni. Puoi utilizzare le fasi descritte qui per aggiungere utenti con autorizzazioni diverse.
**Per creare un utente delegato per un'altra persona (console)**
1. Accedere alla Console di gestione AWS e aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegliere **Users (Utenti)**, quindi scegliere **Add user (Aggiungi utente)**.
1. In **User name (Nome utente)**, immettere **arnav**.
1. Scegliere **Add another user (Aggiungi un altro utente)** e immettere **carlos** per il secondo utente. Scegliere quindi **Add another user (Aggiungi un altro utente)** e immettere **martha** per il terzo utente.
1. Selezionare la casella di controllo accanto a**Accesso alla console di gestione AWS**e quindi selezionare**Autogenerated password**: .
1. Deselezionare la casella di controllo accanto a **User must create a new password at next sign-in (L'utente deve creare una nuova password al prossimo accesso)** per consentire al nuovo utente di reimpostare la propria password dopo aver effettuato l'accesso.
1. Scegliere**Successivo: Autorizzazioni.**
1. Scegli **Attach existing policies directly** (Collega direttamente le policy esistenti). Creerai una nuova policy gestita per gli utenti.
1. Seleziona **Create Policy** (Crea policy).
La procedura guidata **Create policy (Crea policy)** viene visualizzata in una nuova scheda o in una nuova finestra del browser.
1. Nella scheda **Visual editor (Editor visivo)**, selezionare **Choose a Service (Scegli un servizio)**. Quindi scegliete Global Accelerator. È possibile utilizzare la casella di ricerca in alto per limitare i risultati nell'elenco di servizi.
La**Service (Servizio)**si chiude e la sezione**Operazioni**si apre automaticamente.
1. Scegliere le operazioni Acceleratore globale che si desidera consentire. Ad esempio, per concedere l'autorizzazione per creare un acceleratore, immettere**`globalaccelerator:CreateAccelerator`**nella**Filtra le azioni**Casella di testo. Quando l'elenco di operazioni di acceleratore globale è filtrata, selezionare la casella di controllo accanto a**`globalaccelerator:CreateAccelerator`**: .
Le operazioni Acceleratore globale sono raggruppate in base alla classificazione del livello di accesso per semplificare la definizione del livello di accesso di ogni operazione. Per ulteriori informazioni, consulta [Classificazioni a livello di accesso ai](#auth_access_policies-access-level).
1. Se le operazioni selezionate nelle fasi precedenti non supportano la scelta di risorse specifiche, l'opzione**A tutte le risorse**è selezionato per te. In questo caso, non è possibile modificare questa sezione.
Se si seleziona una o più operazioni che supportano le autorizzazioni a livello di risorsa, l'editor visivo elenca tali tipi di risorsa nella sezione **Resources (Risorse)**. Scegliere**Hai scelto le azioni che richiedono il**Acceleratore**Tipo di risorsa**per scegliere se inserire un acceleratore specifico per il criterio.
1. Se si desidera consentire l'operazione `globalaccelerator:CreateAccelerator` per tutte le risorse, scegliere **All resources (Tutte le risorse)**.
Se si desidera specificare una risorsa, scegliere **Add ARN (Aggiungi ARN)**. Specificare la regione e l'ID account (o l'ID account) (oppure selezionare**Qualsiasi**), quindi immettere**my-example-accelerator**per la risorsa. Quindi scegliere **Add (Aggiungi)**.
1. Scegliere **Specify request conditions (optional) (Specifica le condizioni di richiesta (opzionale))**.
1. Scegliere**Aggiungi condizione**Per concedere l'autorizzazione per creare un acceleratoreentro i successivi 7 giorni. Supponiamo che la data odierna sia il 1° gennaio 2019.
1. Per **Condition Key (Chiave di condizione)**, scegliere **aws:CurrentTime**. Questa chiave di condizione controlla la data e l'ora in cui l'utente effettua la richiesta. Restituisce True e pertanto consente l'operazione **`globalaccelerator:CreateAccelerator`** solo se la data e l'ora sono comprese nell'intervallo specificato.
1. Per**Qualifier**Mantenere il valore predefinito.
1. Per specificare l'inizio dell'intervallo di data e ora consentito, in **Operator (Operatore)** scegliere **DateGreaterThan**. In **Value (Valore)**, immettere **2019-01-01T00:00:00Z**.
1. Scegliere **Add (Aggiungi)** per salvare la condizione.
1. Selezionare **Add another condition (Aggiungi un'altra condizione)** per specificare la data di fine.
1. Eseguire una procedura analoga per specificare la fine dell'intervallo di data e ora consentito. Per **Condition Key (Chiave di condizione)**, scegliere **aws:CurrentTime**. In **Operator (Operatore)**, scegliere **DateLessThan**. In **Value (Valore)**, immettere **2019-01-06T23:59:59Z**, 7 giorni dopo la prima data. Scegliere **Add (Aggiungi)** per salvare la condizione.
1. (Facoltativo) Per visualizzare il documento di policy JSON per la policy in fase di creazione, scegliere la casella di controllo**JSON**Scheda. È possibile passare tra le schede **Visual editor (Editor visivo)** e **JSON** in qualsiasi momento. Tuttavia, se si apportano modifiche o si sceglie**Esamina policy**nella**Visual editor (Editor visivo)**IAM potrebbe modificare la struttura della policy per ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta[Modifica della struttura delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)nella*Guida per l'utente di IAM*: .
1. Al termine, selezionare **Review policy (Rivedi policy)**.
1. Sul**Esamina policy**, per**Nome**, immettere**`globalaccelerator:CreateAccelerator`Policy**: . Per **Descrizione**, immettere **Policy to grants permission to create an accelerator**. Esaminare il riepilogo della policy per assicurarsi di aver concesso le autorizzazioni corrette e selezionare **Create policy (Crea policy)** per salvare la nuova policy.
1. Tornare alla scheda o alla finestra originale e aggiornare l'elenco di policy.
1. Nella casella di ricerca immetti **`globalaccelerator:CreateAccelerator`Policy**. Selezionare la casella di controllo accanto alla nuova policy. Quindi selezionare **Next Step (Fase successiva)**.
1. Scegliere**Successivo: Review (Revisione)**Per visualizzare in anteprima i nuovi utenti. Quando si è pronti per continuare, selezionare **Create users (Crea utenti)**.
1. Scaricare o copiare le password per i nuovi utenti e consegnarle agli utenti in modo sicuro. Separatamente, fornisci agli utenti un[collegamento alla pagina della console utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html#user-sign-in-page)e i nomi utente appena creati.
### Consente agli utenti di gestire in modo autonomo le proprie credenziali
È necessario avere l'accesso fisico all'hardware che ospiterà il dispositivo MFA virtuale dell'utente per configurare MFA. Ad esempio, è possibile configurare MFA per un utente che utilizzerà un dispositivo MFA virtuale in esecuzione su uno smartphone. In questo caso, è necessario disporre di uno smartphone per completare la procedura guidata. Per questo motivo, è possibile consentire agli utenti di configurare e gestire i propri dispositivi MFA virtuali. In questo caso, è necessario concedere agli utenti le autorizzazioni per eseguire le necessarie operazioni IAM.
**Per creare una policy che consenta l'autogestione delle credenziali (console)**
1. Accedere alla Console di gestione AWS e aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, selezionare **Policies (Policy)** e **Create Policy (Crea policy)**.
1. Selezionare la scheda **JSON** e copiare il testo dal documento della seguente policy JSON. Incollare il testo nella casella di testo **JSON**.
**Importante**
Questo esempio di policy non consente agli utenti di modificare la password durante l'accesso. I nuovi utenti e gli utenti con una password scaduta potrebbero provare a farlo. Per consentire questa operazione, aggiungere `iam:ChangePassword` e `iam:CreateLoginProfile` all'istruzione `BlockMostAccessUnlessSignedInWithMFA`. Tuttavia, IAM sconsiglia di farlo.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAllUsersToListAccounts",
"Effect": "Allow",
"Action": [
"iam:ListAccountAliases",
"iam:ListUsers",
"iam:ListVirtualMFADevices",
"iam:GetAccountPasswordPolicy",
"iam:GetAccountSummary"
],
"Resource": "*"
},
{
"Sid": "AllowIndividualUserToSeeAndManageOnlyTheirOwnAccountInformation",
"Effect": "Allow",
"Action": [
"iam:ChangePassword",
"iam:CreateAccessKey",
"iam:CreateLoginProfile",
"iam:DeleteAccessKey",
"iam:DeleteLoginProfile",
"iam:GetLoginProfile",
"iam:ListAccessKeys",
"iam:UpdateAccessKey",
"iam:UpdateLoginProfile",
"iam:ListSigningCertificates",
"iam:DeleteSigningCertificate",
"iam:UpdateSigningCertificate",
"iam:UploadSigningCertificate",
"iam:ListSSHPublicKeys",
"iam:GetSSHPublicKey",
"iam:DeleteSSHPublicKey",
"iam:UpdateSSHPublicKey",
"iam:UploadSSHPublicKey"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowIndividualUserToViewAndManageTheirOwnMFA",
"Effect": "Allow",
"Action": [
"iam:CreateVirtualMFADevice",
"iam:DeleteVirtualMFADevice",
"iam:EnableMFADevice",
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": [
"arn:aws:iam::*:mfa/${aws:username}",
"arn:aws:iam::*:user/${aws:username}"
]
},
{
"Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice"
],
"Resource": [
"arn:aws:iam::*:mfa/${aws:username}",
"arn:aws:iam::*:user/${aws:username}"
],
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "true"
}
}
},
{
"Sid": "BlockMostAccessUnlessSignedInWithMFA",
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:DeleteVirtualMFADevice",
"iam:ListVirtualMFADevices",
"iam:EnableMFADevice",
"iam:ResyncMFADevice",
"iam:ListAccountAliases",
"iam:ListUsers",
"iam:ListSSHPublicKeys",
"iam:ListAccessKeys",
"iam:ListServiceSpecificCredentials",
"iam:ListMFADevices",
"iam:GetAccountSummary",
"sts:GetSessionToken"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
```
Che cosa fa questa policy?
+ La`AllowAllUsersToListAccounts`consente all'utente di visualizzare informazioni di base sull'account e i suoi utenti nella console IAM. Queste autorizzazioni devono essere nella propria istruzione perché non supportano o non devono specificare una risorsa ARN specifica e specificano invece `"Resource" : "*"`.
+ La`AllowIndividualUserToSeeAndManageOnlyTheirOwnAccountInformation`L'istruzione consente all'utente di gestire l'utente, la password, le chiavi di accesso, la firma di certificati, le chiavi pubbliche SSH e le informazioni MFA nella console IAM. Inoltre, consente agli utenti di effettuare l'accesso per la prima volta se un amministratore richiede di impostare una password per la prima volta. La risorsa ARN limita l'uso di queste autorizzazioni solo per l'entità utente IAM dell'utente.
+ L'istruzione `AllowIndividualUserToViewAndManageTheirOwnMFA` consente all'utente di visualizzare o gestire il proprio dispositivo MFA. Si noti che gli ARN della risorsa in questa istruzione consentono l'accesso a un solo dispositivo MFA o utente con lo stesso nome dell'utente registrato al momento. Gli utenti non possono creare o modificare qualsiasi dispositivo MFA diverso dal proprio.
+ L'istruzione `AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA` consente all'utente di disattivare solo il proprio dispositivo MFA e solo se l'utente ha effettuato l'accesso utilizzando MFA. Ciò impedisce ad altri con solo le chiavi di accesso (e non il dispositivo MFA) di disattivare il dispositivo MFA e accedere all'account.
+ La`BlockMostAccessUnlessSignedInWithMFA`utilizza una combinazione di`"Deny"`e`"NotAction"`per negare l'accesso a tutte le azioni tranne alcune in IAM e altri servizi AWS***if***l'utente non ha effettuato l'accesso con MFA. Per ulteriori informazioni sulla logica di questa istruzione, consulta[NotAction con Deny](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html)nella*Guida per l'utente di IAM*: . Se l'utente ha effettuato l'accesso con MFA, il test `"Condition"` ha esito negativo e l'istruzione "deny" finale non ha effetto, quindi le altre policy o istruzioni per l'utente ne determinano le relative autorizzazioni. Questa istruzione garantisce che quando l'utente non ha effettuato l'accesso con MFA può eseguire solo le operazioni elencate e solo se un'altra istruzione o policy consente l'accesso a tali operazioni.
La versione `...IfExists` dell'operatore `Bool` garantisce che se la chiave `aws:MultiFactorAuthPresent` manca, la condizione restituisce true. Questo significa che a un utente che accede a un'API con le credenziali di lungo termine, ad esempio con una chiave di accesso, viene negato l'accesso alle operazioni API non IAM.
1. Al termine, selezionare **Review policy (Rivedi policy)**.
1. Nella pagina **Review policy (Esamina policy)**, immettere **Force\$1MFA** come nome della policy. Per la descrizione del criterio, immetti**This policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA.**Consulta la policy**Riepilogo**Per visualizzare le autorizzazioni concesse dalla policy e selezionare**Crea policy**Per salvare il proprio lavoro.
La nuova policy appare nell'elenco delle policy gestite ed è pronta a collegare.
**Per collegare la policy a un utente (console)**
1. Nel riquadro di navigazione, seleziona **Users** (Utenti).
1. Scegliere il nome (non la casella di controllo) dell'utente che si desidera modificare.
1. Nella scheda **Permissions (Autorizzazioni)**, scegliere **Add permissions (Aggiungi autorizzazioni)**.
1. Scegli **Attach existing policies directly** (Collega direttamente le policy esistenti).
1. Nella casella di ricerca, immettere **Force** e selezionare la casella di controllo accanto a **Force\$1MFA** nell'elenco. Quindi scegli **Next (Successivo): Review (Revisione)**: .
1. Rivedere i dettagli e scegliere **Add permissions (Aggiungi autorizzazioni)**.
### Abilitare MFA per l'utente IAM
Per maggiore sicurezza, consigliamo a tutti gli utenti IAM di configurare l'autenticazione a più fattori o MFA (Multi-Factor Authentication) per favorire la protezione delle risorse Global Accelerator. L'autenticazione MFA garantisce una maggiore sicurezza poiché richiede agli utenti di fornire autenticazione univoca da un dispositivo MFA supportato da AWS in aggiunta alle normali credenziali di accesso. Il dispositivo AWS MFA più sicuro è la chiave di sicurezza U2F. Se la tua azienda dispone già di dispositivi U2F, ti consigliamo di abilitare quei dispositivi per AWS. In caso contrario, è necessario acquistare un dispositivo per ciascun utente e attendere l'arrivo dell'hardware. Per ulteriori informazioni, consulta[Abilitazione di una chiave di sicurezza U2F](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_u2f.html)nella*Guida per l'utente di IAM*: .
Se non disponi di un dispositivo U2F, puoi iniziare a utilizzare il prodotto in modo semplice e rapido e a basso costo mediante l'abilitazione di un dispositivo MFA virtuale. Ciò richiede di installare un'applicazione software su un telefono esistente o su un altro dispositivo mobile. Il dispositivo genera un codice numerico di sei cifre basato su un algoritmo di password monouso sincronizzato nel tempo. Quando l'utente accede ad AWS, verrà richiesto di immettere un codice dal dispositivo. Ogni dispositivo MFA virtuale assegnato a un utente deve essere univoco. Per eseguire l'autenticazione, gli utenti non possono immettere un codice generato dal dispositivo MFA virtuale di un altro utente. Per un elenco di alcune delle app supportate che puoi utilizzare come dispositivi MFA virtuali, consulta la pagina [Multi-Factor Authentication](https://aws.amazon.com/iam/details/mfa/).
**Nota**
È necessario avere l'accesso fisico al dispositivo mobile che ospiterà il dispositivo MFA virtuale dell'utente per configurare MFA per un utente IAM.
**Per abilitare un dispositivo MFA virtuale per un utente IAM (console)**
1. Accedere alla Console di gestione AWS e aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Users** (Utenti).
1. Nell'elenco **Nome utente**, selezionare il nome dell'utente MFA in questione.
1. Selezionare la scheda **Security Credentials (Credenziali di sicurezza)**. Accanto ad **Assigned MFA device (Dispositivo MFA assegnato)**, selezionare **Gestione**.
1. Nella procedura guidata **Manage MFA Device (Gestisci dispositivo MFA)**, selezionare **Virtual MFA device (Dispositivo MFA virtuale)** e scegliere **Continua**.
IAM genera e visualizza le informazioni di configurazione per il dispositivo MFA virtuale, tra cui il codice grafico QR. Il grafico è una rappresentazione della "chiave di configurazione segreta" disponibile per l'inserimento manuale sui dispositivi che non supportano i codici QR.
1. Aprire l'app MFA virtuale.
Per un elenco delle app che è possibile utilizzare per ospitare i dispositivi MFA virtuali, consultare la pagina [Multi-Factor Authentication](https://aws.amazon.com/iam/details/mfa/). Se l'app MFA virtuale supporta più account (più dispositivi MFA virtuali), selezionare l'opzione che consente di creare un nuovo account (un nuovo dispositivo virtuale MFA).
1. Determinare se l'app MFA supporta i codici QR e procedere in uno dei seguenti modi:
+ Nella procedura guidata, scegliere **Show QR code (Mostra codice QR)** ed eseguire la scansione del codice QR tramite l'app. Ad esempio, è possibile selezionare l'icona della fotocamera o un'opzione simile a **Scan code (Scannerizza codice)** ed eseguire la scansione del codice tramite la fotocamera del dispositivo.
+ Nella procedura guidata **Manage MFA Device (Gestisci dispositivo MFA)**, selezionare **Show secret key (Mostra chiave segreta)** e quindi immettere la chiave segreta nell'app MFA.
Al termine, il dispositivo MFA virtuale avvia la generazione di password una tantum.
1. Nella procedura guidata **Manage MFA Device (Gestisci dispositivo MFA)**, nella casella **MFA code 1 (Codice MFA 1)**, immettere la password monouso visualizzata nel dispositivo MFA virtuale. Attendere fino a un massimo di 30 secondi prima che il dispositivo generi una nuova password una tantum. Immettere quindi la seconda password monouso nella casella **MFA code 2 (Codice MFA 2)**. Scegliere **Assign MFA (Assegna MFA)**.
**Importante**
Inviare la richiesta immediatamente dopo la generazione dei codici. Se si generano i codici e si attende troppo a lungo per inviare la richiesta, il dispositivo MFA si associa correttamente con l'utente ma il dispositivo MFA non viene sincronizzato. Ciò accade perché le password monouso temporanee (TOTP) scadono dopo un breve periodo di tempo. Se ciò accade, è possibile sincronizzare nuovamente il dispositivo. Per ulteriori informazioni, consulta[Risincronizzazione dei dispositivi MFA virtuali e hardware](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_sync.html)nella*Guida per l'utente di IAM*: .
Il dispositivo MFA virtuale ora è pronto per l'uso con AWS.