

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Federa il tuo Active Directory con i ruoli AMS AWS Identity and Access Management
<a name="federate-dir-with-sent-iam-roles"></a>

Lo scopo della federazione della directory con i ruoli AMS IAM è consentire agli utenti aziendali di utilizzare le proprie credenziali aziendali per interagire con la Console di gestione AWS e, quindi AWS APIs, la console AMS e. APIs

# Esempio di processo di federazione
<a name="fed-process-ex"></a>

Questo esempio utilizza Active Directory Federation Services (AD FS); tuttavia, è supportata qualsiasi tecnologia che supporti AWS Identity and Access Management Federation. Per ulteriori informazioni sulla federazione IAM AWS supportata, consulta [IAM Partners and](https://aws.amazon.com/iam/partners/) [Identity Providers and Federation](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html). Il CSDM ti aiuterà in questo processo, che prevede uno sforzo congiunto con il tuo team AD e AMS.

Per informazioni dettagliate sull'integrazione di SAML per l'accesso alle API, consulta questo AWS blog, [How to Implementated Federated API and CLI Access Using SAML](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS) 2.0 e AD FS.

**Nota**  
Per un esempio che installa AMS CLI e SAML, vedi. [Appendice: Regola di reclamo di ActiveDirectory Federation Services (ADFS) e impostazioni SAML](apx-adfs-claim-rule-saml.md)

# Configurazione della federazione sulla console AMS (SALZ)
<a name="fed-with-console"></a>

I ruoli IAM e il provider di identità SAML (Trusted Entity) descritti nella tabella seguente sono stati forniti come parte dell'onboarding dell'account. Questi ruoli ti consentono di inviare e monitorare RFCs richieste di assistenza e segnalazioni di incidenti, nonché di ottenere informazioni sui tuoi stack e sugli stack. VPCs 


****  

| Ruolo | Provider di identità | Autorizzazioni | 
| --- | --- | --- | 
| Cliente\$1 \$1Ruolo ReadOnly | SAML | Per account AMS standard. Consente di inviare o apportare modifiche RFCs all'infrastruttura gestita da AMS, nonché di creare richieste di servizio e incidenti.  | 
| customer\$1managed\$1ad\$1user\$1role | SAML | Per gli account AMS Managed Active Directory. Consente di accedere alla console AMS per creare richieste di servizio e incidenti (no RFCs). | 

Per l'elenco completo dei ruoli disponibili con diversi account, consulta[Ruolo utente IAM in AMS](defaults-user-role.md).

Un membro del team di onboarding carica il file di metadati dalla soluzione di federazione al provider di identità preconfigurato. Utilizzi un provider di identità SAML quando desideri stabilire un rapporto di fiducia tra un IdP (provider di identità) compatibile con SAML come Shibboleth o Active Directory Federation Services, in modo che gli utenti della tua organizzazione possano accedere alle risorse AWS. I provider di identità SAML in IAM vengono utilizzati come principali in una policy di fiducia IAM con i ruoli sopra indicati.

Mentre altre soluzioni di federazione forniscono istruzioni di integrazione per AWS, AMS fornisce istruzioni separate. Utilizzando il seguente post di blog, [Enabling Federation to AWS Using Windows Active Directory, AD FS e SAML 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/), insieme alle modifiche riportate di seguito, consentirai agli utenti aziendali di accedere a più account AWS da un unico browser.

Dopo aver creato il relying party trust come indicato nel post del blog, configura le regole relative ai reclami nel modo seguente:
+ **NameId**: Segui il post del blog.
+ **RoleSessionName**: Utilizza i seguenti valori:
  + **Nome della regola di rivendicazione**: RoleSessionName
  + **Archivio attributi**: Active Directory
  + **Attributo LDAP**: SAM-Account-Name
  + **Tipo di reclamo in uscita**: Attributi/ https://aws.amazon.com/SAML/ RoleSessionName
+ Ottieni gruppi di annunci: segui il post del blog.
+ Dichiarazione di ruolo: segui il post del blog, ma per la regola personalizzata, usa questo:

  ```
  c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
   => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", 
   "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
  ```

Quando utilizzi AD FS, devi creare gruppi di sicurezza Active Directory per ogni ruolo nel formato mostrato nella tabella seguente (customer\$1managed\$1ad\$1user\$1role è solo per gli account AMS Managed AD):


****  

| Group (Gruppo) | Ruolo | 
| --- | --- | 
| AWS- [AccountNo] ReadOnly -Customer\$1 \$1Ruolo | Cliente\$1 \$1Ruolo ReadOnly | 
| AWS- [AccountNo] -customer\$1managed\$1ad\$1user\$1role | customer\$1managed\$1ad\$1user\$1role | 

[Per ulteriori informazioni, consulta Configurazione delle asserzioni SAML per la risposta di autenticazione.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)

**Suggerimento**  
Per facilitare la risoluzione dei problemi, scarica il plug-in SAML tracer per il tuo browser.

# Invio della richiesta di federazione ad AMS
<a name="fed-with-console-submit"></a>

Se questo è il tuo primo account, collabora con i tuoi CSDM and/or Cloud Architect per fornire il file XML di metadati per il tuo provider di identità.

Se stai effettuando l'onboarding di un account o di Identity Provider aggiuntivo e hai accesso all'account di gestione o all'account dell'applicazione desiderato, segui questi passaggi.

1. Crea una richiesta di servizio dalla console AMS, fornisci i dettagli necessari per aggiungere il provider di identità:
   + AccountId dell'account in cui verrà creato il nuovo provider di identità.
   + Il nome del provider di identità desiderato, se non viene fornito, il valore predefinito sarà **customer-saml**; in genere, deve corrispondere alle impostazioni configurate nel provider della federazione.
   + Per gli account esistenti, indica se il nuovo provider di identità deve essere propagato a tutti i ruoli di console esistenti o fornisci un elenco di ruoli che dovrebbero considerare attendibile il nuovo provider di identità.
   + Allega il file XML di metadati esportato dal tuo agente federativo alla richiesta di servizio come file allegato.

1. Dallo stesso account in cui hai creato la richiesta di servizio, crea un nuovo RFC utilizzando CT-ID ct-1e1xtak34nx76 (Gestione \$1 Altro \$1 Altro \$1 Crea) con le seguenti informazioni.
   + <Name>Titolo: «IDP SAML integrato per account < >». AccountId
   + AccountId dell'account in cui verrà creato il provider di identità.
   + Nome del provider di identità.
   + Per gli account esistenti: indica se il provider di identità deve essere propagato a tutti i ruoli di console esistenti o l'elenco dei ruoli che devono considerare attendibile il nuovo provider di identità.
   + ID del caso della richiesta di servizio creata nel passaggio 1, in cui è allegato il file XML di metadati.

# Verifica l'accesso alla console
<a name="verify-console-access"></a>

Dopo aver configurato ADFS e aver ottenuto l'URL AMS da utilizzare per l'autenticazione, segui questi passaggi.

Con una configurazione Active Directory Federated Service (ADFS), puoi seguire questi passaggi:

1. Apri una finestra del browser e vai alla pagina di accesso fornita per il tuo account. Si apre la **IdpInitiatedSignOn**pagina ADFS relativa al tuo account. 

1. Seleziona il pulsante di opzione accanto a **Accedi a uno dei seguenti siti**. L'elenco di **selezione del sito Accedi** diventa attivo. 

1. **Scegli il sito **signin.aws.amazon.com** e fai clic su Accedi.** Le opzioni per l'immissione delle credenziali sono aperte.

1. **Inserisci le tue credenziali CORP e fai clic su Accedi.** Le Console di gestione AWS aperture.

1. Incolla nella barra degli indirizzi l'URL della console AMS e premi **Invio**. La console AMS si apre.

# Verifica l'accesso all'API
<a name="verify-api-access"></a>

AMS utilizza l'API AWS, con alcune operazioni specifiche di AMS di cui puoi leggere nell'[AMS API](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/index.html) Reference.

AWS ne fornisce diversi a SDKs cui puoi accedere tramite [Tools for Amazon Web Services](https://aws.amazon.com/tools/). Se non desideri utilizzare un SDK, puoi effettuare chiamate API dirette. Per informazioni sull'autenticazione, consulta [Signing AWS API Requests](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html). Se non utilizzi un SDK o non effettui richieste API HTTP dirette, puoi utilizzare AMS CLIs for Change Management (CM) e SKMS. 

# Installa l'AMS CLIs
<a name="install-cli"></a>

Per un esempio di installazione della CLI AWS Managed Services (AMS) da utilizzare con SAML, consulta. [Appendice: Regola di reclamo di ActiveDirectory Federation Services (ADFS) e impostazioni SAML](apx-adfs-claim-rule-saml.md)

Se hai bisogno di un accesso temporaneo, per ottenere e installare AWS Managed Services (AMS) SDKs, consulta [Accesso temporaneo alla console AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html). 
**Nota**  
È necessario disporre delle credenziali di amministratore per questa procedura.

L'AWS CLI è un prerequisito per l'utilizzo di AWS Managed Services (AMS) CLIs (Change Management and SKMS).

1. Per installare l'AWS CLI, consulta [Installazione dell'interfaccia a riga di comando AWS](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) e segui le istruzioni appropriate. Nota che nella parte inferiore di quella pagina ci sono istruzioni per l'uso di diversi programmi di installazione, [Linux](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-linux.html), [MS Windows](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-windows.html), [macOS](https://docs.aws.amazon.com/cli/latest/userguide/cli-install-macos.html), [Virtual Environment,](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-virtualenv.html) [Bundled Installer (Linux, macOS](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-bundle.html) o Unix).

   Dopo l'installazione, esegui per verificare l'installazione. `aws help`

1. Una volta installata la CLI di AWS, per installare o aggiornare la CLI di AMS, scarica il file zip distribuibile AMS AMS **CLI** o **AMS SDK** distribuibile e decomprimilo. Puoi accedere ai file distribuibili della CLI AMS tramite il link [https://console.aws.amazon.com/managedservices/developerResources](https://console.aws.amazon.com/managedservices/developerResources) navigazione a sinistra della console AMS.

1. Il file README fornisce istruzioni per qualsiasi installazione.

   Apri uno dei due:
   + CLI zip: fornisce solo la CLI AMS.
   + SDK zip: fornisce tutto l'AMS APIs e la CLI AMS.

   Per **Windows**, esegui il programma di installazione appropriato (solo sistemi a 32 o 64 bit):
   + **32 bit: API\$1x86.msi ManagedCloud**
   + **64 bit: API\$1x64.msi ManagedCloud**

   Per **Mac/Linux**, esegui il file denominato: **AWSManagedServices\$1InstallCLI.sh** eseguendo questo comando:. `sh AWSManagedServices_InstallCLI.sh` **Nota che le directory **amscm** e **amsskms** e il loro contenuto devono trovarsi nella stessa directory del file.sh. AWSManagedServices\$1InstallCLI**

1. Se le credenziali aziendali vengono utilizzate tramite la federazione con AWS (la configurazione predefinita di AMS), è necessario installare uno strumento di gestione delle credenziali in grado di accedere al servizio di federazione. Ad esempio, puoi utilizzare questo AWS Security Blog [How to Implementation Federated API and CLI Access Using SAML 2.0 e AD](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS) FS per aiutarti a configurare i tuoi strumenti di gestione delle credenziali.

1. Dopo l'installazione, esegui e visualizza i comandi `aws amscm help` e le opzioni`aws amsskms help`.
**Nota**  
Affinché questi comandi funzionino, è necessario installare l'AMS CLI. Per installare l'API o la CLI AMS, vai alla pagina **Risorse per gli sviluppatori** della console AMS. Per materiale di riferimento sull'API AMS CM o sull'API AMS SKMS, consulta la sezione AMS Information Resources nella Guida per l'utente. Potrebbe essere necessario aggiungere un'`--profile`opzione per l'autenticazione, `aws amsskms ams-cli-command --profile SAML` ad esempio. Potrebbe essere necessario aggiungere l'`--region`opzione anche perché tutti i comandi AMS non utilizzano us-east-1, ad esempio. `aws amscm ams-cli-command --region=us-east-1`

# Pianificazione dei backup AMS a livello di VPC
<a name="schedule-backups"></a>

La pianificazione del backup di AWS Managed Services (AMS) nel VPC, dove vengono allocate le istanze di destinazione, viene creata durante l'onboarding dell'account con un tag predefinito nello schema di creazione del VPC. Il sistema di backup pianifica l'esecuzione delle istantanee in base al tag VPC. La modifica della pianificazione può essere effettuata creando una richiesta di servizio. Per ulteriori informazioni, consulta [Tag e impostazioni predefinite VPC](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/vpc-tag-and-defaults.html).

[Per le impostazioni predefinite di backup, consulta Understanding AMS Defaults](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/backup-defaults.html)