Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Impedisci l'accesso a Internet a livello di account utilizzando una politica di controllo del servizio
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy"></a>

*Sergiy Shevchenko, Sean O'Sullivan e Victor Mazeo Whitaker, Amazon Web Services*

## Riepilogo
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-summary"></a>

Organizations spesso desidera limitare l'accesso a Internet alle risorse degli account che dovrebbero rimanere private. In questi account, le risorse nei cloud privati virtuali (VPCs) non devono accedere a Internet in alcun modo. Molte organizzazioni scelgono un'[architettura di ispezione centralizzata](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/). Per il traffico est-ovest (da VPC a VPC) in un'architettura di ispezione centralizzata, è necessario assicurarsi che gli account spoke e le relative risorse non abbiano accesso a Internet. Per il traffico nord-sud (uscita Internet e locale), si desidera consentire l'accesso a Internet solo tramite il VPC di ispezione.

Questo modello utilizza una [policy di controllo dei servizi (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) per impedire l'accesso a Internet. È possibile applicare questo SCP a livello di account o unità organizzativa (OU). L'SCP limita la connettività Internet impedendo quanto segue:
+ Creazione o collegamento di un IPv4 [gateway IPv6 Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) che consenta l'accesso diretto a Internet al VPC
+ Creazione o accettazione di una [connessione peering VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) che potrebbe consentire l'accesso indiretto a Internet tramite un altro VPC
+ Creazione o aggiornamento di una [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)configurazione che potrebbe consentire l'accesso diretto a Internet alle risorse VPC

## Prerequisiti e limitazioni
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-prereqs"></a>

**Prerequisiti**
+ Una o più Account AWS gestite come organizzazione in AWS Organizations.
+ [Tutte le funzionalità sono abilitate](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) in AWS Organizations.
+ [SCPs sono abilitate](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) nell'organizzazione.
+ Autorizzazioni per:
  + Accedere all'account di gestione dell'organizzazione.
  + Crea SCPs. Per ulteriori informazioni sulle autorizzazioni minime, consultate [Creazione di un SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#create-an-scp).
  + Allega l'SCP agli account o alle unità organizzative di destinazione (). OUs Per ulteriori informazioni sulle autorizzazioni minime, vedere [Allegare e scollegare le politiche di controllo del servizio.](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)

**Limitazioni**
+ SCPs non influiscono sugli utenti o sui ruoli nell'account di gestione. Influiscono solo sugli account membri nell'organizzazione.
+ SCPs riguardano solo gli utenti e i ruoli AWS Identity and Access Management (IAM) gestiti da account che fanno parte dell'organizzazione. Per ulteriori informazioni, consulta [Effetti delle SCP sulle autorizzazioni](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions).

## Tools (Strumenti)
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-tools"></a>

**Servizi AWS**
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)è un servizio di gestione degli account che consente di consolidare più account Account AWS in un'organizzazione da creare e gestire centralmente. In questo modello, si utilizzano [le politiche di controllo del servizio (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) in AWS Organizations.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) ti aiuta a lanciare AWS risorse in una rete virtuale che hai definito. Questa rete virtuale è simile a una comune rete da gestire all'interno del proprio data center, ma con i vantaggi dell'infrastruttura scalabile di AWS.

## Best practice
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-best-practices"></a>

Dopo aver stabilito questo SCP nella tua organizzazione, assicurati di aggiornarlo frequentemente per risolvere eventuali novità Servizi AWS o funzionalità che potrebbero influire sull'accesso a Internet.

## Epiche
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-epics"></a>

### Crea e collega l'SCP
<a name="create-and-attach-the-scp"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Crea l'SCP. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.html) | Amministratore AWS | 
| Collega l'SCP. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.html) | Amministratore AWS | 

## Risorse correlate
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-resources"></a>
+ [AWS Organizations documentazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ [politiche di controllo del servizio (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ [Architettura di ispezione centralizzata con AWS Gateway Load Balancer AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/) e AWS (post sul blog)