Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Come AWS Security Incident Response funziona con IAM
AWS Identity and Access Management (IAM) è un AWS servizio che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse. AWS Security Incident Response IAM è un AWS servizio che puoi utilizzare senza costi aggiuntivi.
| Funzionalità IAM che puoi utilizzare con AWS Security Incident Response | |
| --- | --- |
| *Funzionalità IAM* | *Allineamento dei servizi* |
| Policy basate sull’identità | Sì |
| Policy basate sulle risorse | No |
| Operazioni di policy | Sì |
| Risorse relative alle policy | Sì |
| Chiavi relative alle condizioni della politica | Sì (globale) |
| ACLs | No |
| ABAC (tag nelle policy) | Sì |
| Credenziali temporanee | Sì |
| Inoltro delle sessioni di accesso (FAS) | Sì |
| Ruoli di servizio | No |
| Ruoli collegati ai servizi | Sì |
**Topics**
+ [Politiche basate sull'identità per AWS Security Incident Response](identity-based-policies.md)
+ [Chiavi relative alle condizioni politiche per AWS Security Incident Response](policy-condition-keys-for-aws-security-incident-response.md)
+ [Accedi agli elenchi di controllo (ACLs) in AWS Security Incident Response](access-control-lists-acls-in-aws-security-incident-response.md)
# Politiche basate sull'identità per AWS Security Incident Response
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le azioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l'utente IAM*.
Con le policy basate su identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Non è possibile specificare l’entità principale in una policy basata sull’identità perché si applica all’utente o al ruolo a cui è associato. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente di IAM*.
**Topics**
+ [Esempi di policy basate su identità](iam-examples.md)
+ [Best practice per le policy](policy-best-practices.md)
+ [Utilizzo della AWS Security Incident Response console](using-the-amazon-aws-security-incident-response-console.md)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](allow-users-to-view-their-own-permissions.md)
+ [Policy basate su risorse](resource-based-policies.md)
+ [Operazioni di policy](policy-actions.md)
# Esempi di policy basate su identità
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse. AWS Security Incident Response Inoltre, non possono eseguire attività utilizzando la console di AWS gestione, l'interfaccia a riga di AWS comando (AWS CLI) o AWS l'API. Un amministratore IAM può creare policy IAM per concedere agli utenti il permesso di eseguire azioni sulle risorse di cui hanno bisogno. L'amministratore può quindi aggiungere le policy IAM ai ruoli e gli utenti possono assumere i ruoli.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l'utente di IAM*.
Per i dettagli sulle azioni e sui tipi di risorse definiti da AWS Security Incident Response, incluso il formato di ARNs per ogni tipo di risorsa, consulta *Azioni, risorse e chiavi di condizione AWS Security Incident Response* nel *Service Authorization Reference*.
# Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare AWS Security Incident Response risorse nel tuo account. Queste azioni possono comportare costi per il tuo account. AWS Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
**Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** a utenti e carichi di lavoro, utilizza le politiche *AWS gestite* che concedono le autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo account AWS . Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo policy gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
**Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
**Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite un AWS servizio specifico, ad esempio AWS CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
**Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. IAM Access Analyzer offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per ulteriori informazioni, consulta [Convalida delle policy per IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l'utente IAM*.
**Richiesta dell’autenticazione a più fattori (MFA)**: se hai uno scenario che richiede utenti IAM o utenti root nel tuo account AWS , attiva MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungi le condizioni MFA alle policy. Per ulteriori informazioni, consulta [Configurazione dell'accesso alle API protetto con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l'utente IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente di IAM*.
# Utilizzo della AWS Security Incident Response console
Per accedere https://console.aws.amazon.com/security-ir/, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle AWS Security Incident Response risorse del tuo AWS account. Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire le autorizzazioni minime della console per gli utenti che effettuano chiamate solo alla AWS CLI o AWS all'API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Allega la policy di AWS Security Incident Response accesso o ReadOnly AWS gestita per garantire che utenti e ruoli possano utilizzare la console di servizio. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
# Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o a livello di codice utilizzando la CLI o l'API AWS . AWS
# Policy basate su risorse
***Politiche basate sulle risorse nell'ambito di Security Incident Response AWS ***
Supporta le policy basate su risorse: no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. È necessario [specificare un principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) in una policy basata sulle risorse. I principali possono includere account, utenti, ruoli, utenti federati o servizi AWS .
*Per ulteriori informazioni, consulta [Cross Account Resource Access in IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) User Guide.*
# Operazioni di policy
***Azioni politiche per AWS Security Incident Response***
Azioni politiche di supporto: Sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento Azione di una policy JSON descrive le azioni che è possibile utilizzare per consentire o negare l'accesso a una policy. Le azioni politiche in genere hanno lo stesso nome dell'operazione AWS API associata. Ci sono alcune eccezioni, ad esempio le *operazioni di sola autorizzazione* che non hanno un’operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate *operazioni dipendenti*.
Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco di AWS Security Incident Response azioni, vedere Azioni definite da AWS Security Incident Response nel *Service Authorization Reference*.
Le azioni politiche in AWS Security Incident Response uso utilizzano il seguente prefisso prima dell'azione:
AWS Security Incident Response -identità
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
«Azione»: ["AWS Security Incident Response -identity:action1"," -identity:action2"]AWS Security Incident Response
***Risorse relative alle policy per Amazon AWS Security Incident Response***
**Supporta le risorse relative alle policy:** Sì, gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento della policy Resource JSON specifica l'oggetto o gli oggetti a cui si applica l'azione. Le istruzioni devono includere una risorsa o un NotResource elemento. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). È possibile eseguire questa operazione per operazioni che supportano un tipo di risorsa specifico, note come *autorizzazioni a livello di risorsa*.
Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
"Resource": "\$1"
# Chiavi relative alle condizioni politiche per AWS Security Incident Response
**Supporta le chiavi di condizione delle policy specifiche del servizio:** No
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento Condition (o *blocco* Condition) consente di specificare le condizioni in cui un'istruzione è valida. L'elemento condizione è facoltativo. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.
Se specificate più elementi Condition in un'istruzione o più chiavi in un singolo elemento Condition, li AWS valuta utilizzando un'operazione AND logica. Se specificate più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione OR logica. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell’istruzione vengano concesse.
È possibile anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile autorizzare un utente IAM ad accedere a una risorsa solo se è stata taggata con il relativo nome utente IAM. Per ulteriori informazioni, consulta [Elementi delle policy IAM: variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella *Guida per l'utente IAM*.
AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
# Accedi agli elenchi di controllo (ACLs) in AWS Security Incident Response
**Supporti ACLs:** no
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
***Controllo degli accessi basato sugli attributi (ABAC) con Security Incident Response AWS ***
**Supporta ABAC (tag nelle policy):** sì
Il controllo dell’accesso basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. *In AWS, questi attributi sono chiamati tag.* È possibile collegare dei tag alle entità IAM (utenti o ruoli) e a numerose risorse AWS . L’assegnazione di tag alle entità e alle risorse è il primo passaggio di ABAC. In seguito, vengono progettate policy ABAC per consentire operazioni quando il tag dell’entità principale corrisponde al tag sulla risorsa a cui si sta provando ad accedere. La strategia ABAC è utile in ambienti soggetti a una rapida crescita e aiuta in situazioni in cui la gestione delle policy diventa impegnativa.
Per controllare l'accesso in base ai tag, fornisci le informazioni sui tag nell'[elemento condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi AWS: ResourceTag /key-name,: /key-name o AWS: RequestTag condition. AWS TagKeys Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**. Per ulteriori informazioni su ABAC, consulta [Che cos'è ABAC?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l'utente IAM*. Per visualizzare un tutorial con i passaggi per l'impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l'utente di IAM*.
***Credenziali temporanee con AWS Security Incident Response***
**Supporta le credenziali temporanee:** sì
AWS i servizi non funzionano quando si accede utilizzando credenziali temporanee. Per ulteriori informazioni, inclusi AWS i servizi che funzionano con credenziali temporanee, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*. Stai utilizzando credenziali temporanee se accedi alla Console di AWS gestione utilizzando qualsiasi metodo tranne nome utente e password. Ad esempio, quando accedi AWS utilizzando il link Single Sign-On (SSO) della tua azienda, tale processo crea automaticamente credenziali temporanee. Le credenziali temporanee vengono create in automatico anche quando accedi alla console come utente e poi cambi ruolo. Per ulteriori informazioni sullo scambio dei ruoli, consulta [Cambio di un ruolo (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) nella *Guida per l'utente IAM*.
È possibile creare manualmente credenziali temporanee utilizzando la AWS CLI o l'API AWS . È quindi possibile utilizzare tali credenziali temporanee per accedere. AWS AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per maggiori informazioni, consulta [Credenziali di sicurezza provvisorie in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html).
***Sessioni di accesso diretto per AWS Security Incident Response***
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Quando utilizzi un utente o un ruolo IAM per eseguire azioni AWS, sei considerato un principale. Quando si utilizzano alcuni servizi, è possibile eseguire un’operazione che attiva un’altra operazione in un servizio diverso. FAS utilizza le autorizzazioni del principale che chiama un AWS servizio, in combinazione con il servizio richiedente per effettuare richieste ai AWS servizi a valle. Le richieste FAS vengono effettuate solo quando un servizio riceve una richiesta che richiede interazioni con altri AWS servizi o risorse per essere completata. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le azioni. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).