• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Creazione di un ruolo di servizio IAM richiesto per System Manager in ambiente ibrido e multicloud
<a name="hybrid-multicloud-service-role"></a>

Le macchine non EC2 (Amazon Elastic Compute Cloud) in un ambiente [ibrido e multicloud](operating-systems-and-machine-types.md#supported-machine-types) richiedono un ruolo di servizio AWS Identity and Access Management (IAM) per comunicare con il servizio. AWS Systems Manager Il ruolo concede AWS Security Token Service (AWS STS) [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) attendibile al servizio Systems Manager. Il ruolo di servizio per un ambiente ibrido e multicloud deve essere creato una sola volta per ogni Account AWS. Tuttavia, è possibile scegliere di creare più ruoli di servizio per diverse attivazioni ibride se le macchine dell'ambiente ibrido e multicloud richiedono autorizzazioni diverse.

Le procedure seguenti descrivono come creare il ruolo di servizio necessario utilizzando la console di Systems Manager o lo strumento a riga di comando preferito.

## Utilizzo Console di gestione AWS di per creare un ruolo di servizio IAM per le attivazioni ibride di Systems Manager
<a name="create-service-role-hybrid-activation-console"></a>

La seguente procedura consente di creare un ruolo di servizio per un'attivazione ibrida. Questa procedura utilizza la policy `AmazonSSMManagedInstanceCore` per la funzionalità di base di Systems Manager. A seconda del caso d'uso, potrebbe essere necessario aggiungere ulteriori policy al ruolo di servizio per le macchine on-premises, in modo che tu possa accedere ad altri strumenti di Systems Manager o ai Servizi AWS. Ad esempio, senza l'accesso ai bucket Patch Manager Amazon Simple Storage Service (Amazon S3) AWS gestiti richiesti, le operazioni di patching falliscono.

**Per creare un ruolo di servizio (console)**

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.

1. Per **Seleziona un'entità attendibile**, effettua le seguenti selezioni:

   1. Per **Tipo di entità attendibile**, seleziona **Servizio AWS**.

   1. Per **casi d'uso per altri Servizi AWS**, scegli **Systems Manager**.

   1. Scegli **Systems Manager**.

      L'immagine seguente evidenzia la posizione dell'opzione Systems Manager.  
![\[Systems Manager è una delle opzioni per Caso d'uso.\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)

1. Scegli **Successivo**. 

1. Nella pagina **Add permissions** (Aggiungi autorizzazioni), esegui le operazioni seguenti: 
   + Utilizza il campo **di ricerca** per individuare la SSMManaged InstanceCore politica di **Amazon**. Seleziona la casella di controllo accanto al relativo nome, come illustrato nella figura seguente.   
![\[La casella di controllo è selezionata nella SSMManaged InstanceCore riga Amazon.\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/images/setup-instance-profile-2.png)
**Nota**  
La console mantiene la selezione anche se cerchi altre policy.
   + Se nella procedura [(Facoltativo) Creazione di una policy personalizzata per l'accesso al bucket S3](setup-instance-permissions.md#instance-profile-custom-s3-policy) hai creato una policy di bucket S3 personalizzata, cercala e seleziona la casella accanto al suo nome.
   + Se intendi aggiungere macchine non EC2 a un Active Directory gestito da Directory Service, cerca **Amazon SSMDirectory ServiceAccess** e seleziona la casella di controllo accanto al suo nome.
   + Se intendi utilizzare EventBridge or CloudWatch Logs per gestire o monitorare il nodo gestito, cerca **CloudWatchAgentServerPolicy**e seleziona la casella di controllo accanto al suo nome.

1. Scegli **Next (Successivo)**.

1. Per **Nome ruolo**, inserisci un nome per il nuovo ruolo del server IAM, ad esempio **SSMServerRole**.
**Nota**  
Prendi nota del nome del ruolo. Potrai scegliere questo ruolo quando registri nuove macchine che desideri gestire utilizzando Systems Manager.

1. (Facoltativo) Per **Descrizione ruolo**, aggiorna la descrizione di questo ruolo del server IAM.

1. (Facoltativo) In **Tag**, aggiungi una o più coppie tag chiave-valore per organizzare, monitorare o controllare l'accesso per questo ruolo. 

1. Scegliere **Crea ruolo**. Il sistema visualizza di nuovo la pagina **Ruoli**.

## Utilizzo AWS CLI di per creare un ruolo di servizio IAM per le attivazioni ibride di Systems Manager
<a name="create-service-role-hybrid-activation-cli"></a>

La seguente procedura consente di creare un ruolo di servizio per un'attivazione ibrida. Questa procedura utilizza la policy `AmazonSSMManagedInstanceCore` per la funzionalità di base di Systems Manager. A seconda del caso d'uso, potrebbe essere necessario aggiungere ulteriori policy al ruolo di servizio per le macchine non EC2 in un ambiente [ibrido e multi-cloud](operating-systems-and-machine-types.md#supported-machine-types), in modo che tu possa accedere ad altri strumenti o ai Servizi AWS.

**Requisito delle policy di bucket S3**  
Se uno dei seguenti casi è true, è necessario creare una policy di autorizzazione IAM personalizzata per i bucket Amazon Simple Storage Service (Amazon S3) prima di completare questa procedura:
+ **Caso 1**: stai utilizzando un endpoint VPC per connettere privatamente il tuo VPC a servizi endpoint VPC supportati Servizi AWS e basati su. AWS PrivateLink
+ **Caso 2**: prevedi di utilizzare un bucket Amazon S3 che hai creato durante le operazioni di Systems Manager, ad esempio per archiviare l'output per i comandi Run Command o le sessioni Session Manager in un bucket S3. Prima di procedere, segui i passaggi descritti in [Creare una policy di bucket S3 personalizzata per un profilo dell'istanza](setup-instance-permissions.md#instance-profile-custom-s3-policy). Le informazioni sulle policy dei bucket S3 fornite in quell'argomento sono valide anche per il ruolo di servizio.

------
#### [ AWS CLI ]

**Per creare un ruolo di servizio IAM per un ambiente ibrido e multicloud (AWS CLI)**

1. Installa e configura AWS Command Line Interface (AWS CLI), se non l'hai già fatto.

   Per informazioni, consulta la pagina [Installazione o aggiornamento della versione più recente di AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Creare un file di testo con un nome, ad esempio `SSMService-Trust.json` con la seguente policy di attendibilità. Salvare il file con l'estensione `.json`. Assicurati di specificare il tuo Account AWS e il Regione AWS nell'ARN in cui hai creato l'attivazione ibrida. Sostituisci *placeholder values* l'ID e la regione dell'account con le tue informazioni.

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement":[
         {
            "Sid":"",
            "Effect":"Allow",
            "Principal":{
               "Service":"ssm.amazonaws.com"
            },
            "Action":"sts:AssumeRole",
            "Condition":{
               "StringEquals":{
                  "aws:SourceAccount":"123456789012"
               },
               "ArnEquals":{
                  "aws:SourceArn":"arn:aws:ssm:us-east-1:111122223333:*"
               }
            }
         }
      ]
   }
   ```

------

1. Apri e AWS CLI, nella directory in cui hai creato il file JSON, esegui il comando [create-role per creare il ruolo](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) di servizio. Questo esempio crea un ruolo denominato `SSMServiceRole`. È possibile scegliere un nome diverso.

------
#### [ Linux & macOS ]

   ```
   aws iam create-role \
       --role-name SSMServiceRole \
       --assume-role-policy-document file://SSMService-Trust.json
   ```

------
#### [ Windows ]

   ```
   aws iam create-role ^
       --role-name SSMServiceRole ^
       --assume-role-policy-document file://SSMService-Trust.json
   ```

------

1. Esegui il [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)comando come segue per consentire al ruolo di servizio appena creato di creare un token di sessione. Il token della sessione concede al nodo gestito l'autorizzazione di eseguire comandi utilizzando Systems Manager.
**Nota**  
Le policy aggiunte per un profilo del servizio per i nodi gestiti in un ambiente ibrido e multicloud sono le stesse policy utilizzate per la creazione di un profilo dell'istanza per Amazon Elastic Compute Cloud (Amazon EC2). Per ulteriori informazioni sulle policy AWS utilizzate nei seguenti comandi, consulta [Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager](setup-instance-permissions.md).

   (Obbligatorio) Esegui il comando seguente per consentire a un nodo gestito di utilizzare le funzionalità AWS Systems Manager di base del servizio.

------
#### [ Linux & macOS ]

   ```
   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
   ```

------
#### [ Windows ]

   ```
   aws iam attach-role-policy ^
       --role-name SSMServiceRole ^
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
   ```

------

   Se hai creato una policy personalizzata per i bucket S3 per il tuo ruolo di servizio, esegui il comando seguente per consentire ad AWS Systems Manager Agent (SSM Agent) di accedere ai bucket specificati nella policy. Sostituisci *account-id* e *amzn-s3-demo-bucket* con il tuo Account AWS ID e il nome del tuo bucket. 

------
#### [ Linux & macOS ]

   ```
   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::account-id:policy/amzn-s3-demo-bucket
   ```

------
#### [ Windows ]

   ```
   aws iam attach-role-policy ^
       --role-name SSMServiceRole ^
       --policy-arn arn:aws:iam::account-id:policy/amzn-s3-demo-bucket
   ```

------

   (Facoltativo) Esegui il comando seguente SSM Agent per consentire l'accesso per tuo Directory Service conto alle richieste di aggiunta al dominio da parte del nodo gestito. Il ruolo di servizio necessita di questa policy solo se aggiungi i nodi a una directory Microsoft AD.

------
#### [ Linux & macOS ]

   ```
   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
   ```

------
#### [ Windows ]

   ```
   aws iam attach-role-policy ^
       --role-name SSMServiceRole ^
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
   ```

------

   (Facoltativo) Esegui il comando seguente per consentire all' CloudWatch agente di funzionare sui tuoi nodi gestiti. Questo comando consente di leggere le informazioni su un nodo e scriverle su CloudWatch. Il tuo profilo di servizio necessita di questa politica solo se utilizzerai servizi come Amazon EventBridge o Amazon CloudWatch Logs.

   ```
   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
   ```

------
#### [ Tools for PowerShell ]

**Per creare un ruolo di servizio IAM per un ambiente ibrido e multicloud (AWS Tools for Windows PowerShell)**

1. Installa e configura AWS Strumenti per PowerShell (Strumenti per Windows PowerShell), se non l'hai già fatto.

   Per informazioni, consulta la pagina [Installazione di AWS Strumenti per PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).

1. Creare un file di testo con un nome, ad esempio `SSMService-Trust.json` con la seguente policy di attendibilità. Salvare il file con l'estensione `.json`. Assicurati di specificare il tuo Account AWS e il Regione AWS nell'ARN in cui hai creato l'attivazione ibrida.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "",
               "Effect": "Allow",
               "Principal": {
                   "Service": "ssm.amazonaws.com"
               },
               "Action": "sts:AssumeRole",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "123456789012"
                   },
                   "ArnEquals": {
                       "aws:SourceArn": "arn:aws:ssm:us-east-1:123456789012:*"
                   }
               }
           }
       ]
   }
   ```

------

1. Apri PowerShell in modalità amministrativa e nella directory in cui hai creato il file JSON, esegui [New- IAMRole](https://docs.aws.amazon.com//powershell/latest/reference/items/Register-IAMRolePolicy.html) come segue per creare un ruolo di servizio. Questo esempio crea un ruolo denominato `SSMServiceRole`. È possibile scegliere un nome diverso.

   ```
   New-IAMRole `
       -RoleName SSMServiceRole `
       -AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)
   ```

1. Utilizzate [Register- IAMRole Policy](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-IAMRolePolicy.html) come segue per consentire al ruolo di servizio creato di creare un token di sessione. Il token della sessione concede al nodo gestito l'autorizzazione di eseguire comandi utilizzando Systems Manager.
**Nota**  
Le policy aggiunte per un profilo del servizio per i nodi gestiti in un ambiente ibrido e multicloud sono le stesse policy utilizzate per la creazione di un profilo dell'istanza per EC2. Per ulteriori informazioni sulle AWS politiche utilizzate nei seguenti comandi, vedere [Configurazione delle autorizzazioni di istanza richieste per Systems Manager](setup-instance-permissions.md).

   (Obbligatorio) Esegui il comando seguente per consentire a un nodo gestito di utilizzare le funzionalità AWS Systems Manager di base del servizio.

   ```
   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
   ```

   Se è stata creata una policy di bucket S3 personalizzata per il ruolo di servizio, esegui il comando seguente per abilitare SSM Agent per l'accesso al bucket specificato nella policy. Sostituisci *account-id* e *my-bucket-policy-name* con il tuo Account AWS ID e il nome del tuo bucket. 

   ```
   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::account-id:policy/my-bucket-policy-name
   ```

   (Facoltativo) Esegui il comando seguente SSM Agent per consentire l'accesso per tuo Directory Service conto alle richieste di aggiunta al dominio da parte del nodo gestito. Il ruolo del server necessita di questa policy solo se aggiungi i nodi a una directory Microsoft AD.

   ```
   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
   ```

   (Facoltativo) Esegui il comando seguente per consentire all' CloudWatch agente di funzionare sui tuoi nodi gestiti. Questo comando consente di leggere le informazioni su un nodo e scriverle su CloudWatch. Il tuo profilo di servizio necessita di questa politica solo se utilizzerai servizi come Amazon EventBridge o Amazon CloudWatch Logs.

   ```
   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
   ```

------

Continua su [Crea un'attivazione ibrida per registrare i nodi con Systems Manager](hybrid-activation-managed-nodes.md).