• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Impedire l'accesso alle operazioni dell'API di Parameter Store
Utilizzando *[condizioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)* specifiche del servizio supportate dalle policy di Systems Manager for AWS Identity and Access Management (IAM), puoi consentire o negare esplicitamente l'accesso alle operazioni e ai contenuti delle Parameter Store API. Utilizzando queste condizioni, è possibile consentire solo a determinate entità IAM (utenti e ruoli) dell'organizzazione di richiamare determinate operazioni API o impedire a determinate entità IAM di eseguirle. Ciò include le azioni eseguite tramite la Parameter Store console, AWS Command Line Interface (AWS CLI) e gli SDK.
Systems Manager attualmente supporta tre condizioni specifiche per il Parameter Store.
**Topics**
+ [Impedire le modifiche ai parametri esistenti utilizzando `ssm:Overwrite`](#overwrite-condition)
+ [Impedire la creazione o l'aggiornamento di parametri che utilizzano una politica di parametri utilizzando `ssm:Policies`](#parameter-policies-condition)
+ [Impedire l'accesso ai livelli in un parametro gerarchico utilizzando `ssm:Recursive`](#recursive-condition)
## Impedire le modifiche ai parametri esistenti utilizzando `ssm:Overwrite`
Utilizza la condizione `ssm:Overwrite` per controllare se le entità IAM siano in grado di aggiornare i parametri esistenti.
Nella seguente politica di esempio, l'`"Allow"`istruzione concede l'autorizzazione a creare parametri eseguendo l'operazione `PutParameter` API nel Account AWS 123456789012 nella regione Stati Uniti orientali (Ohio) (us-east-2).
Tuttavia, l'istruzione `"Deny"` impedisce alle Entità di modificare i valori dei parametri *esistenti*, poiché l'opzione `Overwrite` è esplicitamente negata per l'operazione `PutParameter`. In altre parole, le Entità a cui è stata assegnata questa policy creano parametri, ma non apportano modifiche ai parametri esistenti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:{{us-east-1}}:{{111122223333}}:parameter/*"
},
{
"Effect": "Deny",
"Action": [
"ssm:PutParameter"
],
"Condition": {
"StringEquals": {
"ssm:Overwrite": [
"true"
]
}
},
"Resource": "arn:aws:ssm:{{us-east-1}}:{{111122223333}}:parameter/*"
}
]
}
```
------
## Impedire la creazione o l'aggiornamento di parametri che utilizzano una politica di parametri utilizzando `ssm:Policies`
Utilizza la condizione `ssm:Policies` per controllare se le Entità creano parametri che includono una politica di parametro e aggiornano i parametri esistenti che effettivamente la includono.
Nel seguente esempio di politica, l'`"Allow"`istruzione concede l'autorizzazione generale per la creazione di parametri, ma impedisce alle Entità di creare o aggiornare parametri che includono una politica dei parametri nel Account AWS 123456789012 nella regione Stati Uniti orientali (Ohio) (us-east-2). `"Deny"` Ad ogni modo, le Entità continuano a creare o aggiornare parametri a cui non è assegnata una politica di parametro.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:{{us-east-1}}:{{111122223333}}:parameter/*"
},
{
"Effect": "Deny",
"Action": [
"ssm:PutParameter"
],
"Condition": {
"StringEquals": {
"ssm:Policies": [
"true"
]
}
},
"Resource": "arn:aws:ssm:{{us-east-1}}:{{111122223333}}:parameter/*"
}
]
}
```
------
## Impedire l'accesso ai livelli in un parametro gerarchico utilizzando `ssm:Recursive`
Utilizza la condizione `ssm:Recursive` per controllare se le Entità IAM visualizzano o fanno riferimento ai livelli in un parametro gerarchico. È possibile fornire o limitare l'accesso a tutti i parametri oltre uno specifico livello di gerarchia.
Nella policy di esempio seguente, l'istruzione `"Allow"` fornisce l'accesso alle operazioni del Parameter Store su tutti i parametri nel percorso `/Code/Departments/Finance/*` per l' Account AWS 123456789012 nella Regione Stati Uniti orientali (Ohio) (us-east-2).
Successivamente, l'istruzione `"Deny"` impedisce alle entità IAM di visualizzare o recuperare i dati dei parametri pari o inferiori al livello di `/Code/Departments/*`. Le Entità continuano comunque a creare o aggiornare i parametri in quel percorso. L'esempio è stato creato per illustrare che la negazione ricorsiva dell'accesso al di sotto di un certo livello in una gerarchia di parametri ha la precedenza sull'accesso più permissivo nella stessa politica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:*"
],
"Resource": "arn:aws:ssm:{{us-east-1}}:{{111122223333}}:parameter{{/*}}"
},
{
"Effect": "Deny",
"Action": [
"ssm:GetParametersByPath"
],
"Condition": {
"StringEquals": {
"ssm:Recursive": [
"true"
]
}
},
"Resource": "arn:aws:ssm:{{us-east-1}}:{{111122223333}}:parameter/Code/Departments/*"
}
]
}
```
------
**Importante**
Se un utente ha accesso a un percorso, accederà a tutti i livelli del percorso. Ad esempio, se un utente è autorizzato ad accedere al percorso `/a`, accederà anche a `/a/b`. Ciò è vero a meno che all'utente non sia stato esplicitamente negato l'accesso in IAM per il parametro `/b`, come illustrato sopra.