• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Funzionamento di AWS Systems Manager con IAM
Prima di utilizzare AWS Identity and Access Management (IAM) per gestire l'accesso a AWS Systems Manager, è necessario comprendere con quali funzionalità IAM è disponibile l'usoSystems Manager. Per avere una panoramica di alto livello su come Systems Manager e su altri Servizi AWS utilizzi IAM, consulta Servizi AWS la sezione dedicata all'utilizzo [di IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
**Topics**
+ [Policy Systems Manager basate su identità](#security_iam_service-with-iam-id-based-policies)
+ [Policy di Systems Manager basate sulle risorse](#security_iam_service-with-iam-resource-based-policies)
+ [Autorizzazione basata su tag Systems Manager](#security_iam_service-with-iam-tags)
+ [Ruoli IAM di Systems Manager](#security_iam_service-with-iam-roles)
## Policy Systems Manager basate su identità
Con le policy basate su identità IAM è possibile specificare operazioni e risorse consentite o rifiutate, nonché le condizioni in base alle quali le operazioni sono consentite o rifiutate. Systems Manager supporta operazioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni di eseguire l'operazione associata.
Le operazioni delle policy in Systems Manager utilizzano il seguente prefisso prima dell’operazione: `ssm:`. Ad esempio, per concedere a qualcuno l'autorizzazione per creare un parametro Systems Manager (parametro SSM) mediante l'operazione API Systems Manager `PutParameter`, includere l'operazione `ssm:PutParameter` nella policy. Le istruzioni delle policy devono includere un elemento `Action` o `NotAction`. Systems Manager definisce una propria serie di operazioni che descrivono le attività eseguibili con questo servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
```
"Action": [
"ssm:action1",
"ssm:action2"
]
```
**Nota**
I seguenti strumenti AWS Systems Manager utilizzano prefissi diversi prima delle azioni.
AWS AppConfig utilizza il prefisso prima `appconfig:` delle azioni.
Lo·strumento·di·Gestione·degli·incidenti utilizza il prefisso `ssm-incidents:` o `ssm-contacts:` prima delle operazioni.
Systems Manager GUI Connect utilizza il prefisso `ssm-guiconnect:` prima delle operazioni.
Quick Setup utilizza il prefisso `ssm-quicksetup:` prima delle operazioni.
È possibile specificare più operazioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le operazioni che iniziano con la parola `Describe`, includi la seguente operazione:
```
"Action": "ssm:Describe*"
```
Per visualizzare un elenco di operazioni Systems Manager, consulta [Operazioni definite da AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions) in *Riferimento per l'autorizzazione del servizio*.
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Ad esempio, la risorsa finestra di manutenzione Systems Manager ha il seguente formato ARN.
```
arn:aws:ssm:region:account-id:maintenancewindow/window-id
```
Per specificare le finestre di manutenzione mw-0c50858d01EXAMPLE nell'istruzione nella regione Stati Uniti orientali (Ohio), utilizzare un ARN simile al seguente.
```
"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
```
Per specificare che tutte le finestre di manutenzione che appartengono ad un account specifico, utilizza il carattere jolly (\$1).
```
"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"
```
Per le operazioni `Parameter Store` API, puoi fornire o limitare l'accesso a tutti i parametri in un livello di gerarchia utilizzando nomi gerarchici e policy AWS Identity and Access Management (IAM) come segue.
```
"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"
```
Alcune operazioni Systems Manager, ad esempio quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (\$1).
```
"Resource": "*"
```
Alcune operazioni API di Systems Manager accettano più risorse. Per specificare più risorse in una singola istruzione, separale ARNs con virgole come segue.
```
"Resource": [
"resource1",
"resource2"
```
**Nota**
La maggior parte Servizi AWS considera i due punti (:) o una barra (/) come lo stesso carattere in. ARNs Tuttavia, Systems Manager richiede una corrispondenza esatta nei modelli di risorse e nelle regole. Durante la creazione di modelli di eventi, assicurati di utilizzare i caratteri ARN corretti, facendo in modo che corrispondano all'ARN della risorsa.
Nella tabella seguente vengono descritti i formati ARN per i tipi di risorse supportati da Systems Manager.
**Nota**
Notate le seguenti eccezioni ai formati ARN.
I seguenti strumenti AWS Systems Manager utilizzano prefissi diversi prima delle azioni.
AWS AppConfig utilizza il prefisso prima `appconfig:` delle azioni.
Lo·strumento·di·Gestione·degli·incidenti utilizza il prefisso `ssm-incidents:` o `ssm-contacts:` prima delle operazioni.
Systems Manager GUI Connect utilizza il prefisso `ssm-guiconnect` prima delle operazioni.
I documenti e le risorse di definizione dell'automazione di proprietà di Amazon, nonché i parametri pubblici forniti da Amazon e da fonti di terze parti, non includono gli account IDs nei rispettivi formati ARN. Esempio:
Il documento SSM `AWS-RunPatchBaseline`:
`arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline`
Il runbook Automation `AWS-ConfigureMaintenanceWindows`:
`arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows`
I parametri pubblici `/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`:
`arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`
Per ulteriori informazioni su questi tre tipi di risorse, consulta i seguenti argomenti:
[Utilizzo dei documenti](documents-using.md)
[Esegui un'operazione automatizzata basata su Systems Manager Automation](running-simple-automations.md)
[Utilizzo dei parametri pubblici nel Parameter Store](parameter-store-public-parameters.md)
Quick Setup utilizza il prefisso `ssm-quicksetup:` prima delle operazioni.
| Tipo di risorsa | Formato ARN |
| --- | --- |
| Applicazione (AWS AppConfig) | arn:aws:appconfig: :application/ region account-id application-id |
| Associazione | arn:aws:ssm: :associazione/ region account-id association-id |
| Esecuzione di automazione | arn:aws:ssm: region :esecuzione-automatia/ account-id automation-execution-id |
| Definizione di automazione (con sottorisorsa della versione) | **arn:aws:ssm: *region* ::automation-definition/: 1 *account-id* *automation-definition-id* *version-id*** |
| Profilo di configurazione (AWS AppConfig) | arn:aws:appconfig: :application/ region /configurationprofile/ account-id application-id configurationprofile-id |
| Contattare lo·Strumento·di·gestione·degli·incidenti | arn:aws:ssm-contacts: ::contatto/ *region* *account-id* *contact-alias* |
| Strategia di distribuzione (AWS AppConfig) | arn: aws:appconfig:: strategia di distribuzione/ region account-id deploymentstrategy-id |
| Documento | arn:aws:ssm: :documento/ *region* *account-id* *document-name* |
| Ambiente (AWS AppConfig) | arn:aws:appconfig: :applicazione/ region account-id /ambiente/ application-id environment-id |
| Incidente | arn:aws:ssm-incidents: *region* *account-id* :incident-record//*response-plan-name**incident-id* |
| Finestra di manutenzione | arn: aws:ssm: :finestra di manutenzione/ *region* *account-id* *window-id* |
| Nodo gestito | arn:aws:ssm: *region* :istanza gestita/ *account-id* *managed-node-id* |
| Inventario nodi gestiti | arn:aws:ssm::region:/account-idmanaged-instance-inventorymanaged-node-id |
| OpsItem | arn:aws:ssm regionaccount-id: :opsitem/ OpsItem-id |
| Parametro | Parametro a un livello: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/security_iam_service-with-iam.html) Un parametro denominato con una struttura gerarchica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/security_iam_service-with-iam.html) |
| baseline delle patch | arn:aws:ssm: *region* :patchbaseline/ *account-id* *patch-baseline-id* |
| Piano di risposta | arn:aws:ssm-incidents: ::piano di risposta*region*/*account-id**response-plan-name* |
| Sessione | **arn:aws:ssm: :sessione/ 3 *region* *account-id* *session-id*** |
| Tutte le risorse Systems Manager | arn:aws:ssm:\$1 |
| Tutte le risorse di proprietà dello specificato nel specificato Systems Manager Account AWS Regione AWS | arn:aws:ssm::: \$1 *region* *account-id* |
**Nota**
Le risorse per le definizioni di automazione sono obsolete. Aggiorna le tue policy IAM in modo da includere l'opzione «allow for `ssm:StartAutomationExecution` or `ssm:StartChangeRequestExecution` on`document`» e le risorse. `automation-execution` Per visualizzare le best practice e gli esempi di configurazione delle autorizzazioni IAM, consulta la nostra guida utente di [esempio alla configurazione delle politiche basate sull'identità](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-setup-identity-based-policies.html).
**1** Per le definizioni di automazione, Systems Manager supporta una risorsa di secondo livello, *ID versione*. *Nel AWS, queste risorse di secondo livello sono note come sottorisorse.* Specificare una risorsa secondaria della versione per una risorsa di definizione di automazione consente di fornire l'accesso ad alcune versioni di una definizione di automazione. Ad esempio, è possibile assicurare che solo la versione più recente di una definizione di automazione venga utilizzata nella gestione del nodo.
**2** Per organizzare e gestire i parametri, puoi creare nomi per i parametri con una struttura gerarchica. Con tale struttura gerarchica, un nome di parametro può includere un percorso che definisci tramite l'utilizzo delle barre. È possibile assegnare un nome a una risorsa di parametro con un massimo di quindici livelli. Ti consigliamo di creare gerarchie che riflettano una struttura gerarchica esistente nel tuo ambiente. Per ulteriori informazioni, consulta [Creazione di parametri Parameter Store in Systems Manager](sysman-paramstore-su-create.md).
**3** Nella maggior parte dei casi, l'ID sessione è costruito utilizzando l'ID dell'utente dell'account che ha iniziato la sessione, oltre a un suffisso alfanumerico. Esempio:
```
arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE
```
Tuttavia, se l'ID utente non è disponibile, l'ARN viene costruito in questo modo:
```
arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE
```
Per ulteriori informazioni sul formato di ARNs, consulta [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) nel *Riferimenti generali di Amazon Web Services*.
Per un elenco dei tipi di Systems Manager risorse e relativi ARNs, consulta [Resources Defined by AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-resources-for-iam-policies) nel *Service Authorization Reference*. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta [Operazioni definite da AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions).
### Chiavi di condizione per Systems Manager
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco di chiavi di condizione Systems Manager, consulta [Condition Keys (Chiavi di condizione) per per AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) nel *Service Authorization Reference (Riferimento per l'autorizzazione del servizio)*. Per informazioni su operazioni e risorse con cui è possibile utilizzare una chiave di condizione, consulta [Operazioni definite da AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions).
Per informazioni sull'utilizzo della chiave di condizione `ssm:resourceTag/*`, consulta gli argomenti elencati di seguito:
+ [Limitare l'accesso ai comandi a livello di root tramite SSM Agent](ssm-agent-restrict-root-level-commands.md)
+ [Limitazione dell'accesso Run Command in base ai tag](run-command-setting-up.md#tag-based-access)
+ [Limitazione dell'accesso alla sessione in base ai tag dell'istanza](getting-started-restrict-access-examples.md#restrict-access-example-instance-tags)
Per informazioni su come utilizzare le chiavi di condizione `ssm:Recursive`, `ssm:Policies` e `ssm:Overwrite` consulta [Impedire l'accesso alle operazioni dell'API di Parameter Store](parameter-store-policy-conditions.md).
### Esempi
Per visualizzare esempi di policy basate su identità Systems Manager, consulta [Esempi di policy AWS Systems Manager di basate su identità](security_iam_id-based-policy-examples.md).
## Policy di Systems Manager basate sulle risorse
Altri Servizi AWS, come Amazon Simple Storage Service (Amazon S3), supportano politiche di autorizzazione basate sulle risorse. Ad esempio, è possibile allegare una policy di autorizzazione a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket.
Systems Manager non supporta le policy basate su risorse.
## Autorizzazione basata su tag Systems Manager
È possibile collegare i tag alle risorse Systems Manager o passare i tag in una richiesta a Systems Manager. Per controllare l'accesso basato su tag, fornire informazioni sui tag nell'[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `ssm:resourceTag/key-name`, `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. È possibile aggiungere tag ai seguenti tipi di risorse quando vengono creati o aggiornati:
+ Documento
+ Nodo gestito
+ Finestra di manutenzione
+ Parametro
+ baseline delle patch
+ OpsItem
Per visualizzare una policy basata sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta [Visualizzazione di documenti Systems Manager in base ai tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-documents-tags).
## Ruoli IAM di Systems Manager
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità interna all'utente Account AWS che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee con Systems Manager
È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. Puoi ottenere credenziali di sicurezza temporanee chiamando operazioni API AWS Security Token Service (AWS STS) come [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
Systems Manager supporta l'uso di credenziali temporanee.
### Ruoli collegati ai servizi
[I ruoli collegati ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) consentono di accedere Servizi AWS alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono elencati nell'account IAM e sono di proprietà del servizio. Un amministratore può visualizzare, ma non modificare le autorizzazioni dei ruoli collegati ai servizi.
Systems Manager supporta i ruoli collegati ai servizi. Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi Systems Manager, consulta [Utilizzo di ruoli collegati ai servizi per Systems Manager](using-service-linked-roles.md).
### Ruoli dei servizi
Questa funzionalità consente a un servizio di assumere un [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore può modificare le autorizzazioni per questo ruolo. Tuttavia, il farlo potrebbe pregiudicare la funzionalità del servizio.
Systems Manager supporta i ruoli dei servizi.
### Scelta di un ruolo IAM in Systems Manager
Affinché Systems Manager interagisca con i nodi gestiti, è necessario scegliere un ruolo per consentire l'accesso di Systems Manager alle istanze a tuo nodo. Se hai creato in precedenza un ruolo di servizio o un ruolo collegato ai servizi, Systems Manager fornisce un elenco di ruoli tra cui scegliere. È importante scegliere un ruolo che consenta l'accesso per avviare e arrestare i nodi gestiti.
Per accedere alle istanze EC2, è necessario configurare le autorizzazioni dell'istanza. Per informazioni, consulta la pagina [Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager](setup-instance-permissions.md).
Per accedere a nodi non EC2 in un ambiente [ibrido e multicloud](operating-systems-and-machine-types.md#supported-machine-types), il ruolo di cui il tuo Account AWS ha bisogno è un ruolo di servizio IAM. Per informazioni, consulta [Creazione di un ruolo di servizio IAM richiesto per System Manager in ambiente ibrido e multicloud](hybrid-multicloud-service-role.md).
I flussi di lavoro di automazione possono essere avviati nel contesto di un ruolo di servizio (o ruolo presunto). Ciò permette al servizio di eseguire operazioni per conto tuo. Se non specifichi un ruolo presunto, il servizio di automazione utilizza il contesto dell'utente che ha richiamato l'esecuzione. Tuttavia, i seguenti scenari richiedono di specificare un ruolo di servizio di automazione. Per ulteriori informazioni, consulta [Configurazione di un accesso al ruolo di servizio (ruolo presunto) per le automazioni](automation-setup.md#automation-setup-configure-role).
### Policy gestite da AWS Systems Manager
AWS affronta molti casi d'uso comuni fornendo policy IAM autonome create e amministrate da. AWS Le *policy gestite* da AWS concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. (È inoltre possibile creare policy IAM personalizzate per concedere le autorizzazioni per operazioni e risorse Systems Manager).
Per ulteriori informazioni sulle policy gestite per Systems Manager, consulta [AWS politiche gestite per AWS Systems Manager](security-iam-awsmanpol.md)
Per informazioni generali sulle policy gestite, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente IAM*.