Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Istanze di accesso verificato
Un' Accesso verificato da AWS istanza è una AWS risorsa che ti aiuta a organizzare i tuoi provider fiduciari e i gruppi di accesso verificato. Un'istanza valuta le richieste delle applicazioni e concede l'accesso solo quando i requisiti di sicurezza sono soddisfatti.
**Topics**
+ [Crea e gestisci un'istanza di accesso verificato](create-verified-access-instance.md)
+ [Eliminare un'istanza di accesso verificato](delete-verified-access-instance.md)
+ [Integra Verified Access con AWS WAF](waf-integration.md)
+ [Conformità FIPS per l'accesso verificato](fips-compliance.md)
# Crea e gestisci un'istanza di accesso verificato
Utilizzi un'istanza di accesso verificato per organizzare i fornitori di fiducia e i gruppi di accesso verificato. Utilizza le seguenti procedure per creare un'istanza di accesso verificato, quindi collegare un provider fiduciario a Verified Access o scollegare un provider fiduciario da Verified Access.
**Topics**
+ [Crea un'istanza di accesso verificato](#create-instance)
+ [Collegare un provider fiduciario a un'istanza di accesso verificato](#attach-trust-provider)
+ [Scollega un fornitore di fiducia da un'istanza di accesso verificato](#detach-trust-provider)
+ [Aggiungi un sottodominio personalizzato](#modify-custom-subdomain)
## Crea un'istanza di accesso verificato
Utilizza la procedura seguente per creare un'istanza di accesso verificato.
**Per creare un'istanza di accesso verificato utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegli **Istanze di accesso verificato**, quindi **Crea istanza di accesso verificato**.
1. (Facoltativo) In **Nome** e **Descrizione**, inserisci un nome e una descrizione per l'istanza di accesso verificato.
1. (Endpoint CIDR di rete) Per il **sottodominio personalizzato per l'endpoint CIDR di rete**, inserisci un sottodominio personalizzato.
1. (Facoltativo) Scegliete **Enable** for **Federal Information Process Standards (FIPS)** se desiderate che Verified Access sia conforme allo standard FIPS.
1. (Facoltativo) Per il **provider fiduciario Verified Access, scegli un provider** fiduciario da collegare all'istanza di Verified Access.
1. (Facoltativo) Per aggiungere un tag, scegliere **Add new tag (Aggiungi nuovo tag)** e immettere la chiave e il valore del tag.
1. Scegli **Crea istanza di accesso verificato**.
**Per creare un'istanza di accesso verificato utilizzando il AWS CLI**
Utilizza il comando [create-verified-access-instance](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-instance.html).
## Collegare un provider fiduciario a un'istanza di accesso verificato
Utilizzare la procedura seguente per collegare un provider fiduciario a un'istanza di accesso verificato.
**Per collegare un provider fiduciario a un'istanza di accesso verificato utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegli **Istanze di accesso verificato**.
1. Selezionare l'istanza.
1. Scegli **Azioni**, **collega un provider fiduciario di accesso verificato**.
1. Per un **provider fiduciario ad accesso verificato**, scegli un fornitore di fiducia.
1. Scegli **Attach Verified Access Trust Provider**.
**Per collegare un provider fiduciario a un'istanza di accesso verificato utilizzando il AWS CLI**
Utilizzate il comando [attach-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/attach-verified-access-trust-provider.html).
## Scollega un fornitore di fiducia da un'istanza di accesso verificato
Utilizzare la procedura seguente per scollegare un provider fiduciario da un'istanza di accesso verificato.
**Per scollegare un provider fiduciario da un'istanza di accesso verificato utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegli **Istanze di accesso verificato**.
1. Selezionare l'istanza.
1. Scegli **Azioni**, **Scollega provider fiduciario di accesso verificato**.
1. Per **Verified Access Trust Provider**, scegli il provider fiduciario.
1. Scegli **Detach Verified Access trust provider**.
**Per scollegare un provider fiduciario da un'istanza di accesso verificato utilizzando il AWS CLI**
Utilizzate il comando [detach-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/detach-verified-access-trust-provider.html).
## Aggiungi un sottodominio personalizzato
Utilizza la procedura seguente per aggiungere o aggiornare un sottodominio personalizzato. Questo sottodominio viene utilizzato solo quando si crea un endpoint [CIDR di rete](create-network-cidr-endpoint.md).
**Per aggiungere un sottodominio personalizzato utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegli **Istanze di accesso verificato**.
1. Selezionare l'istanza.
1. Scegli **Azioni**, **Modifica istanza di accesso verificato**.
1. Per **Sottodominio personalizzato per endpoint CIDR di rete**, inserisci un sottodominio personalizzato.
1. Scegli **Modifica** istanza di accesso verificato.
1. Aggiorna i nameserver per il tuo sottodominio, inserendo i nameserver forniti da Verified Access. **Questo elenco è disponibile in **Nameservers nella scheda Dettagli dell'istanza**.**
**Per aggiungere un sottodominio personalizzato utilizzando AWS CLI**
Utilizza il comando [modify-verified-access-instance](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance.html).
# Eliminare un'istanza di accesso verificato
Quando hai finito con un'istanza di accesso verificato, puoi eliminarla. Prima di poter eliminare un'istanza, è necessario rimuovere tutti i provider fiduciari o i gruppi di accesso verificato associati.
**Per eliminare un'istanza di accesso verificato utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegli **Istanze di accesso verificato**.
1. Seleziona l'istanza di accesso verificato.
1. Scegli **Azioni**, **Elimina istanza di accesso verificato**.
1. Quando viene richiesta la conferma, inserisci **delete** e scegli **Delete (Elimina)**.
**Per eliminare un'istanza di accesso verificato utilizzando il AWS CLI**
Utilizza il comando [delete-verified-access-instance](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-instance.html).
# Integra Verified Access con AWS WAF
Oltre alle regole di autenticazione e autorizzazione applicate da Verified Access, potresti voler applicare anche la protezione perimetrale. Questo può aiutarti a proteggere le tue applicazioni da minacce aggiuntive. Puoi farlo integrandoti AWS WAF nella tua implementazione di Verified Access. AWS WAF è un firewall per applicazioni Web che consente di monitorare le richieste HTTP inoltrate alle risorse protette delle applicazioni Web. Per ulteriori informazioni, consulta la [Guida per gli sviluppatori di AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/).
È possibile effettuare l'integrazione AWS WAF con Verified Access associando una lista di controllo degli accessi AWS WAF Web (ACL) a un'istanza di accesso verificato. Un ACL web è una AWS WAF risorsa che offre un controllo dettagliato su tutte le richieste Web HTTP a cui risponde la risorsa protetta. Durante l'elaborazione della richiesta di AWS WAF associazione o disassociazione, lo stato di tutti gli endpoint di accesso verificato collegati all'istanza viene visualizzato come. `updating` Una volta completata la richiesta, lo stato torna a. `active` È possibile visualizzare lo stato in Console di gestione AWS o descrivendo l'endpoint con. AWS CLI
Il provider di fiducia per l'identità dell'utente determina quando AWS WAF ispeziona il traffico. Se utilizzi IAM Identity Center, AWS WAF ispeziona il traffico prima dell'autenticazione dell'utente. Se si utilizza OpenID Connect (OIDC), AWS WAF ispeziona il traffico dopo l'autenticazione dell'utente.
**Topics**
+ [Autorizzazioni IAM richieste](#waf-permissions)
+ [Associa un ACL web AWS WAF](#associate-web-acl)
+ [Verificate lo stato dell'associazione](#waf-integration-status)
+ [Dissocia un ACL web AWS WAF](#disassociate-web-acl)
## Autorizzazioni IAM richieste
L'integrazione AWS WAF con Verified Access include azioni di sola autorizzazione che non corrispondono direttamente a un'operazione API. Queste azioni sono indicate nel AWS Identity and Access Management *Service* Authorization Reference con. `[permission only]` Consulta [Azioni, risorse e chiavi di condizione per Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html) nel *Service Authorization* Reference.
Per lavorare con un ACL web, il AWS Identity and Access Management principale deve disporre delle seguenti autorizzazioni.
+ `ec2:AssociateVerifiedAccessInstanceWebAcl`
+ `ec2:DisassociateVerifiedAccessInstanceWebAcl`
+ `ec2:DescribeVerifiedAccessInstanceWebAclAssociations`
+ `ec2:GetVerifiedAccessInstanceWebAcl`
## Associa un ACL web AWS WAF
I passaggi seguenti mostrano come associare una lista di controllo degli accessi AWS WAF Web (ACL) a un'istanza di accesso verificato utilizzando la console Verified Access.
**Prerequisito**
Prima di iniziare, crea un ACL AWS WAF web. Per ulteriori informazioni, consulta [Creare un ACL web nella Guida](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-creating.html) per gli *AWS WAF sviluppatori*.
**Per associare un ACL AWS WAF Web a un'istanza di accesso verificato**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegli **Istanze di accesso verificato**.
1. Seleziona l'istanza di accesso verificato.
1. Seleziona la scheda **Integrazioni**.
1. Scegli **Azioni**, quindi **Associa Web ACL**.
1. Per **Web ACL**, scegli un ACL Web esistente, quindi scegli **Associa** ACL Web.
In alternativa, puoi usare la console. AWS WAF Se utilizzi la AWS WAF console o l'API, hai bisogno dell'Amazon Resource Name (ARN) della tua istanza Verified Access. Un ARN AVA ha il seguente formato:. `arn:${Partition}:ec2:${Region}:${Account}:verified-access-instance/${VerifiedAccessInstanceId}` Per maggiori informazioni, consulta [Associare un ACL web a una AWS risorsa](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating.html) nella *AWS WAF Developer* Guide.
## Verificate lo stato dell'associazione
È possibile verificare se una lista di controllo degli accessi AWS WAF Web (ACL) è associata o meno a un'istanza di accesso verificato utilizzando la console Verified Access.
**Per visualizzare lo stato dell' AWS WAF integrazione con un'istanza di accesso verificato**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegli **Istanze di accesso verificato**.
1. Seleziona l'istanza di accesso verificato.
1. Seleziona la scheda **Integrazioni**.
1. Controlla i dettagli elencati nella sezione Stato dell'**integrazione WAF**. **Lo stato verrà visualizzato come **Associato** o **Non associato**, insieme all'identificatore web ACL, se si trova nello stato Associato.**
## Dissocia un ACL web AWS WAF
I passaggi seguenti mostrano come dissociare una lista di controllo degli accessi AWS WAF Web (ACL) da un'istanza di accesso verificato utilizzando la console Verified Access.
**Per dissociare un ACL AWS WAF Web da un'istanza di accesso verificato**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegli Istanze di **accesso verificato**.
1. Seleziona l'istanza di accesso verificato.
1. Seleziona la scheda **Integrazioni**.
1. Scegli **Azioni**, quindi **Disassocia Web ACL**.
1. Confermate scegliendo **Dissocia** Web ACL.
In alternativa, puoi usare la AWS WAF console. Per ulteriori informazioni, consulta [Dissociare un ACL Web da una AWS risorsa nella Guida](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-dissociating-aws-resource.html) per gli *AWS WAF sviluppatori*.
# Conformità FIPS per l'accesso verificato
Il Federal Information Processing Standard (FIPS) è uno standard governativo statunitense e canadese che specifica i requisiti di sicurezza per i moduli crittografici che proteggono le informazioni sensibili. Accesso verificato da AWS offre la possibilità di configurare l'ambiente in modo che aderisca alla pubblicazione FIPS 140-2. La conformità FIPS per l'accesso verificato è disponibile nelle seguenti regioni: AWS
+ Stati Uniti orientali (Ohio)
+ Stati Uniti orientali (Virginia settentrionale)
+ Stati Uniti occidentali (California settentrionale)
+ Stati Uniti occidentali (Oregon)
+ Canada (Centrale)
+ AWS GovCloud (US) Ovest
+ AWS GovCloud (US) Est
Questa pagina mostra come configurare un ambiente di accesso verificato nuovo o esistente in modo che sia conforme allo standard FIPS.
**Topics**
+ [Ambiente esistente](#migrate-configuration)
+ [Nuovo ambiente](#new-configuration)
## Configura un ambiente di accesso verificato esistente per la conformità FIPS
Se disponi di un ambiente di accesso verificato esistente e desideri configurarlo in modo che sia conforme a FIPS, alcune risorse dovranno essere eliminate e ricreate per attivare la conformità FIPS.
Per riconfigurare un Accesso verificato da AWS ambiente esistente in modo che sia conforme a FIPS, procedi nel seguente modo.
1. Elimina gli endpoint, i gruppi e l'istanza originali di Verified Access. I provider fiduciari configurati possono essere riutilizzati.
1. Crea un'istanza di accesso verificato, assicurandoti di abilitare i **Federal Information Process Standards (FIPS)** durante la creazione. Inoltre, durante la creazione, collega il **provider fiduciario Verified Access** che desideri utilizzare, selezionandolo dall'elenco a discesa.
1. Crea un [gruppo](verified-access-groups.md) di accesso verificato. Durante la creazione del gruppo, lo associ all'istanza di accesso verificato appena creata.
1. Creane uno o più[Endpoint con accesso verificato](verified-access-endpoints.md). Durante la creazione dei tuoi endpoint, li associ al gruppo creato nel passaggio precedente.
## Configura un nuovo ambiente di accesso verificato per la conformità FIPS
Per configurare un nuovo Accesso verificato da AWS ambiente conforme a FIPS, procedi nel seguente modo.
1. [Configura un fornitore di fiducia.](trust-providers.md) Dovrai creare un provider di fiducia per [l'identità degli utenti](user-trust.md) e (facoltativamente) un provider di fiducia [basato sui dispositivi](device-trust.md), a seconda delle tue esigenze.
1. Crea un'[istanza](verified-access-instances.md) di accesso verificato, assicurandoti di abilitare i **Federal Information Process Standards (FIPS) durante il processo**. Inoltre, durante la creazione, collega il **provider fiduciario Verified Access** che hai creato nel passaggio precedente, selezionandolo dall'elenco a discesa.
1. Crea un [gruppo](verified-access-groups.md) di accesso verificato. Durante la creazione del gruppo, lo associ all'istanza di accesso verificato appena creata.
1. Creane uno o più[Endpoint con accesso verificato](verified-access-endpoints.md). Durante la creazione dei tuoi endpoint, li associ al gruppo creato nel passaggio precedente.