Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione delle identità e degli accessi per Amazon VPC Lattice
Le sezioni seguenti descrivono come utilizzare AWS Identity and Access Management (IAM) per proteggere le risorse VPC Lattice, controllando chi può eseguire le azioni dell'API VPC Lattice.
**Topics**
+ [Come funziona Amazon VPC Lattice con IAM](security_iam_service-with-iam.md)
+ [Autorizzazioni dell'API Amazon VPC Lattice](additional-api-permissions.md)
+ [Policy basate sull'identità per Amazon VPC Lattice](security_iam_id-based-policies.md)
+ [Utilizzo di ruoli collegati ai servizi per Amazon VPC Lattice](using-service-linked-roles.md)
+ [AWS politiche gestite per Amazon VPC Lattice](managed-policies.md)
# Come funziona Amazon VPC Lattice con IAM
Prima di utilizzare IAM per gestire l'accesso a VPC Lattice, scopri quali funzionalità IAM sono disponibili per l'uso con VPC Lattice.
| Funzionalità IAM | Supporto VPC Lattice |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | Sì |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione delle policy](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | No |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
*Per una visione di alto livello di come VPC Lattice e AWS altri servizi funzionano con la maggior parte delle funzionalità IAM, [AWS consulta i servizi che funzionano con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM nella IAM User Guide.*
## Policy basate sull'identità per VPC Lattice
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
## Policy basate sulle risorse all'interno di VPC Lattice
**Supporta le policy basate sulle risorse**: sì
Le politiche basate sulle risorse sono documenti di policy JSON allegati a una risorsa in. AWS Nei AWS servizi che supportano le politiche basate sulle risorse, gli amministratori del servizio possono utilizzarli per controllare l'accesso a una risorsa specifica di quel servizio. AWS Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio specificare un’entità principale.
VPC Lattice supporta *le politiche di autenticazione*, una politica basata sulle risorse che consente di controllare l'accesso ai servizi nella rete di servizi. Per ulteriori informazioni, consulta [Controlla l'accesso ai servizi VPC Lattice utilizzando le policy di autenticazione](auth-policies.md).
VPC Lattice supporta anche politiche di autorizzazione basate sulle risorse per l'integrazione con. AWS Resource Access ManagerÈ possibile utilizzare queste politiche basate sulle risorse per concedere l'autorizzazione a gestire la connettività ad altri AWS account o organizzazioni per servizi, configurazioni di risorse e reti di servizi. Per ulteriori informazioni, consulta [Condivisione delle entità di VPC Lattice](sharing.md).
## Azioni politiche per VPC Lattice
**Supporta le operazioni di policy:** si
In una dichiarazione di policy IAM, è possibile specificare qualsiasi operazione API per qualsiasi servizio che supporta IAM. Per VPC Lattice, utilizza il seguente prefisso con il nome dell'azione API:. `vpc-lattice:` For example: `vpc-lattice:CreateService`, `vpc-lattice:CreateTargetGroup` e `vpc-lattice:PutAuthPolicy`.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola, come mostrato di seguito:
```
"Action": [ "vpc-lattice:action1", "vpc-lattice:action2" ]
```
Puoi anche specificare più operazioni tramite caratteri jolly. Ad esempio, puoi specificare tutte le operazioni i cui nomi iniziano con la parola `Get` come segue:
```
"Action": "vpc-lattice:Get*"
```
*Per un elenco completo delle azioni dell'API VPC Lattice, consulta Azioni definite [da Amazon VPC Lattice](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html#amazonvpclattice-actions-as-permissions) nel Service Authorization Reference.*
## Risorse politiche per VPC Lattice
**Supporta le risorse relative alle policy:** sì
In una dichiarazione di policy IAM, l’elemento `Resource` specifica l’oggetto o gli oggetti coperti dall’istruzione. Per VPC Lattice, ogni dichiarazione di policy IAM si applica alle risorse specificate utilizzando le relative. ARNs
Il formato specifico di Amazon Resource Name (ARN) dipende dalla risorsa. Quando fornisci un ARN, sostituisci il *italicized* testo con le informazioni specifiche della risorsa.
+ **Accedere agli abbonamenti ai registri:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:accesslogsubscription/access-log-subscription-id"
```
+ **Ascoltatori:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:service/service-id/listener/listener-id"
```
+ **Gateway per le risorse**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:resourcegateway/resource-gateway-id"
```
+ **Configurazione delle risorse**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:resourceconfiguration/resource-configuration-id"
```
+ **Regole:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:service/service-id/listener/listener-id/rule/rule-id"
```
+ **Servizi:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:service/service-id"
```
+ **Reti di servizio:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetwork/service-network-id"
```
+ **Associazioni di servizi di rete di servizi:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetworkserviceassociation/service-network-service-association-id"
```
+ **Associazioni di configurazione delle risorse di rete di servizio**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetworkresourceassociation/service-network-resource-association-id"
```
+ **Associazioni VPC della rete di assistenza:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetworkvpcassociation/service-network-vpc-association-id"
```
+ **Gruppi target:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:targetgroup/target-group-id"
```
## Chiavi delle condizioni di policy per VPC Lattice
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
*Per visualizzare un elenco delle chiavi di condizione di VPC Lattice, consulta Condition keys [for Amazon VPC Lattice](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html#amazonvpclattice-policy-keys) nel Service Authorization Reference.*
AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per informazioni sulle chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
## Elenchi di controllo degli accessi (ACLs) in VPC Lattice
**Supporti ACLs**: no
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## Controllo degli accessi basato sugli attributi (ABAC) con VPC Lattice
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con VPC Lattice
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Ruoli di servizio per VPC Lattice
**Supporta i ruoli di servizio:** no
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità VPC Lattice. Modifica i ruoli di servizio solo quando VPC Lattice fornisce indicazioni in tal senso.
## Ruoli collegati ai servizi per VPC Lattice
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati in Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per informazioni sulla creazione o la gestione di ruoli collegati ai servizi VPC Lattice, vedere. [Utilizzo di ruoli collegati ai servizi per Amazon VPC Lattice](using-service-linked-roles.md)
# Autorizzazioni dell'API Amazon VPC Lattice
È necessario concedere alle identità IAM (come utenti o ruoli) l'autorizzazione a richiamare le azioni dell'API VPC Lattice di cui hanno bisogno, come descritto in. [Azioni politiche per VPC Lattice](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions) Inoltre, per alcune azioni VPC Lattice, devi concedere alle identità IAM l'autorizzazione a richiamare azioni specifiche di altri. AWS APIs
## Autorizzazioni richieste per le API
Quando richiami le seguenti azioni dall'API, devi concedere agli utenti IAM l'autorizzazione a chiamare le azioni specificate.
`CreateResourceConfiguration`
+ `vpc-lattice:CreateResourceConfiguration`
+ `ec2:DescribeSubnets`
+ `rds:DescribeDBInstances`
+ `rds:DescribeDBClusters`
`CreateResourceGateway`
+ `vpc-lattice:CreateResourceGateway`
+ `ec2:AssignPrivateIpAddresses`
+ `ec2:AssignIpv6Addresses`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
`DeleteResourceGateway`
+ `vpc-lattice:DeleteResourceGateway`
+ `ec2:DeleteNetworkInterface`
`UpdateResourceGateway`
+ `vpc-lattice:UpdateResourceGateway`
+ `ec2:AssignPrivateIpAddresses`
+ `ec2:AssignIpv6Addresses`
+ `ec2:UnassignPrivateIpAddresses`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:ModifyNetworkInterfaceAttribute`
`CreateServiceNetworkResourceAssociation`
+ `vpc-lattice:CreateServiceNetworkResourceAssociation`
+ `ec2:AssignIpv6Addresses`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:DescribeNetworkInterfaces`
`CreateServiceNetworkVpcAssociation`
+ `vpc-lattice:CreateServiceNetworkVpcAssociation`
+ `ec2:DescribeVpcs`
+ `ec2:DescribeSecurityGroups`(Necessario solo quando vengono forniti gruppi di sicurezza)
`UpdateServiceNetworkVpcAssociation`
+ `vpc-lattice:UpdateServiceNetworkVpcAssociation`
+ `ec2:DescribeSecurityGroups`(Necessario solo quando vengono forniti gruppi di sicurezza)
`CreateTargetGroup`
+ `vpc-lattice:CreateTargetGroup`
+ `ec2:DescribeVpcs`
`RegisterTargets`
+ `vpc-lattice:RegisterTargets`
+ `ec2:DescribeInstances`(Necessario solo quando `INSTANCE` si tratta del tipo di gruppo target)
+ `ec2:DescribeVpcs`(Necessario solo quando `INSTANCE` o `IP` è il tipo di gruppo target)
+ `ec2:DescribeSubnets`(Necessario solo quando `INSTANCE` o `IP` è il tipo di gruppo target)
+ `lambda:GetFunction`(Necessario solo quando `LAMBDA` si tratta del tipo di gruppo target)
+ `lambda:AddPermission`(Necessario solo se il gruppo target non dispone già dell'autorizzazione per richiamare la funzione Lambda specificata)
`DeregisterTargets`
+ `vpc-lattice:DeregisterTargets`
`CreateAccessLogSubscription`
+ `vpc-lattice:CreateAccessLogSubscription`
+ `logs:GetLogDelivery`
+ `logs:CreateLogDelivery`
`DeleteAccessLogSubscription`
+ `vpc-lattice:DeleteAccessLogSubscription`
+ `logs:DeleteLogDelivery`
`UpdateAccessLogSubscription`
+ `vpc-lattice:UpdateAccessLogSubscription`
+ `logs:UpdateLogDelivery`
# Policy basate sull'identità per Amazon VPC Lattice
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse VPC Lattice. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
*Per dettagli sulle azioni e sui tipi di risorse definiti da VPC Lattice, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Actions, Resources and Condition Keys for Amazon VPC Lattice](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html) nel Service Authorization Reference.*
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Autorizzazioni aggiuntive richieste per l'accesso completo](#security_iam_id-based-policy-additional-permissions)
+ [Esempi di policy basate sull'identità per VPC Lattice](#security_iam_id-based-policy-examples)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse VPC Lattice nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le policy gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Autorizzazioni aggiuntive richieste per l'accesso completo
Per utilizzare altri AWS servizi con cui è integrato VPC Lattice e l'intera suite di funzionalità VPC Lattice, è necessario disporre di autorizzazioni aggiuntive specifiche. [Queste autorizzazioni non sono incluse nella policy `VPCLatticeFullAccess` gestita a causa del rischio confuso di un'escalation dei privilegi secondari.](https://docs.aws.amazon.com//IAM/latest/UserGuide/confused-deputy.html)
È necessario allegare la seguente politica al proprio ruolo e utilizzarla insieme alla politica gestita. `VPCLatticeFullAccess`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"firehose:TagDeliveryStream",
"lambda:AddPermission",
"s3:PutBucketPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutResourcePolicy"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"vpc-lattice.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/vpc-lattice.amazonaws.com/AWSServiceRoleForVpcLattice"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery*"
}
]
}
```
------
Questa politica fornisce le seguenti autorizzazioni aggiuntive:
+ `iam:AttachRolePolicy`: consente di allegare la politica gestita specificata al ruolo IAM specificato.
+ `iam:PutRolePolicy`: Consente di aggiungere o aggiornare un documento di policy in linea incorporato nel ruolo IAM specificato.
+ `s3:PutBucketPolicy`: consente di applicare una policy sui bucket a un bucket Amazon S3.
+ `firehose:TagDeliveryStream`: consente di aggiungere o aggiornare i tag per i flussi di distribuzione di Firehose.
## Esempi di policy basate sull'identità per VPC Lattice
**Topics**
+ [Politica di esempio: gestione delle associazioni VPC a una rete di servizi](#security_iam_id-based-policy-examples-vpc-to-service-network-association)
+ [Politica di esempio: creazione di associazioni di servizi a una rete di servizi](#security_iam_id-based-policy-examples-service-to-service-network-association)
+ [Esempio di politica: aggiungere tag alle risorse](#security_iam_id-based-policy-examples-tag-resources)
+ [Politica di esempio: creare un ruolo collegato al servizio](#security_iam_id-based-policy-examples-service-linked-role)
### Politica di esempio: gestione delle associazioni VPC a una rete di servizi
L'esempio seguente mostra una politica che offre agli utenti con questa politica l'autorizzazione a creare, aggiornare ed eliminare le associazioni VPC su una rete di servizi, ma solo per il VPC e la rete di servizi specificati nella condizione. Per ulteriori informazioni su come specificare le chiavi di condizione, consulta [Chiavi delle condizioni di policy per VPC Lattice](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc-lattice:CreateServiceNetworkVpcAssociation",
"vpc-lattice:UpdateServiceNetworkVpcAssociation",
"vpc-lattice:DeleteServiceNetworkVpcAssociation"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"vpc-lattice:ServiceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/sn-903004f88example",
"vpc-lattice:VpcId": "vpc-1a2b3c4d"
}
}
}
]
}
```
------
### Politica di esempio: creazione di associazioni di servizi a una rete di servizi
Se non utilizzi le chiavi di condizione per controllare l'accesso alle risorse VPC Lattice, puoi invece specificare le ARNs risorse nell'`Resource`elemento per controllare l'accesso.
L'esempio seguente mostra una politica che limita le associazioni di servizi a una rete di servizi che gli utenti con questa politica possono creare specificando il servizio e la rete ARNs di servizi che possono essere utilizzati con l'azione API. `CreateServiceNetworkServiceAssociation` Per ulteriori informazioni sulla specificazione dei valori ARN, vedere. [Risorse politiche per VPC Lattice](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-resources)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc-lattice:CreateServiceNetworkServiceAssociation"
],
"Resource": [
"arn:aws:vpc-lattice:us-west-2:123456789012:servicenetworkserviceassociation/*",
"arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-04d5cc9b88example",
"arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/sn-903004f88example"
]
}
]
}
```
------
### Esempio di politica: aggiungere tag alle risorse
L'esempio seguente mostra una politica che offre agli utenti con questa politica il permesso di creare tag sulle risorse VPC Lattice.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc-lattice:TagResource"
],
"Resource": "arn:aws:vpc-lattice:us-west-2:123456789012:*/*"
}
]
}
```
------
### Politica di esempio: creare un ruolo collegato al servizio
VPC Lattice richiede le autorizzazioni per creare un ruolo collegato ai servizi la prima volta che un utente crea risorse VPC Lattice. Account AWS Se il ruolo collegato al servizio non esiste già, VPC Lattice lo crea nel tuo account. Il ruolo collegato al servizio fornisce le autorizzazioni a VPC Lattice in modo che possa chiamare altri utenti per tuo conto. Servizi AWS Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon VPC Lattice](using-service-linked-roles.md).
Affinché la creazione automatica di un ruolo riesca, gli utenti devono disporre delle autorizzazioni per l'operazione `iam:CreateServiceLinkedRole`.
```
"Action": "iam:CreateServiceLinkedRole"
```
L'esempio seguente mostra una politica che fornisce agli utenti con questa politica l'autorizzazione a creare un ruolo collegato al servizio per VPC Lattice.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/vpc-lattice.amazonaws.com/AWSServiceRoleForVpcLattice",
"Condition": {
"StringLike": {
"iam:AWSServiceName":"vpc-lattice.amazonaws.com"
}
}
}
]
}
```
------
Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
# Utilizzo di ruoli collegati ai servizi per Amazon VPC Lattice
Amazon VPC Lattice utilizza un ruolo collegato al servizio per le autorizzazioni necessarie per chiamare altri utenti per tuo conto. Servizi AWS Per ulteriori informazioni, consulta [Ruoli collegati ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) nella *Guida per l’utente di IAM*.
VPC Lattice utilizza il ruolo collegato al servizio denominato. AWSServiceRoleForVpcLattice
## Autorizzazioni di ruolo collegate ai servizi per VPC Lattice
Ai fini dell’assunzione del ruolo, il ruolo collegato ai servizi **AWSServiceRoleForVpcLattice** considera attendibile il seguente servizio:
+ `vpc-lattice.amazonaws.com`
La politica di autorizzazione dei ruoli denominata AWSVpcLatticeServiceRolePolicy consente a VPC Lattice di CloudWatch pubblicare metriche nel namespace. `AWS/VpcLattice` *Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVpcLatticeServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVpcLatticeServiceRolePolicy.html)il Managed Policy Reference.AWS *
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Politica di esempio: creare un ruolo collegato al servizio](security_iam_id-based-policies.md#security_iam_id-based-policy-examples-service-linked-role).
## Crea un ruolo collegato ai servizi per VPC Lattice
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei risorse VPC Lattice nell'API Console di gestione AWS AWS , VPC Lattice crea automaticamente il ruolo collegato al servizio. AWS CLI
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei risorse VPC Lattice, VPC Lattice crea nuovamente il ruolo collegato al servizio per te.
## Modifica un ruolo collegato ai servizi per VPC Lattice
Puoi modificare la descrizione dell'utilizzo di IAM. **AWSServiceRoleForVpcLattice** Per ulteriori informazioni, consulta [Edit a service-linked role description](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) nella *Guida per l’utente IAM*.
## Eliminare un ruolo collegato al servizio per VPC Lattice
Se non hai più bisogno di usare Amazon VPC Lattice, ti consigliamo di eliminarlo. **AWSServiceRoleForVpcLattice**
Puoi eliminare questo ruolo collegato al servizio solo dopo aver eliminato tutte le risorse VPC Lattice presenti nel tuo. Account AWS
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al servizio. **AWSServiceRoleForVpcLattice** Per ulteriori dettagli, consulta [Delete a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) nella *Guida per l’utente IAM*.
Dopo aver eliminato un ruolo collegato al servizio, VPC Lattice crea nuovamente il ruolo quando crei risorse VPC Lattice nel tuo. Account AWS
## Regioni supportate per i ruoli collegati ai servizi VPC Lattice
VPC Lattice supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile.
# AWS politiche gestite per Amazon VPC Lattice
Una policy AWS gestita è una policy autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: VPCLattice FullAccess
Questa policy fornisce l'accesso completo ad Amazon VPC Lattice e un accesso limitato ad altri servizi dipendenti. Include le autorizzazioni per eseguire le seguenti operazioni:
+ ACM: recupera l' SSL/TLS ARN del certificato per i nomi di dominio personalizzati.
+ CloudWatch — Visualizza i registri di accesso e i dati di monitoraggio.
+ CloudWatch Registri: configura e invia i registri di accesso ai registri. CloudWatch
+ Amazon EC2: configura le interfacce di rete e recupera informazioni sulle istanze EC2 e. VPCs Viene utilizzato per creare configurazioni di risorse, gateway di risorse e gruppi target, configurare associazioni di entità VPC Lattice e registrare destinazioni.
+ Elastic Load Balancing: recupera informazioni su un Application Load Balancer per registrarlo come destinazione.
+ Firehose: recupera informazioni sui flussi di consegna utilizzati per archiviare i log di accesso.
+ Lambda — Recupera informazioni su una funzione Lambda per registrarla come destinazione.
+ Amazon RDS: recupera informazioni su cluster e istanze RDS.
+ Amazon S3: recupera informazioni sui bucket S3 utilizzati per archiviare i log di accesso.
Per vedere le autorizzazioni per questa policy, consulta [VPCLatticeFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/VPCLatticeFullAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
Per utilizzare altri AWS servizi con cui è integrato VPC Lattice e l'intera suite di funzionalità VPC Lattice, è necessario disporre di autorizzazioni aggiuntive specifiche. [Queste autorizzazioni non sono incluse nella policy `VPCLatticeFullAccess` gestita a causa del rischio confuso di un'escalation dei privilegi secondari.](https://docs.aws.amazon.com//IAM/latest/UserGuide/confused-deputy.html) Per ulteriori informazioni, consulta [Autorizzazioni aggiuntive richieste per l'accesso completo](security_iam_id-based-policies.md#security_iam_id-based-policy-additional-permissions).
## AWS politica gestita: VPCLattice ReadOnlyAccess
Questa policy fornisce l'accesso in sola lettura ad Amazon VPC Lattice e l'accesso limitato ad altri servizi dipendenti. Include le autorizzazioni per eseguire le seguenti operazioni:
+ ACM: recupera l' SSL/TLS ARN del certificato per i nomi di dominio personalizzati.
+ CloudWatch — Visualizza i registri di accesso e i dati di monitoraggio.
+ CloudWatch Registri: visualizza le informazioni sulla consegna dei log per le sottoscrizioni ai log di accesso.
+ Amazon EC2: recupera informazioni sulle istanze EC2, crea gruppi target e VPCs registra obiettivi.
+ Elastic Load Balancing: recupera informazioni su un Application Load Balancer.
+ Firehose: recupera informazioni sui flussi di consegna per la consegna dei log di accesso.
+ Lambda: visualizza informazioni su una funzione Lambda.
+ Amazon RDS: recupera informazioni su cluster e istanze RDS.
+ Amazon S3: recupera informazioni sui bucket S3 per la consegna dei log di accesso.
Per vedere le autorizzazioni per questa policy, consulta [VPCLatticeReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/VPCLatticeReadOnlyAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## AWS politica gestita: VPCLattice ServicesInvokeAccess
Questa policy fornisce l'accesso per richiamare i servizi Amazon VPC Lattice.
Per vedere le autorizzazioni per questa policy, consulta [VPCLatticeServicesInvokeAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/VPCLatticeServicesInvokeAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## AWS politica gestita: AWSVpc LatticeServiceRolePolicy
Questa policy è associata a un ruolo collegato al servizio denominato **AWSServiceRoleForVpcLattice**per consentire a VPC Lattice di eseguire azioni per tuo conto. Non è possibile attribuire questa policy alle entità IAM. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon VPC Lattice](using-service-linked-roles.md).
Per vedere le autorizzazioni per questa policy, consulta [AWSVpcLatticeServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVpcLatticeServiceRolePolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## VPC Lattice si aggiorna alle policy gestite AWS
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per VPC Lattice da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS per la VPC Lattice User Guide.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [VPCLatticeFullAccess](#vpc-lattice-fullaccess-policy) | VPC Lattice aggiunge autorizzazioni di sola lettura per descrivere i cluster e le istanze di Amazon RDS. | 1 dicembre 2024 |
| [VPCLatticeReadOnlyAccess](#vpc-lattice-read-onlyaccess-policy) | VPC Lattice aggiunge autorizzazioni di sola lettura per descrivere i cluster e le istanze di Amazon RDS. | 1 dicembre 2024 |
| [AWSVpcLatticeServiceRolePolicy](#service-linked-role-policy) | VPC Lattice aggiunge le autorizzazioni per consentire a VPC Lattice di creare un'interfaccia di rete gestita dal richiedente. | 1 dicembre 2024 |
| [VPCLatticeFullAccess](#vpc-lattice-fullaccess-policy) | VPC Lattice aggiunge una nuova policy per concedere le autorizzazioni per l'accesso completo ad Amazon VPC Lattice e l'accesso limitato ad altri servizi dipendenti. | 31 marzo 2023 |
| [VPCLatticeReadOnlyAccess](#vpc-lattice-read-onlyaccess-policy) | VPC Lattice aggiunge una nuova policy per concedere le autorizzazioni per l'accesso in sola lettura ad Amazon VPC Lattice e l'accesso limitato ad altri servizi dipendenti. | 31 marzo 2023 |
| [VPCLatticeServicesInvokeAccess](#vpc-lattice-services-invoke-access-policy) | VPC Lattice aggiunge una nuova policy per concedere l'accesso per richiamare i servizi Amazon VPC Lattice. | 31 marzo 2023 |
| [AWSVpcLatticeServiceRolePolicy](#service-linked-role-policy) | VPC Lattice aggiunge le autorizzazioni al suo ruolo collegato ai servizi per consentire a VPC Lattice di pubblicare metriche nel namespace. CloudWatch AWS/VpcLattice La policy include il permesso di richiamare l'azione dell'API. AWSVpcLatticeServiceRolePolicy CloudWatch [PutMetricData](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricData.html) Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon VPC Lattice](using-service-linked-roles.md). | 5 dicembre 2022 |
| VPC Lattice ha iniziato a tracciare le modifiche | VPC Lattice ha iniziato a tracciare le modifiche per le sue AWS politiche gestite. | 5 dicembre 2022 |