Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione delle identità e degli accessi in AWS Transit Gateway
AWS utilizza credenziali di sicurezza per identificarti e concederti l'accesso alle tue AWS risorse. Puoi utilizzare le funzionalità di AWS Identity and Access Management (IAM) per consentire ad altri utenti, servizi e applicazioni di utilizzare le tue AWS risorse completamente o in modo limitato, senza condividere le tue credenziali di sicurezza.
Per impostazione predefinita, gli utenti IAM non sono autorizzati a creare, visualizzare o modificare AWS le risorse. Per consentire a un utente di accedere a risorse come un gateway di transito e di eseguire attività, è necessario creare una policy IAM che conceda all'utente l'autorizzazione per utilizzare le risorse specifiche e le operazioni API di cui ha bisogno, quindi collegare la policy al gruppo a cui appartiene tale utente. Quando si collega una policy a un utente o a un gruppo di utenti, viene concessa o rifiutata agli utenti l'autorizzazione per l'esecuzione delle attività specificate sulle risorse specificate.
Per lavorare con un gateway di transito, una delle seguenti politiche AWS gestite potrebbe soddisfare le tue esigenze:
+ [AmazonEC2FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2FullAccess.html)
+ [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)
+ [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html)
+ [ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html)
## Policy di esempio per la gestione dei gateway di transito
Di seguito sono riportate le policy IAM di esempio per l'utilizzo dei gateway di transito.
**Creazione di un gateway di transito con i tag necessari**
L'esempio seguente consente agli utenti di creare gateway di transito. La chiave di condizione `aws:RequestTag` richiede agli utenti di contrassegnare il gateway di transito con il tag `stack=prod`. La chiave di condizione `aws:TagKeys` utilizza il modificatore `ForAllValues` per indicare che soltanto la chiave `stack` è consentita nella richiesta (non è possibile specificare altri tag). Se gli utenti non passano questo tag specifico quando creano il gateway di transito o se non specificano affatto i tag, la richiesta non riesce.
La seconda istruzione utilizza la chiave di condizione `ec2:CreateAction` per consentire agli utenti di creare i tag soltanto nel contesto di `CreateTransitGateway`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateTaggedTGWs",
"Effect": "Allow",
"Action": "ec2:CreateTransitGateway",
"Resource": "arn:aws:ec2:us-east-1:123456789012:transit-gateway/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/stack": "prod"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"stack"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:transit-gateway/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateTransitGateway"
}
}
}
]
}
```
------
**Utilizzo delle tabelle di routing del gateway di transito**
L'esempio seguente consente agli utenti di creare ed eliminare tabelle di routing del gateway di transito solo per un gateway di transito specifico (`tgw-11223344556677889`). Gli utenti possono inoltre creare e sostituire route in qualsiasi tabella di routing del gateway di transito, ma solo per gli allegati con il tag `network=new-york-office`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DeleteTransitGatewayRouteTable",
"ec2:CreateTransitGatewayRouteTable"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:transit-gateway/tgw-11223344556677889",
"arn:aws:ec2:*:*:transit-gateway-route-table/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGatewayRoute",
"ec2:ReplaceTransitGatewayRoute"
],
"Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/network": "new-york-office"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGatewayRoute",
"ec2:ReplaceTransitGatewayRoute"
],
"Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*"
}
]
}
```
------
# Usa ruoli collegati ai servizi per i gateway di transito in Transit Gateway AWS
Amazon VPC utilizza ruoli collegati ai servizi per le autorizzazioni di cui ha bisogno per eseguire chiamate ad altri servizi AWS per tuo conto. Per ulteriori informazioni, consulta [Ruoli collegati ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) nella *Guida per l’utente di IAM*.
## Ruolo collegato ai servizi per il gateway di transito
Amazon VPC utilizza ruoli collegati ai servizi per le autorizzazioni di cui ha bisogno per eseguire chiamate ad altri servizi AWS per tuo conto quando lavori con un gateway di transito.
### Autorizzazioni concesse dal ruolo collegato ai servizi
Amazon VPC utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForVPCTransitGateway** per eseguire le seguenti azioni per tuo conto quando lavori con un gateway di transito:
+ `ec2:CreateNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:ModifyNetworkInterfaceAttribute`
+ `ec2:DeleteNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:AssignIpv6Addresses`
+ `ec2:UnAssignIpv6Addresses`
Il ruolo **AWSServiceRoleForVPCTransitGateway** prevede che i seguenti servizi assumano il ruolo:
+ `transitgateway.amazonaws.com`
**AWSServiceRoleForVPCTransitGateway** utilizza la policy [AWSVPCTransitGatewayServiceRolePolicy](security-iam-awsmanpol.md#AWSVPCTransitGatewayServiceRolePolicy) gestita.
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
### Creazione del ruolo collegato ai servizi
Non è necessario creare manualmente il ruolo **AWSServiceRoleForVPCTransitGateway**. Amazon VPC crea questo ruolo quando colleghi un VPC nel tuo account a un gateway di transito.
### Modifica del ruolo collegato ai servizi
Puoi modificare la descrizione di **AWSServiceRoleForVPCTransitGateway** utilizzando IAM. Per ulteriori informazioni, consulta [Edit a service-linked role description](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) nella *Guida per l’utente IAM*.
### Eliminazione del ruolo collegato ai servizi
Se non hai più bisogno di utilizzare i gateway di transito, ti consigliamo di eliminare **AWSServiceRoleForVPCTransitGateway**.
Puoi eliminare questo ruolo collegato al servizio solo dopo aver eliminato tutti gli allegati VPC del gateway di transito nel tuo account. AWS Questa procedura impedisce di rimuovere involontariamente l'autorizzazione ad accedere ai collegamenti al VPC.
Per eliminare i ruoli collegati ai servizi, puoi utilizzare la console IAM, l'interfaccia a riga di comando IAM CLI o l'API IAM. Per ulteriori dettagli, consulta [Delete a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) nella *Guida per l’utente IAM*.
Dopo aver eliminato **AWSServiceRoleForVPCTransitGateway**, Amazon VPC crea nuovamente il ruolo se colleghi un VPC nel tuo account a un gateway di transito.
# AWS politiche gestite per i gateway di transito in AWS Transit Gateway
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
Per lavorare con un gateway di transito, una delle seguenti politiche AWS gestite potrebbe soddisfare le tue esigenze:
+ [AmazonEC2FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2FullAccess.html)
+ [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)
+ [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html)
+ [ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html)
## AWS politica gestita: AWSVPCTransit GatewayServiceRolePolicy
Questa politica è allegata al ruolo [AWSServiceRoleForVPCTransitGateway](service-linked-roles.md). Ciò consente ad Amazon VPC di creare e gestire risorse per collegamento del gateway di transito alla VPN.
Per vedere le autorizzazioni per questa policy, consulta [AWSVPCTransitGatewayServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVPCTransitGatewayServiceRolePolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Transit Gateway si aggiorna alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per i gateway di transito da quando Amazon VPC ha iniziato a tracciare queste modifiche nel marzo 2021.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| Amazon VPC ha iniziato a monitorare le modifiche | Amazon VPC ha iniziato a tracciare le modifiche alle sue politiche AWS gestite. | 1° marzo 2021 |
# Rete ACLs per gateway di transito in AWS Transit Gateway
Una lista di controllo accessi di rete (NACL) è un livello facoltativo di protezione.
Le regole delle liste di controllo accessi di rete (NACL) vengono applicate in modo diverso, a seconda dello scenario:
+ [Stessa sottorete per le istanze EC2 e l'associazione del gateway di transito](#nacl-tgw-same-subnet)
+ [Sottoreti diverse per le istanze EC2 e l'associazione del gateway di transito](#nacl-tgw-different-subnet)
## Stessa sottorete per le istanze EC2 e l'associazione del gateway di transito
Si consideri una configurazione in cui nella stessa sottorete sono presenti istanze EC2 e un'associazione del gateway di transito. La stessa ACL di rete viene utilizzata sia per il traffico dalle istanze EC2 al gateway di transito che per il traffico dal gateway di transito alle istanze.
Le regole delle liste di controllo accessi di rete (NACL) per il traffico dalle istanze al gateway di transito vengono applicate nel modo seguente:
+ Le regole in uscita utilizzano l'indirizzo IP di destinazione per la valutazione.
+ Le regole in ingresso utilizzano l'indirizzo IP di origine per la valutazione.
Le regole delle liste di controllo accessi di rete (NACL) per il traffico dal gateway di transito alle istanze vengono applicate nel modo seguente:
+ Le regole in uscita non vengono valutate.
+ Le regole in entrata non vengono valutate.
## Sottoreti diverse per le istanze EC2 e l'associazione del gateway di transito
Si consideri una configurazione in cui sono presenti istanze EC2 in una sottorete e un'associazione del gateway di transito in una sottorete diversa, con ogni sottorete associata a un'ACL di rete diversa.
Le regole delle ACL di rete vengono applicate come segue per la sottorete di istanze EC2:
+ Le regole in uscita utilizzano l'indirizzo IP di destinazione per valutare il traffico dalle istanze al gateway di transito.
+ Le regole in entrata utilizzano l'indirizzo IP di origine per valutare il traffico dal gateway di transito alle istanze.
Le regole dell'NACL per la sottorete del gateway di transito vengono applicate come segue:
+ Le regole in uscita utilizzano l'indirizzo IP di destinazione per valutare il traffico dal gateway di transito alle istanze.
+ Le regole in uscita non vengono utilizzate per valutare il traffico dalle istanze al gateway di transito.
+ Le regole in entrata utilizzano l'indirizzo IP di origine per valutare il traffico dalle istanze al gateway di transito.
+ Le regole in entrata non vengono utilizzate per valutare il traffico dal gateway di transito alle istanze.
## Best practice
Utilizza una sottorete separata per ogni allegato VPC del gateway di transito. Per ogni sottorete, utilizza un piccolo CIDR, ad esempio /28, in modo da avere più indirizzi per le risorse EC2. Quando usi una sottorete separata, puoi configurare quanto segue:
+ Tieni aperta la lista di controllo accessi di rete in ingresso e in uscita associata alla sottorete del gateway di transito.
+ A seconda del flusso di traffico, puoi applicarlo NACLs alle sottoreti del carico di lavoro.
Per ulteriori informazioni sul funzionamento degli allegati VPC, consulta [Collegamenti alle risorse](how-transit-gateways-work.md#tgw-attachments-overview).