**Ti presentiamo una nuova esperienza di console per AWS WAF**
Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di ruoli collegati ai servizi per il direttore AWS Shield della sicurezza di rete
Questa sezione spiega come utilizzare i ruoli collegati ai servizi per consentire al responsabile AWS Shield della sicurezza di rete di accedere alle risorse del tuo account. AWS
AWS Shield il direttore della sicurezza di rete utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente al AWS Shield direttore della sicurezza di rete. I ruoli collegati ai servizi sono predefiniti dal direttore AWS Shield della sicurezza di rete e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato ai servizi semplifica la configurazione del direttore AWS Shield della sicurezza di rete perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Shield il direttore della sicurezza di rete definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo il direttore della sicurezza di AWS Shield rete può assumerne i ruoli. Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. Questa policy delle autorizzazioni non può essere collegata ad alcun'altra entità IAM.
Scopri il ruolo completo collegato ai servizi nella console IAM:. [NetworkSecurityDirectorServiceLinkedRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/NetworkSecurityDirectorServiceLinkedRolePolicy)
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni di ruolo collegate al servizio per il direttore della sicurezza di rete AWS Shield
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio `NetworkSecurityDirectorServiceLinkedRolePolicy` considera attendibili i seguenti servizi:
+ `network-director.amazonaws.com`
`NetworkSecurityDirectorServiceLinkedRolePolicy`Concede al direttore della sicurezza AWS Shield della rete le autorizzazioni per accedere e analizzare varie AWS risorse e servizi per tuo conto. Questo include:
+ Recupero della configurazione di rete e delle impostazioni di sicurezza dalle risorse Amazon EC2
+ Accesso ai CloudWatch parametri per analizzare i modelli di traffico di rete
+ Raccolta di informazioni sui sistemi di bilanciamento del carico e sui gruppi target
+ Raccolta di AWS WAF configurazioni e regole
+ Accesso alle informazioni sul AWS Direct Connect gateway
+ E altro ancora, come indicato nell'elenco delle autorizzazioni riportato di seguito
L'elenco seguente riguarda le autorizzazioni che non supportano il downscoping a risorse specifiche. Le altre sono ridotte alle risorse di servizio indicate.
```
{
"Sid": "ResourceLevelPermissionNotSupported",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeCustomerGateways",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeTransitGateways",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeTransitGatewayAttachments",
"ec2:DescribeTransitGatewayPeeringAttachments",
"ec2:DescribeTransitGatewayRouteTables",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:GetTransitGatewayRouteTablePropagations",
"ec2:GetManagedPrefixListEntries",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeLoadBalancencerAttributes",
"wafv2:ListWebACLs",
"cloudfront:ListDistributions",
"cloudfront:ListTagsForResource",
"directconnect:DescribeDirectConnectGateways",
"directconnect:DescribeVirtualInterfaces"
],
"Resource": "*"
}
```
**`NetworkSecurityDirectorServiceLinkedRolePolicy`autorizzazioni relative ai ruoli collegati al servizio**
L'elenco seguente include tutte le autorizzazioni abilitate dal ruolo collegato al servizio. `NetworkSecurityDirectorServiceLinkedRolePolicy`
Amazon CloudFront
```
{
"Sid": "cloudfront",
"Effect": "Allow",
"Action": [
"cloudfront:GetDistribution"
],
"Resource": "arn:aws:cloudfront::*:distribution/*"
}
```
AWS WAF
```
{
"Sid": "wafv2",
"Effect": "Allow",
"Action": [
"wafv2:ListResourcesForWebACL",
"wafv2:ListRuleGroups",
"wafv2:ListAvailableManagedRuleGroups",
"wafv2:GetRuleGroup",
"wafv2:DescribeManagedRuleGroup",
"wafv2:GetWebACL"
],
"Resource": [
"arn:aws:wafv2:*:*:global/rulegroup/*",
"arn:aws:wafv2:*:*:regional/rulegroup/*",
"arn:aws:wafv2:*:*:global/managedruleset/*",
"arn:aws:wafv2:*:*:regional/managedruleset/*",
"arn:aws:wafv2:*:*:global/webacl/*/*",
"arn:aws:wafv2:*:*:regional/webacl/*/*",
"arn:aws:apprunner:*:*:service/*",
"arn:aws:cognito-idp:*:*:userpool/*",
"arn:aws:ec2:*:*:verified-access-instance/*"
]
}
```
AWS WAF Classico
```
{
"Sid": "classicWaf",
"Effect": "Allow",
"Action": [
"waf:ListWebACLs",
"waf:GetWebACL"
],
"Resource": [
"arn:aws:waf::*:webacl/*",
"arn:aws:waf-regional:*:*:webacl/*"
]
}
```
AWS Direct Connect
```
{
"Sid": "directconnect",
"Effect": "Allow",
"Action": [
"directconnect:DescribeConnections",
"directconnect:DescribeDirectConnectGatewayAssociations",
"directconnect:DescribeDirectConnectGatewayAttachments",
"directconnect:DescribeVirtualGateways"
],
"Resource": [
"arn:aws:directconnect::*:dx-gateway/*",
"arn:aws:directconnect:*:*:dxcon/*",
"arn:aws:directconnect:*:*:dxlag/*",
"arn:aws:directconnect:*:*:dxvif/*"
]
}
```
AWS Transit Gateway percorsi
```
{
"Sid": "ec2Get",
"Effect": "Allow",
"Action": [
"ec2:SearchTransitGatewayRoutes"
],
"Resource": [
"arn:aws:ec2:*:*:transit-gateway-route-table/*"
]
}
```
AWS Network Firewall
```
{
"Sid": "networkFirewall",
"Effect": "Allow",
"Action": [
"network-firewall:ListFirewalls",
"network-firewall:ListFirewallPolicies",
"network-firewall:ListRuleGroups",
"network-firewall:DescribeFirewall",
"network-firewall:DescribeFirewallPolicy",
"network-firewall:DescribeRuleGroup"
],
"Resource": [
"arn:aws:network-firewall:*:*:*/*"
]
}
```
Gateway Amazon API
```
{
"Sid": "apiGatewayGetAPI",
"Effect": "Allow",
"Action": [
"apigateway:GET"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/apis",
"arn:aws:apigateway:*::/apis/*",
"arn:aws:apigateway:*::/tags/*",
"arn:aws:apigateway:*::/vpclinks",
"arn:aws:apigateway:*::/vpclinks/*"
]
}
```
## Creazione di un ruolo collegato ai servizi per il direttore AWS Shield della sicurezza di rete
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando esegui la tua prima analisi di rete, il direttore AWS Shield della sicurezza di rete crea automaticamente il ruolo collegato ai servizi.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando abiliti la registrazione di AWS Shield Network Security Director, AWS Shield Network Security Director crea nuovamente il ruolo collegato ai servizi per te.
## Modifica di un ruolo collegato ai servizi per il direttore della sicurezza di rete AWS Shield
AWS Shield il direttore della sicurezza di rete non consente di modificare il ruolo collegato al `NetworkSecurityDirectorServiceLinkedRolePolicy` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per il direttore della sicurezza di rete AWS Shield
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
Ciò protegge le risorse del direttore AWS Shield della sicurezza di rete perché non è possibile rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Nota**
Se il servizio di direttore della sicurezza della AWS Shield rete utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Usa la console IAM, la CLI IAM oppure l’API IAM per eliminare il ruolo collegato al servizio `NetworkSecurityDirectorServiceLinkedRolePolicy`. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
## Regioni supportate per i ruoli AWS Shield collegati ai servizi di Network Security Director
**Nota**
AWS Shield Network Security Director è disponibile in anteprima pubblica ed è soggetto a modifiche.
AWS Shield network security director supporta l'utilizzo di ruoli collegati ai servizi nelle seguenti regioni e può recuperare i dati sulle risorse disponibili solo in queste aree.
| Nome della regione | Regione |
| --- | --- |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 |
| Europa (Stoccolma) | eu-north-1 |
| Asia Pacifico (Thailandia) | ap-southeast-7 |
| Africa (Città del Capo) | ap-south-1 |
| Stati Uniti orientali (Ohio) | us-east-2 |
| Asia Pacifico (Malesia) | ap-southeast-5 |
| Asia Pacifico (Tokyo) | ap-northeast-1 |
| Stati Uniti occidentali (Oregon) | us-west-2 |
| Europa (Spagna) | eu-south-2 |
| Europa (Irlanda) | eu-west-1 |
| Europa (Francoforte) | eu-central-1 |
| Asia Pacific (Hong Kong) | ap-east-1 |
| Asia Pacifico (Singapore) | ap-southeast-1 |
| Asia Pacific (Sydney) | ap-southeast-2 |