Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Richieste di inoltro delle sessioni di accesso (FAS) e valutazione delle autorizzazioni Durante la creazione, l'aggiornamento e l'eliminazione degli CloudFormation stack, gli utenti possono facoltativamente specificare un ARN del ruolo IAM. Se non viene fornito alcun ruolo, CloudFormation utilizza il meccanismo di servizio predefinito per interagire con altri servizi. AWS In questo scenario, il chiamante deve disporre delle autorizzazioni necessarie per le risorse da gestire. In alternativa, quando un utente fornisce il proprio ruolo IAM, CloudFormation assumerà tale ruolo per eseguire le interazioni di servizio per suo conto. Indipendentemente dal fatto che l'utente fornisca o meno un ruolo IAM, CloudFormation genera un nuovo token FAS con estensione limitata per ogni operazione sulle risorse. Di conseguenza, le [chiavi di condizione relative al FAS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html#access_fas_policy_conditions), incluso `aws:ViaAWSService`, vengono compilate in entrambi gli scenari. L'uso del FAS influisce sul modo in cui le politiche IAM vengono valutate durante le operazioni. CloudFormation Quando si crea uno stack con un modello che include risorse interessate dalle chiavi di condizione relative al FAS, può verificarsi un rifiuto delle autorizzazioni. **Policy IAM di esempio** Considera la seguente politica IAM. `Statement2`impedirà costantemente la creazione di una `AWS::KMS::Key` risorsa in CloudFormation. La restrizione verrà applicata in modo coerente, a prescindere dal fatto che venga fornito o meno un ruolo IAM durante l’operazione di stack. Questo perché la chiave di condizione `aws:ViaAWSService` è sempre impostata su `true` per via dell’uso del FAS. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "kms:CreateKey" ], "Resource": [ "*" ] }, { "Sid": "Statement2", "Effect": "Deny", "Action": [ "kms:CreateKey" ], "Resource": [ "*" ], "Condition": { "Bool": { "aws:ViaAWSService": "true" } } } ] } ``` ------ **Modello stack di esempio** Ad esempio, quando un utente crea uno stack con il seguente modello di esempio, `aws:ViaAWSService` viene impostato su `true` e le autorizzazioni di ruolo verranno sostituite dalla policy FAS. La creazione dello stack sarà influenzata dallo `Statement2` della policy IAM, che nega l’azione `CreateKey`. Ciò si traduce in un errore di autorizzazione negata. ``` Resources: myPrimaryKey: Type: AWS::KMS::Key Properties: Description: An example multi-Region primary key KeyPolicy: Version: '2012-10-17' Id: key-default-1 Statement: - Sid: Enable IAM User Permissions Effect: Allow Principal: AWS: !Join - '' - - 'arn:aws:iam::' - !Ref AWS::AccountId - ':root' Action: kms:* Resource: '*' ``` Per ulteriori informazioni sul FAS, consultare [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) nella *Guida per l’utente di IAM*. **Nota** La maggior parte delle risorse segue questo comportamento. Tuttavia, se riscontri un esito positivo o negativo inaspettato durante la creazione, l’aggiornamento o l’eliminazione di una risorsa e la tua policy IAM include chiavi di condizione relative al FAS, è probabile che la risorsa in questione appartenga a un piccolo sottoinsieme di risorse che non seguono questo modello standard.