Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Prerequisiti per l'utilizzo CloudFormation StackSets
StackSets estendi la funzionalità degli stack, in modo da poter creare, aggiornare o eliminare gli stack su più account e regioni con un'unica operazione.
Poiché StackSets esegui operazioni di stack su più account, prima di poter creare il primo StackSet account sono necessarie le autorizzazioni necessarie definite nel tuo. Account AWS
*È possibile eseguire la gestione StackSets utilizzando autorizzazioni *autogestite o gestite dal* servizio.*
+ Per la *gestione automatica* StackSets, devi creare e gestire i ruoli IAM in ogni account di destinazione e. Regione AWS Per ulteriori informazioni, consulta [Concedere autorizzazioni gestite dal cliente](stacksets-prereqs-self-managed.md).
+ Per quanto riguarda la *gestione dei servizi* StackSets, non è necessario creare e gestire manualmente i ruoli IAM in ogni account; AWS gestisce la creazione dei ruoli e le autorizzazioni per te. Per ulteriori informazioni, consulta [Attiva l’accesso attendibile](stacksets-orgs-activate-trusted-access.md).
**Topics**
+ [Preparati a eseguire StackSet operazioni Regioni AWS disattivate per impostazione predefinita](stacksets-opt-in-regions.md)
+ [Concedere autorizzazioni gestite dal cliente](stacksets-prereqs-self-managed.md)
+ [Attiva l'accesso affidabile per StackSets con AWS Organizations](stacksets-orgs-activate-trusted-access.md)
# Preparati a eseguire StackSet operazioni Regioni AWS disattivate per impostazione predefinita
Regioni AWS introdotte dopo il 20 marzo 2019, ad esempio Asia Pacifico (Hong Kong), sono disabilitate per impostazione predefinita. Occorre abilitare queste Regioni per gli account prima di poterli utilizzare. Per ulteriori informazioni, consulta [Enable or disable Regioni AWS in your account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) nella *Guida di riferimento di Gestione dell'account AWS *.
Per creare un account amministratore StackSet StackSet di un account (se si utilizzano autorizzazioni autogestite) o un account di gestione dell'organizzazione (se si utilizzano autorizzazioni gestite dal servizio) in una regione disabilitata per impostazione predefinita, è necessario innanzitutto abilitare tale regione per l'account amministratore o di gestione.
Per creare o CloudFormation aggiornare correttamente un'istanza dello stack:
+ L'account di destinazione deve risiedere in una Regione attualmente abilitata per tale account di destinazione.
+ L'account StackSet amministratore o l'account di gestione dell'organizzazione devono avere la stessa regione abilitata dell'account di destinazione.
**Importante**
Tieni presente che durante StackSet le operazioni, gli account amministratore e di destinazione si scambiano i metadati relativi agli account stessi, oltre alle istanze StackSet e alle StackSet istanze coinvolte.
Inoltre, se disabiliti una regione che contiene un account in cui risiedono StackSet le istanze, sei responsabile dell'eliminazione di tali istanze o risorse, se lo desideri. Inoltre, tenere presente che i metadati relativi all'account di destinazione nella Regione disabilitata verranno conservati nell'account amministratore.
# Concedere autorizzazioni gestite dal cliente
*Questo argomento fornisce istruzioni su come creare i ruoli di servizio IAM necessari per la distribuzione su più account e Regioni AWS con StackSets autorizzazioni autogestite.* Questi ruoli sono necessari per stabilire una relazione di fiducia tra l'account StackSet da cui amministri e l'account su cui stai distribuendo le istanze dello stack. Utilizzando questo modello di autorizzazioni, StackSets puoi eseguire il deployment su qualsiasi dispositivo Account AWS in cui disponi delle autorizzazioni per creare un ruolo IAM.
Per utilizzare le autorizzazioni *gestite dal servizio*, consulta invece [Attiva l’accesso attendibile](stacksets-orgs-activate-trusted-access.md).
**Topics**
+ [Panoramica delle autorizzazioni autogestite](#prereqs-self-managed-permissions)
+ [Concedere a tutti gli utenti dell’account amministratore le autorizzazioni per gestire gli stack in tutti gli account di destinazione](#stacksets-prereqs-accountsetup)
+ [Imposta le opzioni di autorizzazione avanzate per le operazioni StackSet](#stacksets-prereqs-advanced-perms)
+ [Configurazione di chiavi globali per mitigare i problemi di "confused deputy"](#confused-deputy-mitigation)
## Panoramica delle autorizzazioni autogestite
Prima di creare un account StackSet con autorizzazioni autogestite, devi aver creato ruoli di servizio IAM in ogni account.
I passaggi di base sono:
1. Determina qual Account AWS è l'*account amministratore*.
StackSets vengono creati in questo account amministratore. Un *account di destinazione* è l'account in cui si creano singoli stack che appartengono a un StackSet.
1. Determina come desideri strutturare le autorizzazioni per. StackSet
La configurazione delle autorizzazioni più semplice (e più permissiva) consiste nel concedere a *tutti* gli utenti e i gruppi dell'account amministratore la possibilità di creare e aggiornare *tutti i* file StackSets gestiti tramite tale account. Per ottenere un controllo più accurato, puoi configurare le autorizzazioni per specificare:
+ Quali utenti e gruppi possono eseguire StackSet operazioni in quali account di destinazione.
+ Quali risorse gli utenti e i gruppi possono includere nei propri StackSets.
+ Quali StackSet operazioni possono eseguire utenti e gruppi specifici.
1. Crea i ruoli di servizio IAM necessari negli account amministratore e di destinazione per definire le autorizzazioni desiderate.
Nello specifico, i due ruoli richiesti sono:
+ **AWSCloudFormationStackSetAdministrationRole**— Questo ruolo viene distribuito all'account amministratore.
+ **AWSCloudFormationStackSetExecutionRole**— Questo ruolo viene distribuito a tutti gli account in cui si creano istanze stack.
## Concedere a tutti gli utenti dell’account amministratore le autorizzazioni per gestire gli stack in tutti gli account di destinazione
Questa sezione mostra come impostare le autorizzazioni per consentire a tutti gli utenti e i gruppi dell'account amministratore di eseguire StackSet operazioni in tutti gli account di destinazione. Costituisce una guida per la creazione dei ruoli di servizio IAM richiesti negli account amministratore e di destinazione. Chiunque nell’account amministratore può quindi creare, aggiornare o eliminare qualsiasi stack in qualsiasi account di destinazione.
Strutturando le autorizzazioni in questo modo, gli utenti non assegnano un ruolo di amministrazione durante la creazione o l'aggiornamento di un. StackSet
![\[Qualsiasi utente dell'account amministratore può quindi creare qualsiasi account StackSet in Target dopo aver impostato una relazione di fiducia.\]](http://docs.aws.amazon.com/it_it/AWSCloudFormation/latest/UserGuide/images/stacksets_perms_master_target.png)
------
#### [ Administrator account ]
Nell'account amministratore, crea un ruolo IAM denominato **AWSCloudFormationStackSetAdministrationRole**.
Puoi farlo creando uno stack dal CloudFormation modello disponibile in [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSCloudFormationStackSetAdministrationRole.yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSCloudFormationStackSetAdministrationRole.yml).
**Example Policy di autorizzazione di esempio**
Il ruolo amministratore creato a partire dal modello precedente include la seguente policy di autorizzazione.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRole"
],
"Effect": "Allow"
}
]
}
```
**Example Esempio di policy di attendibilità 1**
Il modello precedente include anche la seguente policy di attendibilità che concede l’autorizzazione di servizio per utilizzare il ruolo di amministrazione e le autorizzazioni collegate al ruolo.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
**Example Esempio di policy di attendibilità 2**
Per implementare le istanze di stack in un account di destinazione che si trova in una Regione disabilitata per impostazione predefinita, devi includere anche il principale regionale del servizio per tale Regione. Ogni Regione disabilitata per impostazione predefinita avrà un proprio principale del servizio regionale.
La policy di attendibilità del seguente esempio concede l’autorizzazione di servizio per utilizzare il ruolo di amministrazione nella Regione Asia Pacifico (Hong Kong) (`ap-east-1`), una Regione disabilitata per impostazione predefinita.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"cloudformation.amazonaws.com",
"cloudformation.ap-east-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
Per ulteriori informazioni, consulta [Preparati a eseguire StackSet operazioni Regioni AWS disattivate per impostazione predefinita](stacksets-opt-in-regions.md). Per un elenco di codici delle Regioni, consulta [Regional endpoints](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints) nella *Riferimenti generali di AWS Guide*.
------
#### [ Target accounts ]
In ogni account di destinazione, crea un ruolo di servizio denominato **AWSCloudFormationStackSetExecutionRole**che consideri attendibile l'account amministratore. Il ruolo deve avere questo nome esatto. [Puoi farlo creando uno stack dal CloudFormation modello disponibile in .yml. https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ AWSCloud FormationStackSetExecutionRole](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSCloudFormationStackSetExecutionRole.yml) Quando usi questo modello, ti viene richiesto di fornire l’ID account dell’account amministratore con cui l’account di destinazione deve avere una relazione di trust.
**Importante**
Questo modello concede l'accesso di amministratore. Dopo aver utilizzato il modello per creare un ruolo di esecuzione dell'account di destinazione, è necessario definire l'ambito delle autorizzazioni contenute nella dichiarazione politica in base ai tipi di risorse che si stanno creando utilizzando. StackSets
Il ruolo del servizio dell'account di destinazione richiede le autorizzazioni per eseguire tutte le operazioni specificate CloudFormation nel modello. Ad esempio, se il modello crea un bucket S3, è necessario disporre delle autorizzazioni per creare nuovi oggetti per S3. L'account di destinazione richiede sempre le autorizzazioni CloudFormation complete, che includono le autorizzazioni per creare, aggiornare, eliminare e descrivere gli stack.
**Example Policy di autorizzazione di esempio 1**
Il ruolo creato da questo modello abilita la seguente policy su un account di destinazione.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
```
**Example Policy di autorizzazione di esempio 2**
L'esempio seguente mostra una dichiarazione politica con le autorizzazioni *minime* StackSets per il funzionamento. Per creare pile negli account di destinazione che utilizzano risorse di servizi diversi da CloudFormation, è necessario aggiungere tali azioni e risorse di servizio all'**AWSCloudFormationStackSetExecutionRole**informativa relativa a ciascun account di destinazione.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
**Example Esempio di policy di attendibilità**
La seguente relazione di trust viene creata dal modello. L'ID dell'account amministratore viene visualizzato come*admin\$1account\$1id*.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
È possibile configurare la relazione di trust di un ruolo di esecuzione dell'account di destinazione esistente per stabilire una relazione di trust con un determinato ruolo nell'account amministratore. Se elimini il ruolo nell'account amministratore e ne crei uno nuovo per sostituirlo, devi configurare le relazioni di fiducia dell'account di destinazione con il nuovo ruolo dell'account amministratore, rappresentato *admin\$1account\$1id* nell'esempio precedente.
------
## Imposta le opzioni di autorizzazione avanzate per le operazioni StackSet
Se hai bisogno di un controllo più preciso su StackSets ciò che utenti e gruppi creano tramite un singolo account amministratore, puoi utilizzare i ruoli IAM per specificare:
+ Quali utenti e gruppi possono eseguire StackSet operazioni in quali account di destinazione.
+ Quali risorse gli utenti e i gruppi possono includere nei propri StackSets.
+ Quali StackSet operazioni possono eseguire utenti e gruppi specifici.
### Controlla quali utenti possono eseguire StackSet operazioni su account di destinazione specifici
Utilizza ruoli amministrativi personalizzati per controllare quali utenti e gruppi possono eseguire StackSet operazioni in quali account di destinazione. Potresti voler controllare quali utenti dell'account amministratore possono eseguire StackSet operazioni in quali account di destinazione. A tale scopo, si crea una relazione di fiducia tra ciascun account di destinazione e uno specifico ruolo di amministrazione personalizzato, anziché creare il ruolo di **AWSCloudFormationStackSetAdministrationRole**servizio nell'account amministratore stesso. Si attivano quindi utenti e gruppi specifici per utilizzare il ruolo di amministrazione personalizzato quando si eseguono StackSet operazioni in un account di destinazione specifico.
Ad esempio, è possibile creare Ruolo A e Ruolo B all'interno dell'account amministratore. È possibile assegnare a Ruolo A le autorizzazioni per accedere all'account di destinazione 1 tramite l'account 8. È possibile assegnare a Ruolo B le autorizzazioni per accedere all'account di destinazione 9 tramite l'account 16.
![\[Una relazione di fiducia tra un ruolo di amministrazione personalizzato e gli account di destinazione che consente agli utenti di creare un StackSet.\]](http://docs.aws.amazon.com/it_it/AWSCloudFormation/latest/UserGuide/images/stacksets_perms_admin_target.png)
L'impostazione delle autorizzazioni necessarie implica la definizione di un ruolo di amministrazione personalizzato, la creazione di un ruolo di servizio per l'account di destinazione e la concessione agli utenti dell'autorizzazione a passare il ruolo di amministrazione personalizzato durante l'esecuzione StackSet delle operazioni.
In generale, ecco come funziona una volta ottenute le autorizzazioni necessarie: quando si crea un ruolo di amministrazione personalizzato StackSet, l'utente deve specificare un ruolo di amministrazione personalizzato. L'utente deve disporre dell'autorizzazione per trasferire il ruolo a CloudFormation. Inoltre, il ruolo di amministrazione personalizzato deve avere una relazione di fiducia con gli account di destinazione specificati per. StackSet CloudFormation crea StackSet e associa il ruolo di amministrazione personalizzato. Quando aggiorna un StackSet, l'utente deve specificare esplicitamente un ruolo di amministrazione personalizzato, anche se si tratta dello stesso ruolo di amministrazione personalizzato utilizzato in precedenza. StackSet CloudFormationutilizza quel ruolo per aggiornare lo stack, in base ai requisiti di cui sopra.
------
#### [ Administrator account ]
**Example Policy di autorizzazione di esempio**
Per ognuno StackSet, crea un ruolo di amministrazione personalizzato con le autorizzazioni per assumere il ruolo di esecuzione dell'account di destinazione.
Il nome del ruolo di esecuzione dell’account di destinazione deve essere lo stesso in ogni account di destinazione. Se il nome del ruolo è **AWSCloudFormationStackSetExecutionRole**, lo StackSets utilizza automaticamente durante la creazione di un StackSet. Se si specifica un nome di ruolo personalizzato, gli utenti devono fornire il nome del ruolo di esecuzione durante la creazione di un StackSet.
Crea un [ruolo di servizio IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) con un nome personalizzato e la seguente policy di autorizzazione. Negli esempi seguenti, *custom\$1execution\$1role* si riferisce al ruolo di esecuzione negli account di destinazione.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/custom_execution_role"
],
"Effect": "Allow"
}
]
}
```
Per specificare più account in una singola dichiarazione, separali con una virgola.
```
"Resource": [
"arn:aws:iam::target_account_id_1:role/custom_execution_role",
"arn:aws:iam::target_account_id_2:role/custom_execution_role"
]
```
Puoi specificare tutti gli account di destinazione utilizzando un carattere jolly (\$1) anziché un ID account.
```
"Resource": [
"arn:aws:iam::*:role/custom_execution_role"
]
```
**Example Esempio di policy di attendibilità 1**
Devi fornire una policy di attendibilità per il ruolo di servizio al fine di definire quali principali IAM possono assumere il ruolo.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
**Example Esempio di policy di attendibilità 2**
Per implementare le istanze di stack in un account di destinazione che si trova in una Regione disabilitata per impostazione predefinita, devi includere anche il principale regionale del servizio per tale Regione. Ogni Regione disabilitata per impostazione predefinita avrà un proprio principale del servizio regionale.
La policy di attendibilità del seguente esempio concede l’autorizzazione di servizio per utilizzare il ruolo di amministrazione nella Regione Asia Pacifico (Hong Kong) (`ap-east-1`), una Regione disabilitata per impostazione predefinita.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"cloudformation.amazonaws.com",
"cloudformation.ap-east-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
Per ulteriori informazioni, consulta [Preparati a eseguire StackSet operazioni Regioni AWS disattivate per impostazione predefinita](stacksets-opt-in-regions.md). Per un elenco dei codici delle Regioni, consulta [Regional endpoints](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints) nella *AWS General Reference Guide*.
**Example Esempio di policy di trasferimento del ruolo**
È inoltre necessaria una politica di autorizzazioni IAM per gli utenti IAM che consenta all'utente di passare il ruolo di amministrazione personalizzato durante l'esecuzione StackSet delle operazioni. Per ulteriori informazioni, consulta [Concessione di autorizzazioni utente per il passaggio di un ruolo a un servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html).
Nell'esempio seguente, *customized\$1admin\$1role* si riferisce al ruolo di amministrazione che l'utente deve assegnare.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/customized_admin_role"
}
]
}
```
------
#### [ Target accounts ]
Crea un ruolo di servizio in ogni account di destinazione con una relazione di trust con il ruolo di amministrazione personalizzato che desideri utilizzare con questo account.
Il ruolo dell'account di destinazione richiede le autorizzazioni per eseguire tutte le operazioni specificate nel CloudFormation modello. Ad esempio, se il modello crea un bucket S3, è necessario disporre delle autorizzazioni per creare nuovi oggetti in S3. Il tuo account di destinazione necessita sempre di CloudFormation autorizzazioni complete, che includono le autorizzazioni per creare, aggiornare, eliminare e descrivere gli stack.
Il nome del ruolo dell’account di destinazione deve essere lo stesso in ogni account di destinazione. Se il nome del ruolo è **AWSCloudFormationStackSetExecutionRole**, lo StackSets utilizza automaticamente durante la creazione di un. StackSet Se si specifica un nome di ruolo personalizzato, gli utenti devono fornire il nome del ruolo di esecuzione durante la creazione di un StackSet.
**Example Policy di autorizzazione di esempio**
L'esempio seguente mostra una dichiarazione politica con le autorizzazioni *minime* StackSets per il funzionamento. Per creare pile negli account di destinazione che utilizzano risorse di servizi diversi da CloudFormation, è necessario aggiungere tali azioni e risorse di servizio alla politica delle autorizzazioni.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
**Example Esempio di policy di attendibilità**
Devi fornire la seguente policy di attendibilità quando crei il ruolo per definire la relazione di trust.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/customized_admin_role"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Controlla le risorse che gli utenti possono includere in specifiche StackSets
Utilizza ruoli di esecuzione personalizzati per controllare quali risorse dello stack utenti e gruppi possono includere nei propri StackSets. Ad esempio, potresti voler creare un gruppo che possa includere solo risorse relative ad Amazon S3 nel pacchetto creato, mentre un altro team può includere solo risorse DynamoDB. StackSets Per farlo, puoi creare una relazione di trust tra il ruolo di amministrazione personalizzato per ciascun gruppo e un ruolo di esecuzione personalizzato per ciascun set di risorse. Il ruolo di esecuzione personalizzato definisce in quali risorse dello stack possono essere incluse. StackSets Il ruolo di amministrazione personalizzato risiede nell'account amministratore, mentre il ruolo di esecuzione personalizzato risiede in ogni account di destinazione in cui si desidera creare StackSets utilizzando le risorse definite. È quindi possibile attivare utenti e gruppi specifici per utilizzare il ruolo di amministrazione personalizzato durante l'esecuzione StackSets delle operazioni.
Ad esempio, puoi creare i ruoli di amministrazione personalizzati A, B e C nell’account amministratore. Gli utenti e i gruppi autorizzati a utilizzare il ruolo A possono creare risorse StackSets contenenti lo stack specificamente elencate nel ruolo di esecuzione personalizzato X, ma non quelle nei ruoli Y o Z o risorse non incluse in alcun ruolo di esecuzione.
![\[Una relazione di fiducia tra un ruolo di amministratore personalizzato e un ruolo di esecuzione personalizzato negli account di destinazione, che consente agli utenti di creare un StackSet.\]](http://docs.aws.amazon.com/it_it/AWSCloudFormation/latest/UserGuide/images/stacksets_perms_admin_execution.png)
Quando aggiorna un StackSet, l'utente deve specificare esplicitamente un ruolo di amministrazione personalizzato, anche se si tratta dello stesso ruolo di amministrazione personalizzato utilizzato StackSet in precedenza. CloudFormation esegue l'aggiornamento utilizzando il ruolo di amministrazione personalizzato specificato, purché l'utente disponga delle autorizzazioni per eseguire operazioni su tale ruolo. StackSet
Analogamente, l'utente può specificare anche un ruolo di esecuzione personalizzato. Se specificano un ruolo di esecuzione personalizzato, CloudFormation utilizza tale ruolo per aggiornare lo stack, in base ai requisiti di cui sopra. Se l'utente non specifica un ruolo di esecuzione personalizzato, CloudFormation esegue l'aggiornamento utilizzando il ruolo di esecuzione personalizzato precedentemente associato a StackSet, purché l'utente disponga delle autorizzazioni per eseguire operazioni su tale ruolo. StackSet
------
#### [ Administrator account ]
Crea un ruolo di amministrazione personalizzato nell’account amministratore, come descritto in [Controlla quali utenti possono eseguire StackSet operazioni su account di destinazione specifici](#stacksets-prereqs-multiadmin). Includi una relazione di trust tra il ruolo di amministrazione personalizzato e i ruoli di esecuzione personalizzati che deve utilizzare.
**Example Policy di autorizzazione di esempio**
L'esempio seguente è una politica di autorizzazioni per entrambi gli account **AWSCloudFormationStackSetExecutionRole**definiti per l'account di destinazione, oltre a un ruolo di esecuzione personalizzato.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1487980684000",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRole",
"arn:aws:iam::*:role/custom_execution_role"
]
}
]
}
```
------
#### [ Target accounts ]
Negli account di destinazione in cui desideri creare i tuoi StackSets, crea un ruolo di esecuzione personalizzato che conceda le autorizzazioni ai servizi e alle risorse che desideri che utenti e gruppi possano includere in. StackSets
**Example Policy di autorizzazione di esempio**
L'esempio seguente fornisce le autorizzazioni minime per StackSets, oltre all'autorizzazione per creare tabelle Amazon DynamoDB.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"dynamoDb:createTable"
],
"Resource": "*"
}
]
}
```
**Example Esempio di policy di attendibilità**
Devi fornire la seguente policy di attendibilità quando crei il ruolo per definire la relazione di trust.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/customized_admin_role"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Imposta le autorizzazioni per operazioni specifiche StackSet
Inoltre, è possibile impostare le autorizzazioni in base alle quali utenti e gruppi possono eseguire StackSet operazioni specifiche, come la creazione, l'aggiornamento o l'eliminazione StackSets di istanze o lo stack di istanze. Per ulteriori informazioni, consulta [Operazioni, risorse e chiavi di condizione per CloudFormation](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html) nella *Documentiazione di riferimento per l'autorizzazione al servizio*.
## Configurazione di chiavi globali per mitigare i problemi di "confused deputy"
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Inoltre AWS, l'impersonificazione tra servizi può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del vostro account.
Ti consigliamo di utilizzare le chiavi di contesto [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global condition nelle politiche delle risorse per limitare le autorizzazioni che CloudFormation StackSets forniscono un altro servizio alla risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` devono utilizzare lo stesso ID account nella stessa istruzione di policy.
Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, è necessario utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio, `arn:aws:cloudformation::123456789012:*`. Quando possibile, usa `aws:SourceArn`, perché è più specifico. Utilizza `aws:SourceAccount` solo quando non è possibile determinare il modello ARN o ARN corretto.
Quando StackSets assume il ruolo di **amministratore** nel tuo account **amministratore**, StackSets inserisce l'ID **dell'account amministratore** e StackSets Amazon Resource Name (ARN). Per questo motivo, puoi definire le condizioni per le [chiavi globali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) `aws:SourceAccount` e `aws:SourceArn` nelle relazioni di trust per prevenire [problemi di "confused deputy"](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). L'esempio seguente mostra come utilizzare le chiavi di contesto `aws:SourceArn` e `aws:SourceAccount` global condition StackSets per evitare il confuso problema del vice.
------
#### [ Administrator account ]
**Example Chiavi globali per `aws:SourceAccount` e `aws:SourceArn`**
Durante l'utilizzo StackSets, definite le chiavi globali `aws:SourceAccount` e `aws:SourceArn` la vostra politica di **AWSCloudFormationStackSetAdministrationRole**fiducia per evitare problemi confusi tra i vicepresidenti.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:cloudformation:*:111122223333:stackset/*"
}
}
}
]
}
```
**Example StackSets ARNs**
Specificate il vostro associato StackSets ARNs per un controllo più preciso.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": [
"arn:aws:cloudformation:STACKSETS-REGION:111122223333:stackset/STACK-SET-ID-1",
"arn:aws:cloudformation:STACKSETS-REGION:111122223333:stackset/STACK-SET-ID-2"
]
}
}
}
]
}
```
------
# Attiva l'accesso affidabile per StackSets con AWS Organizations
*Questo argomento fornisce istruzioni su come attivare l'accesso affidabile con AWS Organizations, necessario per la distribuzione su più account e l'utilizzo delle StackSets autorizzazioni gestite dal servizio. Regioni AWS * Per utilizzare le autorizzazioni *gestite dal cliente*, consulta invece [Concedere autorizzazioni gestite dal cliente](stacksets-prereqs-self-managed.md).
Prima di creare un account StackSet con autorizzazioni gestite dal servizio, è necessario completare le seguenti attività:
+ [Abilita tutte le funzionalità](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) in. AWS Organizations Con solo le funzionalità di fatturazione consolidate abilitate, non puoi crearne una StackSet con autorizzazioni gestite dal servizio.
+ Attiva l'accesso affidabile con. AWS Organizations Questa azione consente di CloudFormation creare un ruolo collegato al servizio nell'account di gestione. Dopo l'attivazione dell'accesso affidabile, quando si CloudFormation crea un ruolo StackSet con autorizzazioni gestite dal servizio, viene creato sia il ruolo collegato al servizio necessario sia un ruolo di servizio denominato `stacksets-exec-*` negli account di destinazione (membri).
Con l'accesso affidabile attivato, l'account di gestione e gli account amministratore delegato possono creare e gestire servizi gestiti per la propria organizzazione. StackSets
Per attivare l’accesso attendibile, devi essere un utente amministratore nell’account di gestione. Un *utente amministratore* è un utente con autorizzazioni complete per l’ Account AWS. Per ulteriori informazioni, consulta [Create an administrator user](https://docs.aws.amazon.com/accounts/latest/reference/getting-started-step4.html) nella *Gestione dell'account AWS Reference Guide*. Per consigli su come proteggere la sicurezza dell’account di gestione, consulta [Best practices for the management account](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html) nella *Guida per l’utente di AWS Organizations *.
**Per attivare l’accesso attendibile**
1. Accedi AWS come amministratore dell'account di gestione e apri la console all' CloudFormation indirizzo. [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation)
1. Dal pannello di navigazione, scegli **StackSets**. Se l'accesso attendibile è disabilitato, viene visualizzato un banner che richiede di abilitarlo.
![\[Banner Attiva l'accesso attendibile.\]](http://docs.aws.amazon.com/it_it/AWSCloudFormation/latest/UserGuide/images/console-stacksets-enable-trusted-access-from-stacksets-list-new.png)
1. Scegli **Attiva accesso attendibile**.
L'accesso attendibile è abilitato quando viene visualizzato il seguente banner.
![\[Banner di avvenuta attivazione dell'accesso attendibile.\]](http://docs.aws.amazon.com/it_it/AWSCloudFormation/latest/UserGuide/images/console-stackset-trusted-access-enabled-banner-new.png)
**Nota**
L'opzione Attiva accesso delle organizzazioni è uguale all'opzione Abilita accesso delle organizzazioni e Disattiva accesso delle organizzazioni è uguale a Disabilita accesso delle organizzazioni. Questi termini sono stati aggiornati in base alle linee guida di marketing.
**Per disattivare l'accesso attendibile**
Vedi [CloudFormation StackSets e AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) nella *Guida AWS Organizations per l'utente*.
Prima di poter disattivare l'accesso affidabile con AWS Organizations, è necessario annullare la registrazione di tutti gli amministratori delegati. Per ulteriori informazioni, consulta [Registrazione di un amministratore delegato](stacksets-orgs-delegated-admin.md).
**Nota**
Per informazioni sull’utilizzo delle operazioni API anziché della console per attivare o disattivare l’accesso attendibile, consulta:
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_ActivateOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_ActivateOrganizationsAccess.html)
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeactivateOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeactivateOrganizationsAccess.html)
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DescribeOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DescribeOrganizationsAccess.html)
## Ruoli collegati ai servizi
L'account di gestione utilizza il ruolo collegato al servizio. **AWSServiceRoleForCloudFormationStackSetsOrgAdmin** È possibile modificare o eliminare questo ruolo solo se l'accesso attendibile con AWS Organizations è disattivato.
Ogni account di destinazione utilizza un ruolo collegato al **AWSServiceRoleForCloudFormationStackSetsOrgMember**servizio. È possibile modificare o eliminare questo ruolo solo a due condizioni: se l'accesso affidabile con AWS Organizations è disattivato o se l'account viene rimosso dall'organizzazione o dall'unità organizzativa (OU) di destinazione.
Per ulteriori informazioni, vedere [CloudFormation StackSets e AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) nella *Guida per l'AWS Organizations utente*.
# Registra un account membro come amministratore delegato
Oltre all'account di gestione dell'organizzazione, gli account dei membri con autorizzazioni di amministratore delegato possono creare e gestire StackSets con autorizzazioni gestite dal servizio per l'organizzazione. StackSets con autorizzazioni gestite dal servizio vengono creati nell'account di gestione, inclusi quelli creati da amministratori delegati. StackSets Per essere registrato come amministratore delegato per l'organizzazione, l'account membro deve trovarsi nell'organizzazione. Per ulteriori informazioni sull'adesione a un'organizzazione, vedi [Invitare](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html) un utente a entrare a far parte dell'organizzazione. Account AWS
L'organizzazione può avere fino a cinque amministratori delegati registrati contemporaneamente. Gli amministratori delegati possono scegliere di eseguire l'implementazione su tutti gli account dell'organizzazione o su account specifici. OUs L'accesso affidabile con AWS Organizations deve essere attivato prima che gli amministratori delegati possano effettuare la distribuzione sugli account gestiti da Organizations. Per ulteriori informazioni, consulta [Attiva l'accesso affidabile per StackSets con AWS Organizations](stacksets-orgs-activate-trusted-access.md).
**Importante**
Ricorda quanto segue:
Gli amministratori delegati dispongono delle autorizzazioni complete per la distribuzione negli account dell'organizzazione. L'account di gestione non può limitare le autorizzazioni degli amministratori delegati per la distribuzione su operazioni specifiche o per eseguire operazioni specifiche OUs . StackSet
Assicurati che gli amministratori delegati dispongano delle autorizzazioni `organizations:ListDelegatedAdministrators` necessarie per evitare potenziali errori.
Puoi registrare amministratori delegati per la tua organizzazione nelle seguenti regioni: Stati Uniti orientali (Ohio), Stati Uniti orientali (Virginia settentrionale), Stati Uniti occidentali (California settentrionale), Stati Uniti occidentali (Oregon), Asia Pacifico (Mumbai), Asia Pacifico (Seoul), Asia Pacifico (Singapore), Asia Pacifico (Sydney), Asia Pacifico (Tokyo), Canada (Centrale), Europa (Francoforte), Europa (Irlanda), Europa (Londra), Europa (Parigi), Europa (Stoccolma), Israele (Tel Aviv), Sud America (San Paolo), (Stati Uniti orientali) e (Stati Uniti occidentali). AWS GovCloud AWS GovCloud
È possibile registrare e annullare la registrazione degli amministratori delegati utilizzando la [CloudFormation console [AWS CLI](https://aws.amazon.com/cli/)](https://console.aws.amazon.com/cloudformation/), oppure [AWS SDKs](https://aws.amazon.com/developer/tools/).
## Per registrare un amministratore delegato (console)
1. Accedere AWS come amministratore dell'account di gestione e aprire la console all'indirizzo. CloudFormation [https://console.aws.amazon.com/cloudformation/](https://console.aws.amazon.com/cloudformation/)
1. Dal pannello di navigazione, scegli **StackSets**.
1. In **Amministratori delegati**, seleziona **Registra amministratore delegato**.
1. Nella finestra di dialogo **Registra amministratore delegato**, seleziona **Registra amministratore delegato**.
Il messaggio di esito positivo indica che l'account membro è stato correttamente registrato come amministratore delegato.
## Per annullare la registrazione di un amministratore delegato (console)
1. Accedi AWS come amministratore dell'account di gestione e apri la CloudFormation console all'indirizzo[https://console.aws.amazon.com/](https://console.aws.amazon.com/).
1. Dal pannello di navigazione, scegli **StackSets**.
1. In **Amministratori delegati**, seleziona l'account per cui desideri annullare la registrazione, quindi scegli **Annulla registrazione**.
Il messaggio di esito positivo indica che la registrazione dell'account membro come amministratore delegato è stata correttamente annullata.
Potrai registrare nuovamente questo account in qualsiasi momento.
## Per registrare un amministratore delegato ()AWS CLI
1. Aprire il. AWS CLI
1. Esegui il comando `register-delegated-administrator`.
```
$ aws organizations register-delegated-administrator \
--service-principal=member.org.stacksets.cloudformation.amazonaws.com \
--account-id="memberAccountId"
```
1. Esegui il comando `list-delegated-administrators` per verificare che l'account membro specificato sia stato registrato correttamente come amministratore delegato.
```
$ aws organizations list-delegated-administrators \
--service-principal=member.org.stacksets.cloudformation.amazonaws.com
```
## Per annullare la registrazione di un amministratore delegato ()AWS CLI
1. Aprire il. AWS CLI
1. Esegui il comando `deregister-delegated-administrator`.
```
$ aws organizations deregister-delegated-administrator \
--service-principal=member.org.stacksets.cloudformation.amazonaws.com \
--account-id="memberAccountId"
```
1. Esegui il comando `list-delegated-administrators` per verificare che la registrazione dell'account membro specificato come amministratore delegato sia stata correttamente annullata.
```
$ aws organizations list-delegated-administrators \
--service-principal=member.org.stacksets.cloudformation.amazonaws.com
```
Potrai registrare nuovamente questo account in qualsiasi momento.