Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utilizzo dei ruoli IAM con le applicazioni Amplify
<a name="add-IAM-roles"></a>

Un ruolo IAM è un'identità IAM con autorizzazioni specifiche. Le autorizzazioni del ruolo determinano ciò che l'identità può e non può fare. AWS Puoi creare ruoli IAM nel tuo Account AWS e utilizzarli per delegare le autorizzazioni ad Amplify Hosting. *Per saperne di più sui ruoli, consulta i ruoli IAM nella [IAM User](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) Guide.*

Puoi utilizzare i seguenti tipi di ruoli IAM per concedere ad Amplify Hosting le autorizzazioni necessarie per eseguire azioni per tuo conto o eseguire codice di calcolo che accede ad altre risorse. AWS 

**Ruolo di servizio IAM**  
Amplify assume questo ruolo per eseguire azioni per tuo conto. Questo ruolo è richiesto per le applicazioni con risorse di backend.

**Ruolo IAM SSR Compute**  
Consente a un'applicazione renderizzata lato server (SSR) di accedere in modo sicuro a risorse specifiche. AWS 

** CloudWatch Ruolo IAM SSR Logs**  
Quando distribuisci un'app SSR, l'app richiede un ruolo di servizio IAM che Amplify assume per consentire ad Amplify di accedere ad Amazon Logs. CloudWatch 

**Topics**
+ [Aggiungere un ruolo di servizio con autorizzazioni per distribuire risorse di backend](amplify-service-role.md)
+ [Aggiungere un ruolo SSR Compute per consentire l'accesso alle risorse AWS](amplify-SSR-compute-role.md)
+ [Aggiungere un ruolo di servizio con autorizzazioni per accedere ai registri CloudWatch](cloudwatch-logs-role.md)

# Aggiungere un ruolo di servizio con autorizzazioni per distribuire risorse di backend
<a name="amplify-service-role"></a>

Amplify richiede le autorizzazioni per distribuire risorse di backend con il front-end. Per eseguire questa operazione, è possibile utilizzare un ruolo di servizio. Un ruolo di servizio è il ruolo AWS Identity and Access Management (IAM) che fornisce ad Amplify Hosting le autorizzazioni per distribuire, creare e gestire i backend per tuo conto.

Quando crei una nuova app che richiede un ruolo di servizio IAM, puoi consentire ad Amplify Hosting di creare automaticamente un ruolo di servizio per te oppure puoi selezionare un ruolo IAM che hai già creato. In questa sezione, imparerai come creare un ruolo del servizio Amplify con autorizzazioni amministrative dell'account e che consenta esplicitamente l'accesso diretto alle risorse richieste dalle applicazioni Amplify per distribuire, creare e gestire i backend.

## Creazione di un ruolo di servizio Amplify nella console IAM
<a name="create-service-role"></a>

**Per creare un ruolo di servizio**

1.  [Apri la console IAM](https://console.aws.amazon.com/iam/home?#/roles) e scegli **Ruoli** dalla barra di navigazione a sinistra, quindi scegli **Crea** ruolo.

1. Nella sezione **Seleziona un'identità attendibile** scegli **Servizio AWS **. **Per **Use Case**, seleziona **Amplify - Backend** Deployment, quindi scegli Avanti.**

1. Nella pagina **Add permissions** (Aggiungi autorizzazioni), scegli **Next** (Successivo).

1. Nella pagina **Nome, visualizzazione e creazione,** per **Nome ruolo inserisci un nome** significativo, ad esempio. **AmplifyConsoleServiceRole-AmplifyRole**

1. **Accetta tutte le impostazioni predefinite e scegli Crea ruolo.**

1. Torna alla console Amplify per assegnare il ruolo alla tua app.
   + Se stai distribuendo una nuova app, procedi come segue:

     1. Aggiorna l'elenco dei ruoli di servizio.

     1. Seleziona il ruolo che hai appena creato. Per questo esempio, dovrebbe assomigliare a **AmplifyConsoleServiceRole- AmplifyRole**.

     1. Scegli **Avanti** e segui i passaggi per completare la distribuzione dell'app.
   + Se disponi di un'app esistente, procedi come segue:

     1. Nel pannello di navigazione, scegli **Impostazioni app**, quindi scegli **Ruoli IAM**.

     1. Nella pagina **dei ruoli IAM**, nella sezione **Service role**, scegli **Modifica**.

     1. Nella pagina del **ruolo di servizio**, seleziona il ruolo appena creato dall'elenco dei **ruoli di servizio**.

     1. Scegli **Save** (Salva).

1. Amplify ora dispone delle autorizzazioni per distribuire risorse di backend per la tua app.

## Modificare la politica di fiducia di un ruolo di servizio per evitare che un sostituto sia confuso
<a name="confused-deputy-prevention"></a>

Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Per ulteriori informazioni, consulta [Prevenzione del problema "confused deputy" tra servizi](cross-service-confused-deputy-prevention.md).

Attualmente, la politica di attendibilità predefinita per il ruolo `Amplify-Backend Deployment` di servizio applica le chiavi `aws:SourceArn` e le condizioni del contesto `aws:SourceAccount` globale per evitare che il sostituto sia confuso. Tuttavia, se in precedenza hai creato un `Amplify-Backend Deployment` ruolo nel tuo account, puoi aggiornare la politica di fiducia del ruolo aggiungendo queste condizioni per evitare che il sostituto sia confuso.

Usa l'esempio seguente per limitare l'accesso alle app del tuo account. Sostituisci la regione e l'ID dell'applicazione nell'esempio con le tue informazioni.

```
"Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:amplify:us-east-1:123456789012:apps/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }
```

Per istruzioni su come modificare la politica di fiducia per un ruolo utilizzando la Console di gestione AWS, consulta [Modifying a role (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html) nella *IAM User Guide*.

# Aggiungere un ruolo SSR Compute per consentire l'accesso alle risorse AWS
<a name="amplify-SSR-compute-role"></a>

Questa integrazione consente di assegnare un ruolo IAM al servizio Amplify SSR Compute per consentire all'applicazione renderizzata lato server (SSR) di accedere in modo sicuro a risorse specifiche in base alle autorizzazioni del ruolo. AWS Ad esempio, puoi consentire alle funzioni di calcolo SSR della tua app di accedere in modo sicuro ad altri AWS servizi o risorse, come Amazon Bedrock un bucket Amazon S3, in base alle autorizzazioni definite nel ruolo IAM assegnato.

Il ruolo IAM SSR Compute fornisce credenziali temporanee, eliminando la necessità di codificare credenziali di sicurezza di lunga durata nelle variabili di ambiente. L'utilizzo del ruolo IAM SSR Compute è in linea con le migliori pratiche di AWS sicurezza che prevedono la concessione di autorizzazioni con privilegi minimi e l'utilizzo di credenziali a breve termine quando possibile.

Le istruzioni riportate più avanti in questa sezione descrivono come creare una policy con autorizzazioni personalizzate e collegarla a un ruolo. Quando crei il ruolo, devi allegare una politica di fiducia personalizzata che dia ad Amplify il permesso di assumere il ruolo. Se la relazione di fiducia non è definita correttamente, riceverai un errore quando tenti di aggiungere il ruolo. La seguente politica di attendibilità personalizzata concede ad Amplify il permesso di assumere il ruolo.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "amplify.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

Puoi associare un ruolo IAM nel tuo Account AWS a un'applicazione SSR esistente utilizzando la console AWS SDKs Amplify o il. AWS CLI Il ruolo assegnato viene automaticamente associato al servizio di calcolo Amplify SSR, concedendogli le autorizzazioni specificate per accedere ad altre risorse. AWS Man mano che le esigenze dell'applicazione cambiano nel tempo, puoi modificare il ruolo IAM associato senza ridistribuire l'applicazione. Ciò offre flessibilità e riduce i tempi di inattività delle applicazioni.

**Importante**  
L'utente è responsabile della configurazione dell'applicazione per soddisfare gli obiettivi di sicurezza e conformità. Ciò include la gestione del ruolo SSR Compute, che deve essere configurato in modo da disporre del set minimo di autorizzazioni necessario per supportare il caso d'uso. Per ulteriori informazioni, consulta [Gestione della sicurezza dei ruoli IAM SSR Compute](#managing-compute-role-security).

## Creazione di un ruolo SSR Compute nella console IAM
<a name="create-SSR-compute-role-IAM-console"></a>

Prima di poter collegare un ruolo IAM SSR Compute a un'applicazione Amplify, il ruolo deve già esistere nella tua. Account AWS In questa sezione, imparerai come creare una policy IAM e collegarla a un ruolo che Amplify può assumere per accedere a risorse specifiche. AWS 

Ti consigliamo di seguire la AWS best practice di concessione delle autorizzazioni con *privilegi minimi durante la creazione di un ruolo* IAM. Il ruolo IAM SSR Compute viene chiamato solo dalle funzioni di calcolo SSR e pertanto dovrebbe concedere solo le autorizzazioni necessarie per eseguire il codice.

È possibile utilizzare Console di gestione AWS, AWS CLI o SDKs per creare politiche in IAM. Per ulteriori informazioni, consulta [Definire le autorizzazioni IAM personalizzate con le politiche gestite dai clienti nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) per l'*utente IAM*.

Le seguenti istruzioni mostrano come utilizzare la console IAM per creare una policy IAM che definisce le autorizzazioni da concedere al servizio Amplify Compute.

**Per utilizzare l'editor di policy JSON della console IAM per creare una policy**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**. 

1. Scegli **Crea policy**.

1. Nella sezione **Editor di policy**, scegli l'opzione **JSON**.

1. Digitare o incollare un documento di policy JSON.

1. Una volta terminata l'aggiunta delle autorizzazioni alla policy, scegli **Successivo**.

1. Nella pagina **Verifica e crea**, digita i valori per **Nome policy** e **Descrizione** (facoltativa) per la policy che si sta creando. Rivedi **Autorizzazioni definite in questa policy** per visualizzare le autorizzazioni concesse dalla policy.

1. Seleziona **Crea policy** per salvare la nuova policy.

Dopo aver creato una policy, utilizza le seguenti istruzioni per collegarla a un ruolo IAM.

**Per creare un ruolo che conceda le autorizzazioni Amplify a risorse specifiche AWS**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Nel riquadro di navigazione della console, selezionare **Ruoli** e **Crea ruolo**.

1. Scegli il tipo di ruolo **Custom trust policy** (Policy di attendibilità personalizzata).

1. Nella sezione **Politica di fiducia personalizzata**, inserisci la politica di fiducia personalizzata per il ruolo. È necessaria una politica di fiducia per i ruoli e definisce i principi di cui ti fidi per assumere il ruolo. 

   Copia e incolla la seguente politica di fiducia per concedere al servizio Amplify l'autorizzazione ad assumere questo ruolo.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "Statement1",
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "amplify.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

1. Risolvi eventuali avvisi di sicurezza, errori o avvertenze generali generati durante la convalida delle policy, quindi scegli **Successivo**.

1. Nella pagina **Aggiungi autorizzazioni**, cerca il nome della politica che hai creato nella procedura precedente e selezionala. Quindi scegli **Successivo**.

1. In **Role name**, (Nome ruolo), inserisci un nome. I nomi dei ruoli devono essere univoci all'interno del tuo Account AWS. Non si distinguono per caso. Ad esempio, non è possibile creare ruoli denominati sia **PRODROLE** che **prodrole**. Poiché altre AWS risorse potrebbero fare riferimento al ruolo, non è possibile modificare il nome del ruolo dopo che è stato creato.

1. (Facoltativo) In **Descrizione**, inserisci una descrizione per il nuovo ruolo.

1. (Facoltativo) Scegli **Modifica** nelle sezioni **Fase 1: seleziona le entità attendibili** o **Fase 2: aggiungi autorizzazioni** per modificare la policy personalizzata e le autorizzazioni per il ruolo. 

1. Rivedere il ruolo e scegliere **Crea ruolo**.

## Aggiungere un ruolo IAM SSR Compute a un'app Amplify
<a name="add-ssr-compute-role-to-app"></a>

Dopo aver creato un ruolo IAM nel tuo Account AWS, puoi associarlo a un'app nella console Amplify.

**Per aggiungere un ruolo SSR Compute a un'app nella console Amplify**

1. Accedi a Console di gestione AWS e apri la console Amplify all'indirizzo. [https://console.aws.amazon.com/amplify/](https://console.aws.amazon.com/amplify/)

1. Nella pagina **Tutte le app**, scegli il nome dell'app a cui aggiungere un ruolo Compute.

1. Nel riquadro di navigazione, scegli **Impostazioni app**, quindi scegli **ruoli IAM**.

1. Nella sezione **Compute role**, scegli **Modifica**.

1. Nell'elenco **Ruolo predefinito**, cerca il nome del ruolo che desideri allegare e selezionalo. Per questo esempio, puoi scegliere il nome del ruolo creato nella procedura precedente. Per impostazione predefinita, il ruolo selezionato verrà associato a tutti i rami dell'app.

   Se la relazione di fiducia del ruolo non è definita correttamente, verrà visualizzato un errore e non sarà possibile aggiungere il ruolo.

1. (facoltativo) Se l'applicazione si trova in un archivio pubblico e utilizza la creazione automatica di branch o ha le anteprime web per le richieste pull abilitate, non è consigliabile utilizzare un ruolo a livello di app. Collega invece il ruolo Compute solo alle filiali che richiedono l'accesso a risorse specifiche. Per ignorare il comportamento predefinito a livello di app e assegnare un ruolo a un ramo specifico, procedi come segue:

   1. Per **Branch**, selezionate il nome del ramo da usare.

   1. Per **Compute role**, seleziona il nome del ruolo da associare al ramo.

1. Scegli, **Salva**.

## Gestione della sicurezza dei ruoli IAM SSR Compute
<a name="managing-compute-role-security"></a>

La sicurezza è una responsabilità condivisa tra te AWS e te. L'utente è responsabile della configurazione dell'applicazione per soddisfare gli obiettivi di sicurezza e conformità. Ciò include la gestione del ruolo SSR Compute, che deve essere configurato in modo da disporre del set minimo di autorizzazioni necessario per supportare il caso d'uso. Le credenziali per il ruolo SSR Compute specificato sono immediatamente disponibili nel runtime della funzione SSR. Se il codice SSR espone queste credenziali, intenzionalmente, a causa di un bug o permettendo l'esecuzione di codice in modalità remota (RCE), un utente non autorizzato può accedere al ruolo SSR e alle relative autorizzazioni.

Quando un'applicazione in un archivio pubblico utilizza un ruolo SSR Compute e la creazione automatica di branch o anteprime web per le richieste pull, è necessario gestire con attenzione le filiali che possono accedere al ruolo. Ti consigliamo di non utilizzare un ruolo a livello di app. Invece, dovresti assegnare un ruolo Compute a livello di filiale. Ciò consente di concedere le autorizzazioni solo alle filiali che richiedono l'accesso a risorse specifiche. 

Se le credenziali del tuo ruolo sono esposte, esegui le seguenti azioni per rimuovere tutti gli accessi alle credenziali del ruolo.

1. **Revoca tutte le sessioni**

   [Per istruzioni su come revocare immediatamente tutte le autorizzazioni relative alle credenziali del ruolo, consulta Revoca delle credenziali di sicurezza temporanee del ruolo IAM.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html)

1. **Eliminare il ruolo dalla console Amplify**

   Questa azione ha effetto immediato. Non è necessario ridistribuire l'applicazione. 

**Per eliminare un ruolo Compute nella console Amplify**

1. Accedi a Console di gestione AWS e apri la console Amplify all'indirizzo. [https://console.aws.amazon.com/amplify/](https://console.aws.amazon.com/amplify/)

1. Nella pagina **Tutte le app**, scegli il nome dell'app da cui rimuovere il ruolo Compute.

1. Nel riquadro di navigazione, scegli **Impostazioni app**, quindi scegli **ruoli IAM**.

1. Nella sezione **Compute role**, scegli **Modifica**.

1. Per eliminare il **ruolo predefinito**, scegli la **X** a destra del nome del ruolo.

1. Scegli **Save** (Salva).

# Aggiungere un ruolo di servizio con autorizzazioni per accedere ai registri CloudWatch
<a name="cloudwatch-logs-role"></a>

Amplify invia informazioni sul tuo runtime SSR ad CloudWatch Amazon Logs nel tuo. Account AWS Quando distribuisci un'app SSR, l'app richiede un ruolo di servizio IAM che Amplify assume quando chiama altri servizi per tuo conto. Puoi consentire ad Amplify Hosting compute di creare automaticamente un ruolo di servizio per te oppure puoi specificare un ruolo che hai creato.

Se scegli di consentire ad Amplify di creare un ruolo IAM per te, il ruolo avrà già le autorizzazioni per creare log. CloudWatch Se crei il tuo ruolo IAM, dovrai aggiungere le seguenti autorizzazioni alla tua policy per consentire ad Amplify di accedere ad Amazon Logs. CloudWatch 

```
logs:CreateLogStream
logs:CreateLogGroup
logs:DescribeLogGroups
logs:PutLogEvents
```