Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Limitazione dell'accesso degli agenti in un account AWS
<a name="aws-devops-agent-security-limiting-agent-access-in-an-aws-account"></a>

AWS DevOps L'agente utilizza i ruoli IAM per scoprire e descrivere AWS le risorse durante le indagini sugli incidenti e le valutazioni preventive. Puoi controllare il livello di accesso dell'agente configurando le policy IAM associate a questi ruoli. La topologia dell'applicazione non mostra tutto ciò a cui l'agente ha accesso: le policy IAM sono l'unico modo per limitare realmente i AWS servizi APIs e le risorse a cui l'agente può accedere.

## Comprensione dei ruoli IAM per Agent AWS DevOps
<a name="understanding-iam-roles-for-aws-devops-agent"></a>

AWS DevOps L'agente utilizza i ruoli IAM per accedere alle risorse in due tipi di account:
+ **Ruolo principale dell'account**: consente all'agente di accedere alle risorse dell' AWS account in cui si crea l'Agent Space.
+ **Ruoli dell'account secondario**: consente all'agente di accedere alle risorse di AWS account aggiuntivi collegati all'Agent Space.

Per entrambi i tipi di account, è possibile limitare AWS i servizi a cui l'agente può accedere, limitare l'accesso a risorse specifiche all'interno di tali servizi e controllare in quali aree l'agente può operare.

## Scelta dei limiti delle risorse
<a name="choosing-your-resource-boundaries"></a>

Quando si limita l'accesso alle risorse, è necessario includere autorizzazioni sufficienti per consentire all'agente di indagare correttamente sugli incidenti relativi alle applicazioni. Questo include:
+ Tutte le risorse per le applicazioni pertinenti che l'agente deve monitorare e analizzare
+ Tutta l'infrastruttura di supporto da cui dipendono tali applicazioni

L'infrastruttura di supporto può includere:
+ Componenti di rete (sottoretiVPCs, sistemi di bilanciamento del carico, gateway API)
+ Archivi dati (database, cache, archiviazione di oggetti)
+ Risorse di calcolo (istanze EC2, funzioni Lambda, contenitori)
+ Servizi di monitoraggio e registrazione (,) CloudWatch CloudTrail
+ Risorse per la gestione delle identità e degli accessi necessarie per comprendere le autorizzazioni

Se si limita l'accesso in modo troppo restrittivo, l'agente potrebbe non essere in grado di identificare le cause principali che hanno origine nel supporto dell'infrastruttura al di fuori dei confini definiti.

## Limitazione dell'accesso al servizio
<a name="restricting-service-access"></a>

Puoi limitare AWS i servizi a cui l'agente può accedere modificando le policy IAM associate ai ruoli dell'agente. Quando crei policy personalizzate, segui queste best practice:
+ **Concedi solo autorizzazioni di sola lettura**: l'agente deve leggere le configurazioni delle risorse, le metriche e i registri durante le indagini. Evita di concedere autorizzazioni che consentano all'agente di modificare o eliminare risorse.
+ **Limita ai servizi necessari**: includi solo i AWS servizi che contengono risorse pertinenti alle tue applicazioni. Ad esempio, se la tua applicazione non utilizza Amazon RDS, non includere le autorizzazioni RDS nella policy.
+ **Usa azioni specifiche anziché caratteri jolly: invece di** concedere `service:*` autorizzazioni, specifica azioni individuali come o. `cloudwatch:GetMetricData` `ec2:DescribeInstances`

Esempio di politica che si limita a servizi specifici:

```
json

{
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:DescribeAlarms",
        "logs:GetLogEvents",
        "logs:FilterLogEvents",
        "ec2:DescribeInstances",
        "lambda:GetFunction",
        "lambda:GetFunctionConfiguration"
      ],
      "Resource": "*"
    }
  ]
}
```

## Limitazione dell'accesso alle risorse
<a name="restricting-resource-access"></a>

Per limitare l'agente a risorse specifiche all'interno di un servizio, utilizza le autorizzazioni a livello di risorsa nelle tue policy IAM. Ciò consente di concedere l'accesso solo alle risorse che corrispondono a modelli specifici.

**Utilizzo dei modelli ARN delle risorse:**

```
{
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "lambda:GetFunction",
        "lambda:GetFunctionConfiguration"
      ],
      "Resource": "arn:aws:lambda:*:*:function:production-*"
    }
  ]
}
```

Questo esempio limita l'agente ad accedere solo alle funzioni Lambda con nomi che iniziano con «production-».

**Utilizzo di restrizioni basate su tag:**

```
{
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeInstanceStatus"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Environment": "production"
        }
      }
    }
  ]
}
```

Questo esempio limita l'agente ad accedere solo alle istanze EC2 contrassegnate con. `Environment=production`

## Limitazione dell'accesso regionale
<a name="restricting-regional-access"></a>

Per limitare AWS le regioni a cui l'agente può accedere, utilizza la chiave di `aws:RequestedRegion` condizione nelle tue policy IAM:

```
{
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:Describe*",
        "lambda:Get*",
        "cloudwatch:Get*"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestedRegion": [
            "us-east-1",
            "us-west-2"
          ]
        }
      }
    }
  ]
}
```

Questo esempio limita l'agente all'accesso alle risorse solo nelle regioni us-east-1 e us-west-2.

## Creazione di politiche IAM personalizzate
<a name="creating-custom-iam-policies"></a>

Quando crei un Agent Space o aggiungi account secondari, hai la possibilità di creare un ruolo IAM personalizzato utilizzando un modello di policy. Ciò consente di implementare il principio del privilegio minimo.

**Quando si crea un Agent Space**

Dalla console dell' DevOps agente nella console AWS di gestione...
+ Scegli **Crea un nuovo ruolo di DevOps agente utilizzando un documento di policy** e segui le istruzioni

**Quando modifichi un Agent Space**

Dalla console dell' DevOps agente nella console AWS di gestione...
+ Seleziona la scheda **Funzionalità**
+ Seleziona l'account secondario che desideri modificare dalla sezione **Cloud** e fai clic su Modifica
+ Scegli **Crea una nuova policy per l' DevOps agente utilizzando un modello** e segui le istruzioni

## Procedure consigliate per le politiche personalizzate
<a name="custom-policy-best-practices"></a>
+ **Concedi autorizzazioni di sola lettura: evita le autorizzazioni** che consentono la modifica o l'eliminazione delle risorse
+ **Usa le autorizzazioni a livello di risorsa quando possibile**: limita l'accesso a risorse specifiche utilizzando modelli o tag ARN
+ **Esamina e verifica regolarmente le autorizzazioni**: esamina periodicamente le politiche IAM dell'agente per assicurarti che siano ancora in linea con i tuoi requisiti di sicurezza