Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# AWS chiavi di condizione globali
<a name="conditions-aws"></a>

AWS definisce [le chiavi di condizione globali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys), un insieme di chiavi di condizioni politiche per tutti i AWS servizi che utilizzano IAM per il controllo degli accessi. AWS KMS supporta tutte le chiavi di condizione globali. Puoi usarli nelle policy AWS KMS chiave e nelle policy IAM.

Ad esempio, puoi utilizzare la chiave [aws: PrincipalArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalarn) global condition per consentire l'accesso a una AWS KMS key (chiave KMS) solo quando il principale nella richiesta è rappresentato dall'Amazon Resource Name (ARN) nel valore della chiave di condizione. Per supportare il [controllo degli accessi basato sugli attributi](abac.md) (ABAC) in AWS KMS, puoi utilizzare la chiave di condizione globale [aws:ResourceTag/*tag-key*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) in una policy IAM per consentire l'accesso alle chiavi KMS con un tag particolare.

Per evitare che un AWS servizio venga utilizzato come sostituto confuso in una policy in cui il principale è un responsabile del [AWS servizio, puoi utilizzare le chiavi di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services) o global condition. [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) Per informazioni dettagliate, vedi [Utilizzo delle chiavi di condizione `aws:SourceArn` o `aws:SourceAccount`](least-privilege.md#least-privilege-source-arn).

Per informazioni sulle chiavi di condizione AWS globali, inclusi i tipi di richieste in cui sono disponibili, consulta [AWS Global Condition Context Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *IAM User Guide*. Per esempi di utilizzo delle chiavi di condizione globali nelle policy IAM, consulta [Controllo dell'accesso alle richieste](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests) e [Controllo delle chiavi di tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys) nella *Guida per l'utente di IAM*.

Negli argomenti seguenti vengono fornite linee guida speciali per l'utilizzo delle chiavi di condizione basate su indirizzi IP e endpoint VPC.

**Topics**
+ [Utilizzo della condizione dell'indirizzo IP nelle politiche con AWS KMS autorizzazioni](#conditions-aws-ip-address)
+ [Utilizzo delle condizioni degli endpoint VPC nelle policy con autorizzazioni AWS KMS](#conditions-aws-vpce)
+ [Utilizzo IPv6 degli indirizzi in IAM e delle politiche chiave AWS KMS](#KMS-IPv6-policies)

## Utilizzo della condizione dell'indirizzo IP nelle politiche con AWS KMS autorizzazioni
<a name="conditions-aws-ip-address"></a>

Puoi utilizzarlo AWS KMS per proteggere i tuoi dati in un [AWS servizio integrato](service-integration.md). Tuttavia, fai attenzione quando specifichi [gli operatori di condizione dell'indirizzo IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) o la chiave di `aws:SourceIp` condizione nella stessa dichiarazione di politica che consente o nega l'accesso. AWS KMS Ad esempio, la politica in [AWS: Denies Access to AWS Based on the Source IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html) limita AWS le azioni alle richieste provenienti dall'intervallo IP specificato.

Considera questo scenario:

1. Alleghi una policy come quella mostrata in [AWS: Denies Access to AWS Based on the Source IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html) a un'identità IAM. Imposti il valore della chiave di condizione `aws:SourceIp` sull'intervallo di indirizzi IP per l'azienda dell'utente. Questa identità IAM ha altre policy collegate che gli consentono di utilizzare Amazon EBS, Amazon EC2 e AWS KMS.

1. L'identità cerca di collegare un volume EBS crittografato a un'istanza EC2. Questa operazione ha esito negativo con un errore di autorizzazione anche se l'utente ha l'autorizzazione a utilizzare tutti i servizi rilevanti.

La fase 2 non riesce perché la richiesta AWS KMS di decrittografia della chiave dati crittografata del volume proviene da un indirizzo IP associato all'infrastruttura Amazon EC2. Per avere successo, la richiesta deve provenire dall'indirizzo IP dell'utente di origine. Poiché la policy nella fase 1 nega esplicitamente tutte le richieste provenienti da indirizzi IP diversi da quelli specificati, ad Amazon EC2 viene negata l'autorizzazione a decrittografare la chiave di dati crittografata del volume EBS.

Inoltre, la chiave di condizione `aws:SourceIP` non è efficace quando la richiesta proviene da un [endpoint Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html). Per limitare le richieste a un endpoint VPC, incluso un [endpoint VPC AWS KMS](kms-vpc-endpoint.md), utilizza `aws:SourceVpce` o le chiavi di condizione `aws:SourceVpc`. Per maggiori informazioni, consulta [Endpoint VPC - Controllo dell'uso degli endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html#vpc-endpoints-iam-access) nella *Guida per l'utente di Amazon VPC*. 

## Utilizzo delle condizioni degli endpoint VPC nelle policy con autorizzazioni AWS KMS
<a name="conditions-aws-vpce"></a>

[AWS KMS supporta gli endpoint Amazon Virtual Private Cloud (Amazon VPC) alimentati](kms-vpc-endpoint.md) da. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html#what-is-privatelink) Puoi utilizzare le seguenti [chiavi di condizione globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys) nelle policy chiave e nelle policy IAM per controllare l'accesso alle AWS KMS risorse quando la richiesta proviene da un VPC o utilizza un endpoint VPC. Per informazioni dettagliate, vedi [Usa gli endpoint VPC per controllare l'accesso alle risorse AWS KMS](vpce-policy-condition.md).
+ `aws:SourceVpc` limita l'accesso alle richieste dal VPC specificato. 
+ `aws:SourceVpce` limita l'accesso alle richieste dall'endpoint VPC specificato. 

Se utilizzi queste chiavi condizionali per controllare l'accesso alle chiavi KMS, potresti inavvertitamente negare l'accesso ai servizi che utilizzi per AWS tuo conto. AWS KMS 

Fai attenzione a evitare una situazione come quella illustrata nell'esempio delle [chiavi di condizione con indirizzo IP](#conditions-aws-ip-address). Se limiti le richieste di una chiave KMS a un endpoint VPC o VPC, le chiamate AWS KMS da un servizio integrato, come Amazon S3 o Amazon EBS, potrebbero non riuscire. Questo può accadere anche se la richiesta dell'origine sostanzialmente proviene dal VPC o dall'endpoint VPC. 

## Utilizzo IPv6 degli indirizzi in IAM e delle politiche chiave AWS KMS
<a name="KMS-IPv6-policies"></a>

Prima di provare ad accedere IPv6, assicurati che tutte le chiavi e le politiche IAM contenenti restrizioni AWS KMS sugli indirizzi IP siano aggiornate per includere gli intervalli di IPv6 indirizzi. Le policy basate su IP che non vengono aggiornate per gestire IPv6 gli indirizzi possono far sì che i client perdano o ottengano erroneamente l'accesso quando iniziano a IPv6 utilizzarli. Per indicazioni generali sui controlli di accesso KMS, consulta. [Accesso e autorizzazioni alle chiavi KMS](control-access.md) Per maggiori informazioni su KMS e il supporto dual stack, consulta. [Supporto per endpoint dual-stack](ipv6-kms.md)

**Importante**  
Queste dichiarazioni non consentono alcuna azione. Utilizza queste istruzioni in combinazione con altre istruzioni che consentono azioni specifiche.

La seguente dichiarazione nega esplicitamente l'accesso a tutte le autorizzazioni KMS per le richieste provenienti dall'intervallo di indirizzi. `192.0.2.*` IPv4 A tutti gli indirizzi IP al di fuori di questo intervallo non vengono negate esplicitamente le autorizzazioni KMS. Poiché tutti IPv6 gli indirizzi non rientrano nell'intervallo negato, questa dichiarazione non nega esplicitamente le autorizzazioni KMS per alcun indirizzo. IPv6 

```
{
     "Sid": "DenyKMSPermissions",
     "Effect": "Deny",
    "Action": [
        "kms:*"
    ],
    "Resource": "*",
    "Condition": {
        "NotIpAddress": {
            "aws:SourceIp": [ 
                "192.0.2.0/24"
            ]
        }
    }
}
```

È possibile modificare l'`Condition`elemento per negare sia gli intervalli di indirizzi IPv4 (`192.0.2.0/24`) che IPv6 (`2001:db8:1234::/32`), come mostrato nell'esempio seguente.

```
{
    "Sid": "DenyKMSPermissions",
    "Effect": "Deny",
    "Action": [
        "kms:*"
    ],
    "Resource": "*",
    "Condition": {
        "NotIpAddress": {
            "aws:SourceIp": [ 
                "192.0.2.0/24",
                "2001:db8:1234::/32"
            ]
        }
    }
}
```