Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Opzione 2: le applicazioni possono assumere solo il ruolo consentito dalla politica di fiducia In questo scenario, due certificati sono stati forniti in AWS Certificate Manager (ACM) AWS Autorità di certificazione privata e condivisi con le applicazioni che richiedono l'accesso alle risorse. AWS **L'applicazione 1** può assumere solo **il ruolo 1** e l'**applicazione 2** può assumere solo il **ruolo** 2. Nella politica di attendibilità dei ruoli, si configurano i campi relativi all'oggetto del certificato come condizioni. Queste condizioni consentono all'applicazione di assumere solo un ruolo specifico. Grazie alle autorizzazioni del ruolo, solo **l'Applicazione 1** può accedere al **Bucket 1** e solo **l'Applicazione 2 può accedere al **Bucket** 2**. L'immagine seguente mostra l'accesso di ogni applicazione. ![Applicazioni che utilizzano certificati diversi e possono assumere solo ruoli specifici.](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/certificate-based-access-controls/images/option-2-overview.png) In questa opzione, si configurano le politiche di attendibilità in modo da consentire `AssumeRole` solo quando vengono soddisfatti attributi specifici del certificato. La policy di fiducia dei ruoli di esempio mostra come configurare la `Condition` sezione per richiedere un nome comune del certificato specifico (`CN`), che è diverso per il **ruolo 1** e il **ruolo 2**. Ogni applicazione può assumere un ruolo specifico perché IAM Roles Anywhere ha una relazione di trust ancoraggio con. AWS Private CA Questo approccio aiuta a prevenire l'accesso non autorizzato a ruoli e dati, poiché l'applicazione non può assumere alcun ruolo collegato al profilo di destinazione. Ad esempio, è possibile separare i dati aziendali in diversi bucket, configurare i ruoli per consentire l'accesso a uno solo di questi bucket e quindi utilizzare i controlli di accesso basati sui certificati nella politica di fiducia per definire il ruolo che l'applicazione può assumere. Il seguente esempio di politica di fiducia per il **ruolo 1** presenta una condizione che consente l'assunzione del ruolo solo se il nome del certificato è `application-1.com` e se il trust anchor Amazon Resource Name (ARN) corrisponde: ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "rolesanywhere.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:PrincipalTag/x509Subject/CN": "application-1.com" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:rolesanywhere:::trust-anchor/" ] } } } ] } ``` Il seguente esempio di politica di attendibilità per **Role 2** presenta una condizione che consente l'assunzione del ruolo solo se il nome del certificato è `application-2.com` e se l'ARN del trust anchor corrisponde: ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "rolesanywhere.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:PrincipalTag/x509Subject/CN": "application-2.com" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:rolesanywhere:::trust-anchor/" ] } } } ] } ``` Per ulteriori informazioni sulle politiche di fiducia dei ruoli e su come modificare questi esempi, consulta la [politica di fiducia nella documentazione](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/trust-model.html#trust-policy). IAM Roles Anywhere Esempi di politiche relative a ruoli e profili per **l'Applicazione 1** e **l'Applicazione 2** sono inclusi nella sezione [Appendice: Esempi di politiche di profilo e ruolo](appendix-sample-policies.md) di questa guida.