Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Le migliori pratiche per la configurazione di policy basate sull'identità per l'accesso con privilegi minimi CloudFormation + Per i responsabili IAM che richiedono autorizzazioni per accedere CloudFormation, è necessario bilanciare la necessità delle autorizzazioni per operare con il principio del privilegio minimo. CloudFormation Per aiutarti a rispettare il principio del privilegio minimo, ti consigliamo di definire il principale IAM in base all'identità con azioni specifiche che consentano al principale di fare quanto segue: + Crea, aggiorna ed elimina uno stack. CloudFormation + Assegna uno o più ruoli di servizio con le autorizzazioni necessarie per distribuire le risorse definite nei modelli. CloudFormation Ciò consente di CloudFormation assumere il ruolo di servizio e fornire le risorse dello stack per conto del responsabile IAM. + L'*escalation dei privilegi* si riferisce alla capacità di un utente con accesso di elevare i propri livelli di autorizzazione e compromettere la sicurezza. Il privilegio minimo è una best practice importante che può aiutare a prevenire l'escalation dei privilegi. Poiché CloudFormation supporta il provisioning di [tipi di risorse IAM](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html), come policy e ruoli, un responsabile IAM potrebbe aumentare i propri privilegi attraverso: CloudFormation + **Utilizzo di uno CloudFormation stack per fornire a un principale IAM autorizzazioni, policy o credenziali altamente privilegiate: per evitare che ciò accada,** consigliamo di utilizzare barriere di autorizzazione per limitare il livello di accesso per i principali IAM. I *guardrail di autorizzazione impostano le* autorizzazioni massime che una policy basata sull'identità può concedere a un responsabile IAM. Questo aiuta a prevenire l'escalation intenzionale e involontaria dei privilegi. È possibile utilizzare i seguenti tipi di politiche come protezioni per le autorizzazioni: + I limiti delle autorizzazioni definiscono le autorizzazioni massime che una policy basata sull'identità può concedere a un preside IAM. Per ulteriori informazioni, consulta Limiti delle [autorizzazioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) per le entità IAM. + In AWS Organizations, puoi utilizzare [le policy di controllo del servizio](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCPs) per definire le autorizzazioni massime disponibili a livello organizzativo. SCPs riguardano solo i ruoli e gli utenti IAM gestiti dagli account dell'organizzazione. Puoi collegarti SCPs agli account, alle unità organizzative o alla radice dell'organizzazione. Per ulteriori informazioni, consulta [Effetti delle SCP sulle autorizzazioni](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions). + **Creazione di un ruolo di CloudFormation servizio che offra autorizzazioni estese**: per evitare che ciò accada, ti consigliamo di aggiungere le seguenti autorizzazioni granulari alle politiche basate sull'identità per i dirigenti IAM che utilizzeranno: CloudFormation + Utilizza la chiave `cloudformation:RoleARN` condition per controllare quali ruoli di servizio può utilizzare il preside IAM. CloudFormation + Consenti l'`iam:PassRole`azione solo per i ruoli CloudFormation di servizio specifici che il principale IAM deve passare. Per ulteriori informazioni sul tagging, consulta [Concessione a un IAM delle autorizzazioni principali per l'utilizzo di un CloudFormation ruolo di servizio](service-roles-for-cloudformation.md#permissions-use-cloudformation-service-role)in questa guida. + Limita le autorizzazioni utilizzando barriere di autorizzazione, come i limiti delle autorizzazioni e SCPs, e concedi le autorizzazioni utilizzando una politica basata sull'identità o sulle risorse.