Avviso di fine del supporto: il 7 ottobre 2026, AWS terminerà il supporto per AWS Proton. Dopo il 7 ottobre 2026, non potrai più accedere alla AWS Proton console o AWS Proton alle risorse. L'infrastruttura implementata rimarrà intatta. Per ulteriori informazioni, consulta [AWS Proton Service Deprecation](https://docs.aws.amazon.com/proton/latest/userguide/proton-end-of-support.html) and Migration Guide.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Identity and Access Management per AWS Proton
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse. AWS Proton IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come AWS Proton funziona con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy per AWS Proton](security_iam_policy-examples.md)
+ [AWS politiche gestite per AWS Proton](security-iam-awsmanpol.md)
+ [Utilizzo di ruoli collegati ai servizi per AWS Proton](using-service-linked-roles.md)
+ [Risoluzione dei problemi di AWS Proton identità e accesso](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi di AWS Proton identità e accesso](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come AWS Proton funziona con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per AWS Proton](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come AWS Proton funziona con IAM
Prima di utilizzare IAM per gestire l'accesso a AWS Proton, scopri con quali funzionalità IAM è disponibile l'uso AWS Proton.
**Funzionalità IAM che puoi utilizzare con AWS Proton**
| Funzionalità IAM | AWS Proton supporto |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione delle policy](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | Sì |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una panoramica generale di come AWS Proton e altri Servizi AWS utilizzi la maggior parte delle funzionalità IAM, consulta la sezione dedicata alla [Servizi AWS compatibilità con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per AWS Proton
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di politiche basate sull'identità per AWS Proton
Per visualizzare esempi di politiche basate sull' AWS Proton identità, vedere. [Esempi di policy basate sull'identità per AWS Proton](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno AWS Proton
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per AWS Proton
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco di AWS Proton azioni, vedere [Azioni definite da AWS Proton](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsproton.html#awsproton-actions-as-permissions) nel *Service Authorization* Reference.
Le azioni politiche in AWS Proton uso utilizzano il seguente prefisso prima dell'azione:
```
proton
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"proton:action1",
"proton:action2"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `List`, includi la seguente azione:
```
"Action": "proton:List*"
```
Per visualizzare esempi di politiche AWS Proton basate sull'identità, vedere. [Esempi di policy basate sull'identità per AWS Proton](security_iam_id-based-policy-examples.md)
## Risorse politiche per AWS Proton
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di AWS Proton risorse e relativi ARNs, vedere [Resources defined by AWS Proton](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsproton.html#awsproton-resources-for-iam-policies) nel *Service Authorization* Reference. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta la sezione [Operazioni definite da AWS Proton](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsproton.html#awsproton-actions-as-permissions).
Per visualizzare esempi di politiche AWS Proton basate sull'identità, vedere. [Esempi di policy basate sull'identità per AWS Proton](security_iam_id-based-policy-examples.md)
## Chiavi relative alle condizioni delle politiche per AWS Proton
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco di chiavi di AWS Proton condizione, consulta [Condition keys for AWS Proton](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsproton.html#awsproton-policy-keys) nel *Service Authorization Reference*. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, vedi [Azioni definite da AWS Proton](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsproton.html#awsproton-actions-as-permissions).
Per visualizzare un esempio di condition-key-based politica per limitare l'accesso a una risorsa, consulta[Esempi di politiche basate su chiavi condizionali per AWS Proton](security_iam_condition-key-based-policy-examples.md).
## Liste di controllo degli accessi (ACLs) in AWS Proton
**Supporti ACLs:** no
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Le liste di controllo degli accessi (ACLs) sono elenchi di assegnatari che è possibile allegare alle risorse. Essi concedono le autorizzazioni di accesso alla risorsa a cui sono associati.
## Controllo degli accessi basato sugli attributi (ABAC) con AWS Proton
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
Per ulteriori informazioni sull'etichettatura AWS Proton delle risorse, consulta. [AWS Proton risorse e etichettatura](resources.md)
## Utilizzo di credenziali temporanee con AWS Proton
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali multiservizio per AWS Proton
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale che chiama an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per AWS Proton
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
Per ulteriori informazioni, consulta [AWS Proton Esempi di policy relative ai ruoli di servizio IAM](security_iam_service-role-policy-examples.md).
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe compromettere AWS Proton la funzionalità. Modifica i ruoli di servizio solo quando viene AWS Proton fornita una guida in tal senso.
## Ruoli collegati ai servizi per AWS Proton
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per AWS Proton](using-service-linked-roles.md).
# Esempi di policy per AWS Proton
Trova esempi di policy AWS Proton IAM nelle seguenti sezioni.
**Topics**
+ [Esempi di policy basate sull'identità per AWS Proton](security_iam_id-based-policy-examples.md)
+ [AWS Proton Esempi di policy relative ai ruoli di servizio IAM](security_iam_service-role-policy-examples.md)
+ [Esempi di politiche basate su chiavi condizionali per AWS Proton](security_iam_condition-key-based-policy-examples.md)
# Esempi di policy basate sull'identità per AWS Proton
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse AWS Proton . Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da AWS Proton, incluso il formato di ARNs per ogni tipo di risorsa, vedere [Azioni, risorse e chiavi di condizione AWS Proton nel *Service* Authorization](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsproton.html) Reference.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Collegamenti a esempi di policy basate sull'identità per AWS Proton](#security_iam-example-links)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare AWS Proton risorse nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Collegamenti a esempi di policy basate sull'identità per AWS Proton
**Collegamenti ad esempi di politiche basate sull'identità per AWS Proton**
+ [AWS politiche gestite per AWS Proton](security-iam-awsmanpol.md)
+ [AWS Proton Esempi di policy relative ai ruoli di servizio IAM](security_iam_service-role-policy-examples.md)
+ [Esempi di politiche basate su chiavi condizionali per AWS Proton](security_iam_condition-key-based-policy-examples.md)
# AWS Proton Esempi di policy relative ai ruoli di servizio IAM
Gli amministratori possiedono e gestiscono le risorse AWS Proton create dall'ambiente e dai modelli di servizio. Associano ruoli di servizio IAM al proprio account che consentono AWS Proton di creare risorse per loro conto. Gli amministratori forniscono i ruoli e AWS Key Management Service le chiavi IAM per le risorse che vengono successivamente possedute e gestite dagli sviluppatori quando AWS Proton distribuiscono la loro applicazione come AWS Proton servizio in un AWS Proton ambiente. Per ulteriori informazioni sulla AWS KMS crittografia dei dati, consulta. [Protezione dei dati in AWS Proton](data-protection.md)
Un ruolo di servizio è un ruolo di Amazon Web Services (IAM) che consente di AWS Proton effettuare chiamate alle risorse per tuo conto. Se specifichi un ruolo del servizio, AWS Proton utilizza le credenziali del ruolo. Utilizza un ruolo di servizio per specificare in modo esplicito le azioni che è AWS Proton possibile eseguire.
Puoi creare il ruolo del servizio e le sue policy di autorizzazione con il servizio IAM. Per ulteriori informazioni sulla creazione di un ruolo di servizio, consulta [Creating a role to delegate permissions to an AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *IAM* User Guide.
## AWS Proton ruolo di servizio per il provisioning utilizzando CloudFormation
In qualità di membro del team della piattaforma, in qualità di amministratore puoi creare un ruolo di AWS Proton servizio e assegnarlo AWS Proton quando crei un ambiente come ruolo di CloudFormation servizio dell'ambiente (il `protonServiceRoleArn` parametro dell'azione dell'[CreateEnvironment](https://docs.aws.amazon.com/proton/latest/APIReference/API_CreateEnvironment.html)API). Questo ruolo consente di AWS Proton effettuare chiamate API ad altri servizi per conto dell'utente quando l'ambiente o una qualsiasi delle istanze di servizio in esso eseguite utilizzano il provisioning AWS gestito e AWS CloudFormation il provisioning dell'infrastruttura.
Ti consigliamo di utilizzare i seguenti ruoli IAM e la policy di fiducia per il tuo AWS Proton ruolo di servizio. Quando utilizzi la AWS Proton console per creare un ambiente e scegli di creare un nuovo ruolo, questa è la politica che si AWS Proton aggiunge al ruolo di servizio che crea per te. Quando definisci l'ambito delle autorizzazioni relative a questa politica, tieni presente che AWS Proton non funziona in caso di `Access Denied` errori.
**Importante**
Tieni presente che le politiche mostrate negli esempi seguenti concedono i privilegi di amministratore a chiunque possa registrare un modello nel tuo account. Poiché non sappiamo quali risorse definirai nei tuoi AWS Proton modelli, queste politiche hanno autorizzazioni ampie. Ti consigliamo di limitare le autorizzazioni alle risorse specifiche che verranno distribuite nei tuoi ambienti.
### AWS Proton esempio di politica relativa al ruolo di servizio per CloudFormation
`123456789012`Sostituiscilo con il tuo Account AWS ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CancelUpdateStack",
"cloudformation:ContinueUpdateRollback",
"cloudformation:CreateChangeSet",
"cloudformation:CreateStack",
"cloudformation:DeleteChangeSet",
"cloudformation:DeleteStack",
"cloudformation:DescribeChangeSet",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStackResourceDrifts",
"cloudformation:DescribeStacks",
"cloudformation:DetectStackResourceDrift",
"cloudformation:ExecuteChangeSet",
"cloudformation:ListChangeSets",
"cloudformation:ListStackResources",
"cloudformation:UpdateStack"
],
"Resource": "arn:aws:cloudformation:*:123456789012:stack/AWSProton-*"
},
{
"Effect": "Allow",
"NotAction": [
"organizations:*",
"account:*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"cloudformation.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"account:ListRegions"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"cloudformation.amazonaws.com"
]
}
}
}
]
}
```
------
### AWS Proton politica di fiducia del servizio
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ServiceTrustRelationshipWithConfusedDeputyPrevention",
"Effect": "Allow",
"Principal": {
"Service": "proton.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:proton:*:123456789012:environment/*"
}
}
}
}
```
------
### Politica relativa al ruolo del servizio AWS di provisioning gestito in modo mirato
Di seguito è riportato un esempio di policy relativa ai ruoli di AWS Proton servizio che puoi utilizzare se hai bisogno solo di AWS Proton servizi per il provisioning delle risorse S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CancelUpdateStack",
"cloudformation:ContinueUpdateRollback",
"cloudformation:CreateChangeSet",
"cloudformation:CreateStack",
"cloudformation:DeleteChangeSet",
"cloudformation:DeleteStack",
"cloudformation:DescribeChangeSet",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStackResourceDrifts",
"cloudformation:DescribeStacks",
"cloudformation:DetectStackResourceDrift",
"cloudformation:ExecuteChangeSet",
"cloudformation:ListChangeSets",
"cloudformation:ListStackResources",
"cloudformation:UpdateStack"
],
"Resource": "arn:aws:cloudformation:*:123456789012:stack/AWSProton-*"
},
{
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"cloudformation.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS Proton ruolo di servizio per il provisioning CodeBuild
In qualità di membro del team della piattaforma, in qualità di amministratore puoi creare un ruolo di AWS Proton servizio e assegnarlo AWS Proton quando crei un ambiente come ruolo di CodeBuild servizio dell'ambiente (il `codebuildRoleArn` parametro dell'azione [CreateEnvironment](https://docs.aws.amazon.com/proton/latest/APIReference/API_CreateEnvironment.html)API). Questo ruolo consente di AWS Proton effettuare chiamate API ad altri servizi per conto dell'utente quando l'ambiente o una qualsiasi delle istanze di servizio in esso eseguite utilizzano il CodeBuild provisioning per fornire l'infrastruttura.
Quando utilizzi la AWS Proton console per creare un ambiente e scegli di creare un nuovo ruolo, AWS Proton aggiunge una policy con privilegi di amministratore al ruolo di servizio che crea per te. Quando create il vostro ruolo e limitate le autorizzazioni, tenete presente che AWS Proton non funziona in `Access Denied` caso di errori.
**Importante**
Tieni presente che le politiche associate ai AWS Proton ruoli che crea per te concedono i privilegi di amministratore a chiunque possa registrare un modello nel tuo account. Poiché non sappiamo quali risorse definirai nei tuoi AWS Proton modelli, queste politiche dispongono di autorizzazioni ampie. Ti consigliamo di limitare le autorizzazioni alle risorse specifiche che verranno distribuite nei tuoi ambienti.
### AWS Proton esempio di politica relativa al ruolo di servizio per CodeBuild
L'esempio seguente fornisce le autorizzazioni CodeBuild per il provisioning di risorse utilizzando. AWS Cloud Development Kit (AWS CDK)
`123456789012`Sostituiscilo con il tuo Account AWS ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:log-group:/aws/codebuild/AWSProton- Shell-*",
"arn:aws:logs:us-east-1:123456789012:log-group:/aws/codebuild/AWSProton- Shell-*:*"
],
"Effect": "Allow"
},
{
"Action": "proton:NotifyResourceDeploymentStatusChange",
"Resource": "arn:aws:proton:us-east-1:123456789012:*",
"Effect": "Allow"
},
{
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::123456789012:role/cdk-*-deploy-role-*",
"arn:aws:iam::123456789012:role/cdk-*-file-publishing-role-*"
],
"Effect": "Allow"
}
]
}
```
------
### AWS Proton CodeBuild politica di fiducia
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "CodeBuildTrustRelationshipWithConfusedDeputyPrevention",
"Effect": "Allow",
"Principal": {
"Service": "codebuild.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:proton:*:123456789012:environment/*"
}
}
}
}
```
------
## AWS Proton ruoli del servizio di pipeline
Per fornire le pipeline di servizi, sono AWS Proton necessarie le autorizzazioni per effettuare chiamate API ad altri servizi. I ruoli di servizio richiesti sono simili ai ruoli di servizio forniti durante la creazione di ambienti. Tuttavia, i ruoli per la creazione di pipeline sono condivisi tra tutti i servizi del tuo AWS account e li fornisci come **impostazioni dell'account** nella console o tramite l'azione [UpdateAccountSettings](https://docs.aws.amazon.com/proton/latest/APIReference/API_UpdateAccountSettings.html)API.
Quando utilizzi la AWS Proton console per aggiornare le impostazioni dell'account e scegli di creare un nuovo ruolo per i ruoli CloudFormation o per i ruoli di CodeBuild servizio, le politiche che si AWS Proton aggiungono ai ruoli di servizio che crea per te sono le stesse descritte nelle sezioni precedenti [AWS-ruolo di provisioning gestito](#proton-svc-role) e[CodeBuild ruolo di approvvigionamento](#codebuild-proton-svc-role). Quando definisci l'ambito delle autorizzazioni relative a questa politica, tieni presente che AWS Proton non funziona in caso di `Access Denied` errori.
**Importante**
Tieni presente che le politiche di esempio nelle sezioni precedenti concedono i privilegi di amministratore a chiunque possa registrare un modello nel tuo account. Poiché non sappiamo quali risorse definirai nei tuoi AWS Proton modelli, queste politiche hanno autorizzazioni ampie. Ti consigliamo di limitare le autorizzazioni alle risorse specifiche che verranno distribuite nelle tue pipeline.
## AWS Proton ruolo del componente
In qualità di membro del team della piattaforma, in qualità di amministratore puoi creare un ruolo di AWS Proton servizio e assegnarlo al AWS Proton momento della creazione di un ambiente come ruolo CloudFormation componente dell'ambiente (il `componentRoleArn` parametro dell'azione [CreateEnvironment](https://docs.aws.amazon.com/proton/latest/APIReference/API_CreateEnvironment.html)API). Questo ruolo definisce l'infrastruttura che i componenti definiti direttamente possono fornire. Per ulteriori informazioni sui componenti, vedere[AWS Proton componenti](ag-components.md).
La seguente policy di esempio supporta la creazione di un componente definito direttamente che fornisce un bucket Amazon Simple Storage Service (Amazon S3) e una policy di accesso correlata.
### AWS Proton esempio di politica relativa al ruolo dei componenti
`123456789012`Sostituiscilo con il tuo Account AWS ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CancelUpdateStack",
"cloudformation:CreateChangeSet",
"cloudformation:DeleteChangeSet",
"cloudformation:DescribeStacks",
"cloudformation:ContinueUpdateRollback",
"cloudformation:DetectStackResourceDrift",
"cloudformation:DescribeStackResourceDrifts",
"cloudformation:DescribeStackEvents",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:UpdateStack",
"cloudformation:DescribeChangeSet",
"cloudformation:ExecuteChangeSet",
"cloudformation:ListChangeSets",
"cloudformation:ListStackResources"
],
"Resource": "arn:aws:cloudformation:*:123456789012:stack/AWSProton-*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucket*",
"iam:CreatePolicy",
"iam:DeletePolicy",
"iam:GetPolicy",
"iam:ListPolicyVersions",
"iam:DeletePolicyVersion"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "cloudformation.amazonaws.com"
}
}
}
]
}
```
------
### AWS Proton politica di affidabilità dei componenti
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ServiceTrustRelationshipWithConfusedDeputyPrevention",
"Effect": "Allow",
"Principal": {
"Service": "proton.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:proton:*:123456789012:environment/*"
}
}
}
}
```
------
# Esempi di politiche basate su chiavi condizionali per AWS Proton
Il seguente esempio di policy IAM nega l'accesso alle AWS Proton azioni che corrispondono ai modelli specificati nel blocco. `Condition` Tieni presente che queste chiavi di condizione sono supportate solo dalle azioni elencate in [Actions, resources and condition keys for AWS Proton](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsproton.html). Per gestire le autorizzazioni su altre azioni, ad esempio`DeleteEnvironmentTemplate`, è necessario utilizzare il controllo dell'accesso a livello di risorsa.
**Esempio di politica che nega le azioni del modello su un AWS Proton modello specifico:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": ["proton:*"],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"proton:EnvironmentTemplate": ["arn:aws:proton:region_id:123456789012:environment-template/my-environment-template"]
}
}
},
{
"Effect": "Deny",
"Action": ["proton:*"],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"proton:ServiceTemplate": ["arn:aws:proton:region_id:123456789012:service-template/my-service-template"]
}
}
}
]
}
```
------
Nella seguente politica di esempio, la prima istruzione a livello di risorsa nega l'accesso alle azioni del AWS Proton modello, diverse da quelle `ListServiceTemplates` che corrispondono al modello di servizio elencato nel blocco. `Resource` La seconda istruzione nega l'accesso alle AWS Proton azioni che corrispondono al modello elencato nel blocco. `Condition`
**Esempio di politica che nega le AWS Proton azioni che corrispondono a un modello specifico:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"proton:*"
],
"Resource": "arn:aws:proton:us-east-1:123456789012:service-template/my-service-template"
},
{
"Effect": "Deny",
"Action": [
"proton:*"
],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"proton:ServiceTemplate": [
"arn:aws:proton:us-east-1:123456789012:service-template/my-service-template"
]
}
}
}
]
}
```
------
L'ultimo esempio di policy consente agli sviluppatori AWS Proton azioni che corrispondono allo specifico modello di servizio elencato nel `Condition` blocco.
**Esempio di politica per consentire azioni di AWS Proton sviluppo che corrispondono a un modello specifico:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"proton:ListServiceTemplates",
"proton:ListServiceTemplateVersions",
"proton:ListServices",
"proton:ListServiceInstances",
"proton:ListEnvironments",
"proton:GetServiceTemplate",
"proton:GetServiceTemplateVersion",
"proton:GetService",
"proton:GetServiceInstance",
"proton:GetEnvironment",
"proton:CreateService",
"proton:UpdateService",
"proton:UpdateServiceInstance",
"proton:UpdateServicePipeline",
"proton:DeleteService",
"codestar-connections:ListConnections"
],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"proton:ServiceTemplate": "arn:aws:proton:region_id:123456789012:service-template/my-service-template"
}
}
},
{
"Effect": "Allow",
"Action": [
"codestar-connections:PassConnection"
],
"Resource": "arn:aws:codestar-connections:*:*:connection/*",
"Condition": {
"StringEquals": {
"codestar-connections:PassedToService": "proton.amazonaws.com"
}
}
}
]
}
```
------
# AWS politiche gestite per AWS Proton
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le politiche AWS gestite che scrivere le politiche da soli. La [creazione di policy gestite dai clienti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) che forniscono al team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste policy coprono i casi d’uso comuni e sono disponibili nell’account Account AWS. Per ulteriori informazioni sulle policy AWS gestite, consulta le [policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *IAM User Guide*.
Servizi AWS mantenere e aggiornare le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi occasionalmente aggiungono altre autorizzazioni a una policy gestita da AWS per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una policy gestita da AWS quando viene avviata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy **ReadOnlyAccess** AWS gestita fornisce l'accesso in sola lettura a tutte le Servizi AWS risorse. Quando un servizio avvia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l’elenco e la descrizione delle policy di funzione dei processi, consultare la sezione [Policy gestite da AWS per funzioni di processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
AWS Proton fornisce politiche IAM gestite e relazioni di fiducia che è possibile associare a utenti, gruppi o ruoli che consentono diversi livelli di controllo sulle risorse e sulle operazioni delle API. Puoi applicare queste policy direttamente oppure utilizzarle come punto di partenza per la creazione di tue policy.
La seguente relazione di trust viene utilizzata per ciascuna delle policy AWS Proton gestite.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ExampleTrustRelationshipWithProtonConfusedDeputyPrevention",
"Effect": "Allow",
"Principal": {
"Service": "proton.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:proton:*:123456789012:environment/*"
}
}
}
}
```
------
## AWS politica gestita: AWSProton FullAccess
Puoi collegarti `AWSProtonFullAccess` alle tue entità IAM. AWS Proton associa inoltre questa policy a un ruolo di servizio che consente di AWS Proton eseguire azioni per tuo conto.
Questa politica concede autorizzazioni amministrative che consentono l'accesso completo alle AWS Proton azioni e l'accesso limitato ad altre azioni di AWS servizio da cui AWS Proton dipende.
La policy include i seguenti namespace di azioni chiave:
+ `proton`— Consente agli amministratori l'accesso completo a. AWS Proton APIs
+ `iam`— Consente agli amministratori di passare ruoli a. AWS Proton Ciò è necessario per AWS Proton poter effettuare chiamate API ad altri servizi per conto dell'amministratore.
+ `kms`— Consente agli amministratori di aggiungere una concessione a una chiave gestita dal cliente.
+ `codeconnections`— Consente agli amministratori di elencare e passare i codici di connessione in modo che possano essere utilizzati da. AWS Proton
Per ulteriori informazioni, consulta [AWSProtonFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSProtonFullAccess.html).
## AWS politica gestita: AWSProton DeveloperAccess
Puoi collegarti `AWSProtonDeveloperAccess` alle tue entità IAM. AWS Proton associa inoltre questa policy a un ruolo di servizio che consente di AWS Proton eseguire azioni per tuo conto.
Questa politica concede autorizzazioni che consentono un accesso limitato alle AWS Proton azioni e ad altre AWS azioni che AWS Proton dipendono da. L'ambito di queste autorizzazioni è progettato per supportare il ruolo di uno sviluppatore che crea e distribuisce servizi. AWS Proton
Questa politica non fornisce l'accesso alla *creazione, all'eliminazione e all'aggiornamento del AWS Proton modello e* dell'ambiente. APIs Se gli sviluppatori necessitano di autorizzazioni ancora più limitate di quelle fornite da questa politica, consigliamo di creare una politica personalizzata con un ambito ristretto per concedere il [minimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) privilegio.
La policy include i seguenti namespace di azioni chiave:
+ `proton`— Consente ai collaboratori di accedere a un set limitato di. AWS Proton APIs
+ `codeconnections`— Consente ai collaboratori di elencare e trasmettere connessioni di codice in modo che possano essere utilizzate da. AWS Proton
Per ulteriori informazioni, consulta [AWSProtonDeveloperAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSProtonDeveloperAccess.html).
## AWS politica gestita: AWSProton ReadOnlyAccess
Puoi collegarti `AWSProtonReadOnlyAccess` alle tue entità IAM. AWS Proton associa inoltre questa policy a un ruolo di servizio che consente di AWS Proton eseguire azioni per tuo conto.
Questa politica concede autorizzazioni che consentono l'accesso in sola lettura alle AWS Proton azioni e l'accesso limitato in sola lettura ad altre azioni di servizio da cui dipende. AWS AWS Proton
La policy include i seguenti namespace di azioni chiave:
+ `proton`— Consente ai collaboratori l'accesso in sola lettura a. AWS Proton APIs
Per ulteriori informazioni, consulta [AWSProtonReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSProtonReadOnlyAccess.html).
## AWS politica gestita: AWSProton SyncServiceRolePolicy
AWS Proton allega questa politica al ruolo [AWSServiceRoleForProtonSync](using-service-linked-roles-sync.md)collegato al servizio che consente di AWS Proton eseguire la sincronizzazione dei modelli.
Questa politica concede autorizzazioni che consentono un accesso limitato alle AWS Proton azioni e ad altre azioni di AWS servizio da cui dipende. AWS Proton
La policy include i seguenti namespace di azioni chiave:
+ `proton`— Consente un accesso limitato alla AWS Proton sincronizzazione a. AWS Proton APIs
+ `codeconnections`— Consente un accesso limitato alla AWS Proton sincronizzazione a CodeConnections APIs.
Per ulteriori informazioni, consulta [AWSProtonSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSProtonSyncServiceRolePolicy.html).
## AWS politica gestita: AWSProton CodeBuildProvisioningBasicAccess
Le autorizzazioni CodeBuild devono eseguire una build per AWS Proton CodeBuild Provisioning. Puoi collegarti `AWSProtonCodeBuildProvisioningBasicAccess` al tuo ruolo di CodeBuild Provisioning.
Questa politica concede le autorizzazioni minime per il funzionamento del AWS Proton CodeBuild Provisioning. Concede autorizzazioni che consentono CodeBuild di generare registri di compilazione. Concede inoltre l'autorizzazione a Proton di rendere disponibili agli utenti gli output Infrastructure as Code (IaC). AWS Proton Non fornisce le autorizzazioni necessarie agli strumenti IaC per gestire l'infrastruttura.
La policy include i seguenti namespace di azioni chiave:
+ `logs`‐ Consente di generare registri CodeBuild di compilazione. Senza questa autorizzazione, non CodeBuild riuscirà a partire.
+ `proton`‐ Consente a un comando CodeBuild Provisioning di richiedere `aws proton notify-resource-deployment-status-change` l'aggiornamento degli output IaaC per una determinata risorsa. AWS Proton
Per ulteriori informazioni, consulta [AWSProtonCodeBuildProvisioningBasicAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSProtonCodeBuildProvisioningBasicAccess.html).
## AWS politica gestita: AWSProton CodeBuildProvisioningServiceRolePolicy
AWS Proton associa questa policy al ruolo [AWSServiceRoleForProtonCodeBuildProvisioning](using-service-linked-roles-codebuild.md)collegato al servizio che consente di AWS Proton eseguire CodeBuild il provisioning basato.
Questa politica concede autorizzazioni che consentono un accesso limitato alle azioni di servizio che dipendono da AWS . AWS Proton
La policy include i seguenti namespace di azioni chiave:
+ `cloudformation`— Consente un accesso limitato al provisioning AWS Proton CodeBuild basato su. CloudFormation APIs
+ `codebuild`— Consente un accesso limitato al provisioning AWS Proton CodeBuild basato su. CodeBuild APIs
+ `iam`— Consente agli amministratori di trasferire ruoli a. AWS Proton Ciò è necessario per AWS Proton poter effettuare chiamate API ad altri servizi per conto dell'amministratore.
+ `servicequotas`— Consente di AWS Proton verificare il limite di CodeBuild compilazione simultanea, che garantisce una corretta coda di compilazione.
Per ulteriori informazioni, consulta [AWSProtonCodeBuildProvisioningServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSProtonCodeBuildProvisioningServiceRolePolicy.html).
## AWS politica gestita: AWSProton ServiceGitSyncServiceRolePolicy
AWS Proton associa questo criterio al ruolo [AWSServiceRoleForProtonServiceSync](using-service-linked-roles-sync.md)collegato al servizio che consente di AWS Proton eseguire la sincronizzazione del servizio.
Questa politica concede autorizzazioni che consentono un accesso limitato alle AWS Proton azioni e ad altre azioni di AWS servizio da cui dipende. AWS Proton
La policy include i seguenti namespace di azioni chiave:
+ `proton`— Consente un accesso limitato alla AWS Proton sincronizzazione a. AWS Proton APIs
Per ulteriori informazioni, consulta [AWSProtonServiceGitSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSProtonServiceGitSyncServiceRolePolicy.html).
## AWS Proton aggiornamenti alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS Proton da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei AWS Proton documenti.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSProtonCodeBuildProvisioningServiceRolePolicy](#security-iam-awsmanpol-AWSProtonCodeBuildProvisioningServiceRolePolicy): aggiornamento a una policy esistente | La policy gestita per il ruolo collegato al servizio, che consente di AWS Proton eseguire il provisioning CodeBuild basato, ora concede le autorizzazioni per richiamare le azioni e l'API. CloudFormation `TagResource` `UntagResource` Queste autorizzazioni sono necessarie per eseguire operazioni di tagging sulle risorse. | 15 giugno 2024 |
| [AWSProtonFullAccess](#security-iam-awsmanpol-AWSProtonFullAccess): aggiornamento di una policy esistente | La politica gestita per il ruolo collegato al servizio di utilizzare Git sync con i repository Git è stata aggiornata per le risorse con entrambi i prefissi di servizio. Per ulteriori informazioni, consulta [Using service-linked roles for AWS CodeConnections](https://docs.aws.amazon.com/dtconsole/latest/userguide/what-is-dtconsole.html) and [Managed](https://docs.aws.amazon.com/dtconsole/latest/userguide/security-iam-awsmanpol.html) Policy. | 25 aprile 2024 |
| [AWSProtonDeveloperAccess](#security-iam-awsmanpol-AWSProtonDeveloperAccess): aggiornamento di una policy esistente | La politica gestita per il ruolo collegato al servizio di utilizzare Git sync con i repository Git è stata aggiornata per le risorse con entrambi i prefissi di servizio. Per ulteriori informazioni, consulta [Using service-linked roles for AWS CodeConnections](https://docs.aws.amazon.com/dtconsole/latest/userguide/what-is-dtconsole.html) and [Managed](https://docs.aws.amazon.com/dtconsole/latest/userguide/security-iam-awsmanpol.html) Policy. | 25 aprile 2024 |
| [AWSProtonSyncServiceRolePolicy](#security-iam-awsmanpol-AWSProtonSyncServiceRolePolicy): aggiornamento di una policy esistente | La politica gestita per il ruolo collegato al servizio di utilizzare Git sync con i repository Git è stata aggiornata per le risorse con entrambi i prefissi di servizio. Per ulteriori informazioni, consulta [Using service-linked roles for AWS CodeConnections](https://docs.aws.amazon.com/dtconsole/latest/userguide/what-is-dtconsole.html) and [Managed](https://docs.aws.amazon.com/dtconsole/latest/userguide/security-iam-awsmanpol.html) Policy. | 25 aprile 2024 |
| [AWSProtonCodeBuildProvisioningServiceRolePolicy](#security-iam-awsmanpol-AWSProtonCodeBuildProvisioningServiceRolePolicy): aggiornamento di una policy esistente | AWS Proton ha aggiornato questa policy per aggiungere autorizzazioni per garantire che gli account abbiano il limite di CodeBuild compilazione simultanea necessario per utilizzare Provisioning. CodeBuild | 12 maggio 2023 |
| [AWSProtonServiceGitSyncServiceRolePolicy](#security-iam-awsmanpol-AwsProtonServiceGitSyncServiceRolePolicy): nuova policy | AWS Proton ha aggiunto una nuova politica per consentire di eseguire la sincronizzazione AWS Proton del servizio. La policy viene utilizzata nel ruolo collegato al [AWSServiceRoleForProtonServiceSync](https://docs.aws.amazon.com//proton/latest/userguide/using-service-linked-roles-sync.html#service-linked-role-permissions-sync)servizio. | 31 marzo 2023 |
| [AWSProtonDeveloperAccess](#security-iam-awsmanpol-AWSProtonDeveloperAccess): aggiornamento di una policy esistente | AWS Proton ha aggiunto una nuova `GetResourcesSummary` azione che consente di visualizzare un riepilogo dei modelli, delle risorse dei modelli distribuite e delle risorse non aggiornate. | 18 novembre 2022 |
| [AWSProtonReadOnlyAccess](#security-iam-awsmanpol-AWSProtonReadOnlyAccess): aggiornamento di una policy esistente | AWS Proton ha aggiunto una nuova `GetResourcesSummary` azione che consente di visualizzare un riepilogo dei modelli, delle risorse dei modelli distribuite e delle risorse non aggiornate. | 18 novembre 2022 |
| [AWSProtonCodeBuildProvisioningBasicAccess](#security-iam-awsmanpol-AWSProtonCodeBuildProvisioningBasicAccess): nuova policy | AWS Proton ha aggiunto una nuova politica che fornisce CodeBuild le autorizzazioni necessarie per eseguire una build for AWS Proton CodeBuild Provisioning. | 16 novembre 2022 |
| [AWSProtonSyncServiceRolePolicy](#security-iam-awsmanpol-AWSProtonSyncServiceRolePolicy): nuova policy | AWS Proton ha aggiunto una nuova politica per consentire di AWS Proton eseguire operazioni relative al provisioning CodeBuild basato. La policy viene utilizzata nel ruolo collegato al [AWSServiceRoleForProtonCodeBuildProvisioning](using-service-linked-roles-codebuild.md)servizio. | 02 settembre 2022 |
| [AWSProtonFullAccess](#security-iam-awsmanpol-AWSProtonFullAccess): aggiornamento di una policy esistente | AWS Proton ha aggiornato questa politica per fornire l'accesso a nuove operazioni AWS Proton API e per risolvere i problemi di autorizzazione per alcune operazioni AWS Proton della console. | 30 marzo 2022 |
| [AWSProtonDeveloperAccess](#security-iam-awsmanpol-AWSProtonDeveloperAccess): aggiornamento di una policy esistente | AWS Proton aggiorna questa politica per fornire l'accesso a nuove operazioni AWS Proton API e per risolvere i problemi di autorizzazione per alcune operazioni AWS Proton della console. | 30 marzo 2022 |
| [AWSProtonReadOnlyAccess](#security-iam-awsmanpol-AWSProtonReadOnlyAccess): aggiornamento di una policy esistente | AWS Proton aggiorna questa politica per fornire l'accesso a nuove operazioni AWS Proton API e risolvere i problemi di autorizzazione per alcune operazioni AWS Proton della console. | 30 marzo 2022 |
| [AWSProtonSyncServiceRolePolicy](#security-iam-awsmanpol-AWSProtonSyncServiceRolePolicy): nuova policy | AWS Proton ha aggiunto una nuova politica per consentire di AWS Proton eseguire operazioni relative alla sincronizzazione dei modelli. La policy viene utilizzata nel ruolo [AWSServiceRoleForProtonSync](using-service-linked-roles.md)collegato al servizio. | 23 novembre 2021 |
| [AWSProtonFullAccess](#security-iam-awsmanpol-AWSProtonFullAccess): nuova policy | AWS Proton ha aggiunto una nuova politica per fornire l'accesso con ruolo amministrativo alle operazioni AWS Proton API e alla AWS Proton console. | 09 giugno 2021 |
| [AWSProtonDeveloperAccess](#security-iam-awsmanpol-AWSProtonDeveloperAccess): nuova policy | AWS Proton ha aggiunto una nuova politica per fornire l'accesso del ruolo di sviluppatore alle operazioni AWS Proton API e alla AWS Proton console. | 09 giugno 2021 |
| [AWSProtonReadOnlyAccess](#security-iam-awsmanpol-AWSProtonReadOnlyAccess): nuova policy | AWS Proton ha aggiunto una nuova policy per fornire l'accesso in sola lettura alle operazioni AWS Proton API e alla AWS Proton console. | 09 giugno 2021 |
| AWS Proton ha iniziato a tenere traccia delle modifiche. | AWS Proton ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 09 giugno 2021 |
# Utilizzo di ruoli collegati ai servizi per AWS Proton
AWS Proton utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Proton I ruoli collegati ai servizi sono predefiniti AWS Proton e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
**Topics**
+ [Utilizzo dei ruoli per la sincronizzazione AWS Proton](using-service-linked-roles-sync.md)
+ [Utilizzo dei ruoli per CodeBuild il provisioning basato](using-service-linked-roles-codebuild.md)
# Utilizzo dei ruoli per la sincronizzazione AWS Proton
AWS Proton utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Proton I ruoli collegati ai servizi sono predefiniti AWS Proton e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione AWS Proton perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Proton definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Proton Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi AWS Proton le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per AWS Proton
AWS Proton utilizza due ruoli collegati ai servizi denominati e. **AWSServiceRoleForProtonSync**AWSServiceRoleForProtonServiceSync****
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio **AWSServiceRoleForProtonSync** considera attendibili i seguenti servizi:
+ `sync.proton.amazonaws.com`
La politica di autorizzazione dei ruoli denominata `AWSProtonSyncServiceRolePolicy` consente di AWS Proton completare le seguenti azioni sulle risorse specificate:
+ Azione: *creare, gestire e leggere AWS Proton * *modelli e versioni dei modelli*
+ Azione: *utilizzare la connessione* su *CodeConnections*
Per ulteriori informazioni su questa policy, consulta [AWS politica gestita: AWSProton SyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSProtonSyncServiceRolePolicy).
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio **AWSServiceRoleForProtonServiceSync** considera attendibili i seguenti servizi:
+ `service-sync.proton.amazonaws.com`
La politica di autorizzazione dei ruoli denominata `AWSProtonServiceGitSyncServiceRolePolicy` consente di AWS Proton completare le seguenti azioni sulle risorse specificate:
+ Azione: *creare, gestire e leggere su AWS Proton servizi e istanze di servizio*
Per ulteriori informazioni su questa policy, consulta [AWS politica gestita: AWSProton ServiceGitSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AwsProtonServiceGitSyncServiceRolePolicy).
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato ai servizi per AWS Proton
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando configuri un repository o un servizio per la sincronizzazione AWS Proton in Console di gestione AWS, l'o l' AWS API AWS CLI, AWS Proton crea automaticamente il ruolo collegato al servizio.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando configuri un repository o un servizio per la sincronizzazione AWS Proton, AWS Proton crea nuovamente il ruolo collegato al servizio.
Per ricreare il ruolo **AWSServiceRoleForProtonSync**collegato al servizio, dovresti configurare un repository per la sincronizzazione e, per ricreare **AWSServiceRoleForProtonServiceSync**, dovresti configurare un servizio per la sincronizzazione.
## Modifica di un ruolo collegato al servizio per AWS Proton
AWS Proton non consente di modificare il ruolo collegato al **AWSServiceRoleForProtonSync**servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per AWS Proton
Non è necessario eliminare manualmente il ruolo **AWSServiceRoleForProtonSync**. Quando elimini tutti gli archivi AWS Proton collegati per la sincronizzazione del repository nell'API Console di gestione AWS, l'o l' AWS API AWS CLI, AWS Proton pulisce le risorse ed elimina automaticamente il ruolo collegato al servizio.
## AWS Proton Regioni supportate per i ruoli collegati ai servizi
AWS Proton supporta l'utilizzo di ruoli collegati al servizio in tutti i paesi in Regioni AWS cui il servizio è disponibile. Per ulteriori informazioni, consulta [Endpoint e quote AWS Proton](https://docs.aws.amazon.com/general/latest/gr/proton.html) nella *Riferimenti generali di AWS*.
# Utilizzo dei ruoli per CodeBuild il provisioning basato
AWS Proton utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Proton I ruoli collegati ai servizi sono predefiniti AWS Proton e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione AWS Proton perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Proton definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Proton Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi AWS Proton le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per AWS Proton
AWS Proton utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForProtonCodeBuildProvisioning**: A Service Linked Role per il provisioning. AWS Proton CodeBuild
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio **AWSServiceRoleForProtonCodeBuildProvisioning** considera attendibili i seguenti servizi:
+ `codebuild.proton.amazonaws.com`
La politica di autorizzazione dei ruoli denominata `AWSProtonCodeBuildProvisioningServiceRolePolicy` consente di AWS Proton completare le seguenti azioni sulle risorse specificate:
+ Azione: *crea, gestisci e leggi* su *CloudFormation pile e trasformazioni*
+ Azione: *crea, gestisci e leggi CodeBuild * *progetti* e build
Per ulteriori informazioni su questa policy, consulta [AWS politica gestita: AWSProton CodeBuildProvisioningServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSProtonCodeBuildProvisioningServiceRolePolicy).
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per AWS Proton
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un ambiente che utilizza il provisioning CodeBuild basato su AWS Proton in Console di gestione AWS, the o l' AWS API AWS CLI, AWS Proton crea automaticamente il ruolo collegato al servizio.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei un ambiente che utilizza il provisioning CodeBuild basato sul provisioning in AWS Proton, AWS Proton crea nuovamente il ruolo collegato al servizio.
## Modifica di un ruolo collegato al servizio per AWS Proton
AWS Proton non consente di modificare il ruolo collegato al **AWSServiceRoleForProtonCodeBuildProvisioning**servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per AWS Proton
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario eliminare tutti gli ambienti e i servizi (istanze e pipeline) che utilizzano il provisioning CodeBuild basato sul provisioning AWS Proton prima di poterlo eliminare manualmente.
### Eliminazione manuale del ruolo collegato ai servizi
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al **AWSServiceRoleForProtonCodeBuildProvisioning**servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi AWS Proton
AWS Proton supporta l'utilizzo di ruoli collegati al servizio in tutti i paesi in Regioni AWS cui il servizio è disponibile. Per ulteriori informazioni, consulta [Endpoint e quote AWS Proton](https://docs.aws.amazon.com/general/latest/gr/proton.html) nella *Riferimenti generali di AWS*.
# Risoluzione dei problemi di AWS Proton identità e accesso
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con un AWS Proton IAM.
**Topics**
+ [Non sono autorizzato a eseguire alcuna azione in AWS Proton](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie AWS Proton risorse](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire alcuna azione in AWS Proton
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L’amministratore è colui che ti ha fornito le credenziali di accesso.
L'errore di esempio seguente si verifica quando l'utente `mateojackson` IAM prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `proton:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: proton:GetWidget on resource: my-example-widget
```
In questo caso, Mateo chiede al suo amministratore di aggiornare le policy per poter accedere alla risorsa `my-example-widget` mediante l'operazione `proton:GetWidget`.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione `iam:PassRole`, le tue policy devono essere aggiornate per poter passare un ruolo a AWS Proton.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` cerca di utilizzare la console per eseguire un'operazione in AWS Proton. Tuttavia, l'operazione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie AWS Proton risorse
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se AWS Proton supporta queste funzionalità, consulta. [Come AWS Proton funziona con IAM](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.