Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Identity and Access Management per AWS Resilience Hub
<a name="security-iam"></a>





AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare AWS le risorse di Resilience Hub. IAM è uno strumento Servizio AWS che puoi utilizzare senza costi aggiuntivi.

**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona AWS Resilience Hub con IAM](security_iam_service-with-iam.md)
+ [Configura ruoli e autorizzazioni IAM](setting-up-permissions.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso a AWS Resilience Hub](security_iam_troubleshoot.md)
+ [AWS Resilience Hub riferimento alle autorizzazioni di accesso](security-iam-resilience-hub-permissions.md)
+ [AWS politiche gestite per AWS Resilience Hub](security-iam-awsmanpol.md)
+ [AWS Resilience Hub riferimenti alle persone e alle autorizzazioni IAM](security-iam-resilience-hub-personas.md)
+ [Importazione del file di stato Terraform in AWS Resilience Hub](security-iam-resilience-hub-terraform-secondary.md)
+ [Abilitazione AWS Resilience Hub dell'accesso al tuo cluster Amazon Elastic Kubernetes Service](enabling-eks-in-arh.md)
+ [Attivazione AWS Resilience Hub della pubblicazione su Amazon Simple Notification Service di argomenti](enabling-sns-in-arh.md)
+ [Limitazione delle autorizzazioni per includere o escludere i consigli AWS Resilience Hub](include-exclude-limit-permissions.md)

## Destinatari
<a name="security_iam_audience"></a>

Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso a AWS Resilience Hub](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona AWS Resilience Hub con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per Resilience Hub AWS](security_iam_id-based-policy-examples.md))

## Autenticazione con identità
<a name="security_iam_authentication"></a>

L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS

Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.

Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.

### Account AWS utente root
<a name="security_iam_authentication-rootuser"></a>

 Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*. 

### Identità federata
<a name="security_iam_authentication-federated"></a>

Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.

Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.

Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.

### Utenti e gruppi IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*

Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.

### Ruoli IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.

I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.

## Gestione dell’accesso tramite policy
<a name="security_iam_access-manage"></a>

Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.

Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.

Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.

### Policy basate sull’identità
<a name="security_iam_access-manage-id-based-policies"></a>

Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.

Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.

### Policy basate sulle risorse
<a name="security_iam_access-manage-resource-based-policies"></a>

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).

Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.

### Altri tipi di policy
<a name="security_iam_access-manage-other-policies"></a>

AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.

### Più tipi di policy
<a name="security_iam_access-manage-multiple-policies"></a>

Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.

# Come funziona AWS Resilience Hub con IAM
<a name="security_iam_service-with-iam"></a>

Prima di utilizzare IAM per gestire l'accesso a AWS Resilience Hub, scopri quali funzionalità IAM sono disponibili per l'uso con AWS Resilience Hub.






**Funzionalità IAM che puoi utilizzare con AWS Resilience Hub**  

| Funzionalità IAM | AWS Supporto per Resilience Hub | 
| --- | --- | 
|  [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies)  |   Sì  | 
|  [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies)  |   No   | 
|  [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions)  |   Sì  | 
|  [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources)  |   Sì  | 
|  [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Sì  | 
|  [ACLs](#security_iam_service-with-iam-acls)  |   No   | 
|  [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags)  |   Parziale  | 
|  [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds)  |   Sì  | 
|  [Inoltro delle sessioni di accesso (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Sì  | 
|  [Ruoli di servizio](#security_iam_service-with-iam-roles-service)  |   Sì  | 

*Per avere una visione di alto livello di come AWS Resilience Hub e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) User Guide.*

## Politiche basate sull'identità per Resilience Hub AWS
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Supporta le policy basate sull’identità:** sì

Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.

Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.

### Esempi di politiche basate sull'identità per Resilience Hub AWS
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Per visualizzare esempi di politiche basate sull'identità di AWS Resilience Hub, vedere. [Esempi di policy basate sull'identità per Resilience Hub AWS](security_iam_id-based-policy-examples.md)

## Politiche basate sulle risorse all'interno di Resilience Hub AWS
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Supporta le policy basate su risorse:** no 

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS

Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.

## Azioni politiche per Resilience Hub AWS
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Supporta le operazioni di policy:** si

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.



*Per visualizzare un elenco delle azioni di AWS Resilience Hub, consulta [Azioni definite da AWS Resilience Hub nel Service Authorization Reference](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).*

Le azioni politiche in AWS Resilience Hub utilizzano il seguente prefisso prima dell'azione:

```
resiliencehub
```

Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.

```
"Action": [
      "resiliencehub:action1",
      "resiliencehub:action2"
         ]
```





Per visualizzare esempi di politiche basate sull'identità di AWS Resilience Hub, vedere. [Esempi di policy basate sull'identità per Resilience Hub AWS](security_iam_id-based-policy-examples.md)

## Risorse politiche per Resilience Hub AWS
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Supporta le risorse relative alle policy:** sì

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.

```
"Resource": "*"
```

*Per visualizzare un elenco dei tipi di risorse di AWS Resilience Hub e relativi ARNs, consulta [Resources defined by AWS Resilience Hub nel Service Authorization Reference](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies).* Per sapere con quali azioni è possibile specificare l'ARN di ciascuna risorsa, vedere [Azioni definite da AWS Resilience](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions) Hub.





Per visualizzare esempi di politiche basate sull'identità di AWS Resilience Hub, vedere. [Esempi di policy basate sull'identità per Resilience Hub AWS](security_iam_id-based-policy-examples.md)

## Chiavi delle condizioni politiche per Resilience Hub AWS
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.

Per visualizzare un elenco delle chiavi di condizione di AWS Resilience Hub, consulta [Condition keys for AWS Resilience Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-policy-keys) nel *Service Authorization* Reference. Per sapere con quali azioni e risorse è possibile utilizzare una chiave di condizione, consulta [Azioni definite da AWS Resilience](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions) Hub.

Per visualizzare esempi di politiche basate sull'identità di AWS Resilience Hub, vedere. [Esempi di policy basate sull'identità per Resilience Hub AWS](security_iam_id-based-policy-examples.md)

## ACLs AWS in Resilience Hub
<a name="security_iam_service-with-iam-acls"></a>

**Supporti ACLs: no** 

Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.

## ABAC con Resilience Hub AWS
<a name="security_iam_service-with-iam-tags"></a>

**Supporta ABAC (tag nelle policy):** parzialmente

Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.

Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.

Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.

Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.

## Utilizzo di credenziali temporanee con AWS Resilience Hub
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Supporta le credenziali temporanee:** sì

Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.

## Sessioni di accesso diretto per Resilience Hub AWS
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Supporta l’inoltro delle sessioni di accesso (FAS):** sì

 Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Ruoli di servizio per Resilience Hub AWS
<a name="security_iam_service-with-iam-roles-service"></a>

**Supporta i ruoli di servizio:** sì

 Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*. 

**avvertimento**  
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità di AWS Resilience Hub. Modifica i ruoli di servizio solo quando AWS Resilience Hub fornisce indicazioni in tal senso.

# Esempi di policy basate sull'identità per Resilience Hub AWS
<a name="security_iam_id-based-policy-examples"></a>

Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare AWS le risorse di Resilience Hub. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.

Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.

Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da AWS Resilience Hub, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per AWS Resilience Hub nel *Service* Authorization Reference Reference](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html) Reference.

**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Resilience AWS Hub](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Elenco delle applicazioni disponibili AWS Resilience Hub](#security-iam-policy-examples-list-apps)
+ [Avvio di una valutazione dell'applicazione](#security-iam-policy-examples-start-app-assessment)
+ [Eliminazione di una valutazione dell'applicazione](#security-iam-policy-examples-delete-app-assessment)
+ [Creazione di un modello di raccomandazione per un'applicazione specifica](#security-iam-policy-examples-create-app-reco-template)
+ [Eliminazione di un modello di raccomandazione per un'applicazione specifica](#security-iam-policy-examples-delete-app-reco-template)
+ [Aggiornamento di un'applicazione con una politica di resilienza specifica](#security-iam-policy-examples-update-app-resiliency-policy)

## Best practice per le policy
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse di AWS Resilience Hub nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.

Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.

## Utilizzo della console Resilience AWS Hub
<a name="security_iam_id-based-policy-examples-console"></a>

Per accedere alla console AWS Resilience Hub, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse di AWS Resilience Hub presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.

Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o l'API. AWS Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.

Per garantire che utenti e ruoli possano ancora utilizzare la console AWS Resilience Hub, collega anche il AWS Resilience Hub `ConsoleAccess` o la policy `ReadOnly` AWS gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.

La seguente politica concede agli utenti l'autorizzazione a elencare e visualizzare tutte le risorse nella AWS Resilience Hub console, ma non a crearle, aggiornarle o eliminarle.

------
#### [ JSON ]

****  

```
{
     "Version":"2012-10-17",		 	 	 
     "Statement": [
         {
             "Effect": "Allow",
             "Action": [
                 "resiliencehub:List*",
                 "resiliencehub:Describe*"
             ],
             "Resource": "*"
         }
     ]
 }
```

------

## Consentire agli utenti di visualizzare le loro autorizzazioni
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Elenco delle applicazioni disponibili AWS Resilience Hub
<a name="security-iam-policy-examples-list-apps"></a>

La seguente politica concede agli utenti il permesso di elencare AWS Resilience Hub le applicazioni disponibili.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PolicyExample",
      "Effect": "Allow",
      "Action": [
          "resiliencehub:ListApps"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
```

------

## Avvio di una valutazione dell'applicazione
<a name="security-iam-policy-examples-start-app-assessment"></a>

La seguente politica concede agli utenti il permesso di avviare una valutazione per un' AWS Resilience Hub applicazione specifica.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PolicyExample",
      "Effect": "Allow",
      "Action": [
          "resiliencehub:StartAppAssessment"
      ],
      "Resource": [
        "arn:aws:resiliencehub:*:*:app/appId"
      ]
    }
  ]
}
```

------

## Eliminazione di una valutazione dell'applicazione
<a name="security-iam-policy-examples-delete-app-assessment"></a>

La seguente politica concede agli utenti l'autorizzazione a eliminare una valutazione per un'applicazione specifica AWS Resilience Hub .

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PolicyExample",
      "Effect": "Allow",
      "Action": [
          "resiliencehub:DeleteAppAssessment"
      ],
      "Resource": [
        "arn:aws:resiliencehub:*:*:app/appId"
      ]
    }
  ]
}
```

------

## Creazione di un modello di raccomandazione per un'applicazione specifica
<a name="security-iam-policy-examples-create-app-reco-template"></a>

La seguente politica concede agli utenti l'autorizzazione a creare un modello di raccomandazione per un' AWS Resilience Hub applicazione specifica.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PolicyExample",
      "Effect": "Allow",
      "Action": [
          "resiliencehub:CreateRecommendationTemplate"
      ],
      "Resource": [
        "arn:aws:resiliencehub:*:*:app/appId"
      ]
    }
  ]
}
```

------

## Eliminazione di un modello di raccomandazione per un'applicazione specifica
<a name="security-iam-policy-examples-delete-app-reco-template"></a>

La seguente politica concede agli utenti l'autorizzazione a eliminare un modello di raccomandazione per un'applicazione specifica AWS Resilience Hub .

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PolicyExample",
      "Effect": "Allow",
      "Action": [
          "resiliencehub:DeleteRecommendationTemplate"
      ],
      "Resource": [
        "arn:aws:resiliencehub:*:*:app/appId"
      ]
    }
  ]
}
```

------

## Aggiornamento di un'applicazione con una politica di resilienza specifica
<a name="security-iam-policy-examples-update-app-resiliency-policy"></a>

La seguente politica concede agli utenti l'autorizzazione ad aggiornare un' AWS Resilience Hub applicazione con una politica di resilienza specifica.

# Configura ruoli e autorizzazioni IAM
<a name="setting-up-permissions"></a>

AWS Resilience Hub ti consente di configurare i ruoli IAM che desideri utilizzare durante l'esecuzione delle valutazioni per la tua applicazione. Esistono diversi modi di configurazione per ottenere AWS Resilience Hub l'accesso in sola lettura alle risorse dell'applicazione. Tuttavia, AWS Resilience Hub consiglia le seguenti modalità:
+ **Accesso basato sul ruolo**: questo ruolo viene definito e utilizzato nell'account corrente. AWS Resilience Hub assumerà questo ruolo per accedere alle risorse dell'applicazione.

  Per fornire un accesso basato sui ruoli, il ruolo deve includere quanto segue: 
  + Autorizzazione di sola lettura per leggere le risorse (AWS Resilience Hub consiglia di utilizzare la `AWSResilienceHubAsssessmentExecutionPolicy` politica gestita).
  + Politica di fiducia per l'assunzione di questo ruolo, che consente a AWS Resilience Hub Service Principal di assumerlo. Se non hai un ruolo di questo tipo configurato nel tuo account, AWS Resilience Hub verranno visualizzate le istruzioni per creare quel ruolo. Per ulteriori informazioni, consulta [Autorizzazioni di configurazione](setup-permissions.md).
**Nota**  
Se fornisci solo il nome del ruolo dell'invoker e se le tue risorse si trovano in un altro account, AWS Resilience Hub utilizzerà questo nome di ruolo negli altri account per accedere alle risorse tra account. Facoltativamente, puoi configurare il ruolo ARNs per altri account, che verranno utilizzati al posto del nome del ruolo invoker.
+ **Accesso utente IAM corrente**: AWS Resilience Hub utilizzerà l'utente IAM corrente per accedere alle risorse dell'applicazione. Quando le tue risorse si trovano in un account diverso, AWS Resilience Hub assumerà i seguenti ruoli IAM per accedere alle risorse: 
  + `AwsResilienceHubAdminAccountRole`nell'account corrente
  + `AwsResilienceHubExecutorAccountRole`in altri conti

  Inoltre, quando configuri una valutazione pianificata, AWS Resilience Hub assumerà il `AwsResilienceHubPeriodicAssessmentRole` ruolo. Tuttavia, l'utilizzo non `AwsResilienceHubPeriodicAssessmentRole` è consigliato perché è necessario configurare manualmente ruoli e autorizzazioni e alcune funzionalità (come la **notifica Drift**) potrebbero non funzionare come previsto.

# Risoluzione dei problemi relativi all'identità e all'accesso a AWS Resilience Hub
<a name="security_iam_troubleshoot"></a>

Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con AWS Resilience Hub e IAM.

**Topics**
+ [Non sono autorizzato a eseguire un'azione in AWS Resilience Hub](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle risorse del mio AWS Resilience Hub](#security_iam_troubleshoot-cross-account-access)

## Non sono autorizzato a eseguire un'azione in AWS Resilience Hub
<a name="security_iam_troubleshoot-no-permissions"></a>

Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.

L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `resiliencehub:GetWidget` fittizie.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: resiliencehub:GetWidget on resource: my-example-widget
```

In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `resiliencehub:GetWidget`.

Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.

## Non sono autorizzato a eseguire iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo a AWS Resilience Hub.

Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.

Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in AWS Resilience Hub. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.

Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.

## Voglio consentire a persone esterne a me di accedere Account AWS alle risorse del mio AWS Resilience Hub
<a name="security_iam_troubleshoot-cross-account-access"></a>

È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.

Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se AWS Resilience Hub supporta queste funzionalità, consulta. [Come funziona AWS Resilience Hub con IAM](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.

# AWS Resilience Hub riferimento alle autorizzazioni di accesso
<a name="security-iam-resilience-hub-permissions"></a>

È possibile utilizzare AWS Identity and Access Management (IAM) per gestire l'accesso alle risorse dell'applicazione e creare policy IAM applicabili a utenti, gruppi o ruoli.

Ogni AWS Resilience Hub applicazione può essere configurata per utilizzare [Ruolo invoker](security-iam-resilience-hub-invoker-role.md) (un ruolo IAM) o utilizzare le attuali autorizzazioni utente IAM (insieme a una serie di ruoli predefiniti per la valutazione pianificata e tra più account). In questo ruolo, puoi allegare una policy che definisce le autorizzazioni richieste AWS Resilience Hub per accedere ad altre AWS risorse o risorse applicative. Il ruolo invoker deve avere una politica di fiducia che viene aggiunta a AWS Resilience Hub Service Principal.

Per gestire le autorizzazioni per la tua applicazione, ti consigliamo di utilizzare. [AWS politiche gestite per AWS Resilience Hub](security-iam-awsmanpol.md) È possibile utilizzare queste politiche gestite senza alcuna modifica oppure utilizzarle come punto di partenza per scrivere politiche restrittive personalizzate. Le politiche possono limitare le autorizzazioni degli utenti a livello di risorsa per diverse azioni utilizzando condizioni opzionali aggiuntive.

Se le risorse dell'applicazione si trovano in account diversi (account secondari/di risorse), è necessario impostare un nuovo ruolo in ogni account che contiene le risorse dell'applicazione. 

**Nota**  
Se definisci gli endpoint VPC per le tue risorse di carico di lavoro, assicurati che le policy degli endpoint VPC forniscano l'accesso in sola lettura per l'accesso alle risorse. AWS Resilience Hub Per ulteriori informazioni, consulta [Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html).

**Argomenti**
+ [Utilizzo del ruolo IAM](security-iam-resilience-hub-using-iam-role.md)
+ [Utilizzo delle attuali autorizzazioni utente IAM](security-iam-resilience-hub-current-user-permissions.md)

# Utilizzo del ruolo IAM
<a name="security-iam-resilience-hub-using-iam-role"></a>

AWS Resilience Hub utilizzerà un ruolo IAM esistente predefinito per accedere alle risorse nell'account o secondary/resources nell'account principale. Questa è l'opzione di autorizzazione consigliata per accedere alle tue risorse.

**Argomenti**
+ [Ruolo invoker](security-iam-resilience-hub-invoker-role.md)
+ [Ruoli in AWS account diversi per l'accesso su più account - opzionale](security-iam-resilience-cross-account-roles.md)

# Ruolo invoker
<a name="security-iam-resilience-hub-invoker-role"></a>

Il ruolo AWS Resilience Hub invoker è un ruolo AWS Identity and Access Management (IAM) che AWS Resilience Hub presuppone l'accesso a servizi e risorse. AWS Ad esempio, potresti creare un ruolo invoker con il permesso di accedere al tuo modello CFN e alla risorsa che crea. Questa pagina fornisce informazioni su come creare, visualizzare e gestire un ruolo Application Invoker.

Quando si crea un'applicazione, si fornisce un ruolo di invoker. AWS Resilience Hub assume questo ruolo per accedere alle risorse quando si importano risorse o si avvia una valutazione. AWS Resilience Hub Per assumere correttamente il ruolo di invoker, la politica di fiducia del ruolo deve specificare il AWS Resilience Hub service principal (**resiliencehub.amazonaws.com**) come servizio affidabile.

******Per visualizzare il ruolo di invoker dell'applicazione, scegli **Applicazioni dal riquadro di navigazione, quindi scegli Aggiorna autorizzazioni** dal menu Azioni nella pagina Applicazione.****** 

È possibile aggiungere o rimuovere le autorizzazioni da un ruolo di richiamo dell'applicazione in qualsiasi momento oppure configurare l'applicazione in modo che utilizzi un ruolo diverso per l'accesso alle risorse dell'applicazione.

**Argomenti**
+ [Creazione di un ruolo invoker nella console IAM](#security-iam-resilience-hub-create-invoker-role)
+ [Gestione dei ruoli con l'API IAM](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [Definizione della politica di fiducia utilizzando il file JSON](#security-iam-resilience-define-policy)

## Creazione di un ruolo invoker nella console IAM
<a name="security-iam-resilience-hub-create-invoker-role"></a>

Per abilitare l'accesso AWS Resilience Hub a AWS servizi e risorse, devi creare un ruolo invoker nell'account principale utilizzando la console IAM. Per ulteriori informazioni sulla creazione di ruoli utilizzando la console IAM, consulta [Creating a role for an AWS service (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console).

**Per creare un ruolo invoker nell'account primario utilizzando la console IAM**

1. Aprire la console IAM all'indirizzo `https://console.aws.amazon.com/iam/`.

1. Dal riquadro di navigazione, scegli **Ruoli**, quindi scegli **Crea** ruolo.

1. Seleziona **Criteri di fiducia personalizzati**, copia i seguenti criteri nella finestra **Criteri di fiducia personalizzati**, quindi scegli **Avanti**. 
**Nota**  
Se le tue risorse si trovano in account diversi, devi creare un ruolo in ciascuno di questi account e utilizzare la politica di fiducia degli account secondari per gli altri account.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "resiliencehub.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. Nella sezione **Politiche di autorizzazione** della pagina **Aggiungi autorizzazioni**, inserisci `AWSResilienceHubAsssessmentExecutionPolicy` la sezione **Filtra le politiche per proprietà o nome della politica e premi invio**.

1. **Seleziona la politica e scegli Avanti.**

1. Nella sezione **Dettagli del ruolo**, inserisci un nome di ruolo univoco (ad esempio`AWSResilienceHubAssessmentRole`) nella casella **Nome ruolo**.

   Questo campo accetta solo caratteri alfanumerici e «`+=,.@-_/`».

1. (Facoltativo) Inserisci una descrizione del ruolo nella casella **Descrizione**.

1. Selezionare **Crea ruolo**.

   Per modificare i casi d'uso e le autorizzazioni, nel passaggio 6, scegli il pulsante **Modifica** che si trova a destra delle sezioni **Passaggio 1: Seleziona entità attendibili** o **Passaggio 2: Aggiungi autorizzazioni**.

Dopo aver creato il ruolo invoker e il ruolo di risorsa (se applicabile), puoi configurare l'applicazione per utilizzare questi ruoli.

**Nota**  
È necessario disporre di un'`iam:passRole`autorizzazione nel proprio IAM corrente user/role per il ruolo invoker durante la creazione o l'aggiornamento dell'applicazione. Tuttavia, non è necessaria questa autorizzazione per eseguire una valutazione.

## Gestione dei ruoli con l'API IAM
<a name="security-iam-resilience-hub-manage-roles-with-IAM-API"></a>

La politica di fiducia di un ruolo fornisce al principale specificato il permesso di assumere il ruolo. Per creare i ruoli usando AWS Command Line Interface (AWS CLI), usa il `create-role` comando. Durante l'utilizzo di questo comando, è possibile specificare la politica di fiducia in linea. L'esempio seguente mostra come concedere al AWS Resilience Hub servizio l'autorizzazione principale per assumere il proprio ruolo.

**Nota**  
Il requisito per evitare le virgolette (`' '`) nella stringa JSON può variare in base alla versione della shell.

**Esempio `create-role`**

```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
  "Version": "2012-10-17",		 	 	 "Statement": 
  [
    { 
      "Effect": "Allow",
      "Principal": {"Service": "resiliencehub.amazonaws.com"},
      "Action": "sts:AssumeRole"
    }
  ]
}'
```

## Definizione della politica di fiducia utilizzando il file JSON
<a name="security-iam-resilience-define-policy"></a>

È possibile definire la politica di fiducia per il ruolo utilizzando un file JSON separato e quindi eseguire il `create-role` comando. Nell'esempio seguente, **`trust-policy.json`**è un file che contiene la politica di fiducia nella directory corrente. Questa politica è associata a un ruolo mediante l'esecuzione del **`create-role`**comando. L'output del `create-role` comando è mostrato nell'**output di esempio**. Per aggiungere autorizzazioni al ruolo, usa il **attach-policy-to-role**comando e puoi iniziare aggiungendo la politica `AWSResilienceHubAsssessmentExecutionPolicy` gestita. Per ulteriori informazioni su questa politica gestita, consulta[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).

**Esempio `trust-policy.json`**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": "resiliencehub.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }]
}
```

------

**Esempio `create-role`**

`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`

**Esempio di output**

**Esempio `attach-policy-to-role`**

`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`

# Ruoli in AWS account diversi per l'accesso su più account - opzionale
<a name="security-iam-resilience-cross-account-roles"></a>

Se le risorse si trovano negli secondary/resource account, è necessario creare ruoli in ciascuno di questi account AWS Resilience Hub per consentire una corretta valutazione della candidatura. La procedura di creazione del ruolo è simile al processo di creazione del ruolo dell'invoker, ad eccezione della configurazione della politica di fiducia.

**Nota**  
È necessario creare i ruoli negli account secondari in cui si trovano le risorse.

**Argomenti**
+ [Creazione di un ruolo nella console IAM per secondary/resource gli account](#security-iam-resilience-cross-create-roles-infra-account)
+ [Gestione dei ruoli con l'API IAM](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [Definizione della politica di fiducia utilizzando il file JSON](#security-iam-resilience-cross-define-trust-policy-infra-account)

## Creazione di un ruolo nella console IAM per secondary/resource gli account
<a name="security-iam-resilience-cross-create-roles-infra-account"></a>

Per consentire l'accesso AWS Resilience Hub ai AWS servizi e alle risorse in altri AWS account, devi creare ruoli in ciascuno di questi account.

**Per creare un ruolo nella console IAM per secondary/resource gli account utilizzando la console IAM**

1. Aprire la console IAM all'indirizzo `https://console.aws.amazon.com/iam/`.

1. Dal pannello di navigazione, scegli **Ruoli**, quindi scegli **Crea ruolo**.

1. Seleziona **Criteri di fiducia personalizzati**, copia i seguenti criteri nella finestra **Criteri di fiducia personalizzati**, quindi scegli **Avanti**. 
**Nota**  
Se le tue risorse si trovano in account diversi, devi creare un ruolo in ciascuno di questi account e utilizzare la politica di fiducia degli account secondari per gli altri account.

1. Nella sezione **Politiche di autorizzazione** della pagina **Aggiungi autorizzazioni**, inserisci `AWSResilienceHubAsssessmentExecutionPolicy` la sezione **Filtra le politiche per proprietà o nome della politica e premi invio**.

1. **Seleziona la politica e scegli Avanti.**

1. Nella sezione **Dettagli del ruolo**, inserisci un nome di ruolo univoco (ad esempio`AWSResilienceHubAssessmentRole`) nella casella **Nome ruolo**. 

1. (Facoltativo) Inserisci una descrizione del ruolo nella casella **Descrizione**.

1. Selezionare **Crea ruolo**.

   Per modificare i casi d'uso e le autorizzazioni, nel passaggio 6, scegli il pulsante **Modifica** che si trova a destra delle sezioni **Passaggio 1: Seleziona entità attendibili** o **Passaggio 2: Aggiungi autorizzazioni**.

Inoltre, devi anche aggiungere l'`sts:assumeRole`autorizzazione al ruolo di invoker per consentirgli di assumere i ruoli nei tuoi account secondari.

Aggiungi la seguente politica al tuo ruolo di invoker per ciascuno dei ruoli secondari che hai creato:

```
{
    "Effect": "Allow",
    "Resource": [
      "arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
      "arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
      ...
      ],
      "Action": [
        "sts:AssumeRole"
      ]
}
```

### Gestione dei ruoli con l'API IAM
<a name="security-iam-resilience-cross-create-roles-infra-account-api"></a>

La politica di fiducia di un ruolo fornisce al principale specificato il permesso di assumere il ruolo. Per creare i ruoli usando AWS Command Line Interface (AWS CLI), usa il `create-role` comando. Quando utilizzi questo comando, puoi specificare la policy di attendibilità in linea. L'esempio seguente mostra come concedere al responsabile del AWS Resilience Hub servizio l'autorizzazione ad assumere il proprio ruolo.

**Nota**  
Il requisito per evitare le virgolette (`' '`) nella stringa JSON può variare in base alla versione della shell.

**Esempio `create-role`**

```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17",		 	 	 "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```

Puoi inoltre definire la policy di attendibilità per il ruolo utilizzando un file JSON separato. Nell'esempio seguente, `trust-policy.json` è un file che si trova nella directory attuale.

### Definizione della politica di fiducia utilizzando il file JSON
<a name="security-iam-resilience-cross-define-trust-policy-infra-account"></a>

È possibile definire la politica di fiducia per il ruolo utilizzando un file JSON separato e quindi eseguire il `create-role` comando. Nell'esempio seguente, **`trust-policy.json`**è un file che contiene la politica di fiducia nella directory corrente. Questa politica è associata a un ruolo mediante l'esecuzione del **`create-role`**comando. L'output del `create-role` comando è mostrato nell'**output di esempio**. Per aggiungere autorizzazioni a un ruolo, usa il **attach-policy-to-role**comando e puoi iniziare aggiungendo la politica `AWSResilienceHubAsssessmentExecutionPolicy` gestita. Per ulteriori informazioni su questa politica gestita, consulta[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).

**Esempio `trust-policy.json`**

**Esempio `create-role`**

```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```

**Esempio di output**

**Esempio `attach-policy-to-role`**

`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.

# Utilizzo delle attuali autorizzazioni utente IAM
<a name="security-iam-resilience-hub-current-user-permissions"></a>

Utilizza questo metodo se desideri utilizzare le tue attuali autorizzazioni utente IAM per creare ed eseguire una valutazione. Puoi allegare la policy `AWSResilienceHubAsssessmentExecutionPolicy` gestita al tuo utente IAM o a un ruolo associato al tuo utente. 

## Configurazione di un account singolo
<a name="w2aac21c23c41c19b5"></a>

L'utilizzo della policy gestita sopra menzionata è sufficiente per eseguire una valutazione su un'applicazione gestita nello stesso account dell'utente IAM.

## Configurazione della valutazione pianificata
<a name="w2aac21c23c41c19b7"></a>

È necessario creare un nuovo ruolo `AwsResilienceHubPeriodicAssessmentRole` per consentire l'esecuzione AWS Resilience Hub di attività relative alla valutazione pianificata.

**Nota**  
Durante l'utilizzo dell'accesso basato sui ruoli (con il ruolo di invoker menzionato sopra) questo passaggio non è richiesto.
Il nome del ruolo deve essere. `AwsResilienceHubPeriodicAssessmentRole`

**Per consentire AWS Resilience Hub l'esecuzione di attività pianificate relative alla valutazione**

1. Collegare la policy gestita `AWSResilienceHubAsssessmentExecutionPolicy` al ruolo.

1. Aggiungi la seguente politica, `primary_account_id` dov'è l' AWS account in cui è definita l'applicazione e dove verrà eseguita la valutazione. Inoltre, è necessario aggiungere la politica di attendibilità associata per il ruolo della valutazione pianificata, (`AwsResilienceHubPeriodicAssessmentRole`), che concede le autorizzazioni affinché il AWS Resilience Hub servizio assuma il ruolo della valutazione pianificata.

   **Politica di fiducia per il ruolo della valutazione pianificata () `AwsResilienceHubPeriodicAssessmentRole`**

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "resiliencehub.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

## Configurazione tra più account
<a name="w2aac21c23c41c19b9"></a>

Le seguenti policy di autorizzazione IAM sono necessarie se utilizzi AWS Resilience Hub con più account. Ogni AWS account potrebbe richiedere autorizzazioni diverse a seconda del caso d'uso. Durante la configurazione AWS Resilience Hub per l'accesso tra account diversi, vengono presi in considerazione i seguenti account e ruoli: 
+ **Account principale**: AWS account in cui si desidera creare l'applicazione ed eseguire le valutazioni.
+ **Account secondario/di risorse**: AWS account in cui si trovano le risorse.

**Nota**  
Durante l'utilizzo dell'accesso basato sui ruoli (con il ruolo di invoker menzionato sopra) questo passaggio non è richiesto. 
Per ulteriori informazioni sulla configurazione delle autorizzazioni per accedere ad Amazon Elastic Kubernetes Service, consulta. [Abilitazione AWS Resilience Hub dell'accesso al tuo cluster Amazon Elastic Kubernetes Service](enabling-eks-in-arh.md)

### Configurazione dell'account principale
<a name="w2aac21c23c41c19b9b9"></a>

È necessario creare un nuovo ruolo `AwsResilienceHubAdminAccountRole` nell'account principale e abilitare AWS Resilience Hub l'accesso per assumerlo. Questo ruolo verrà utilizzato per accedere a un altro ruolo nel tuo AWS account che contiene le tue risorse. Non dovrebbe avere le autorizzazioni per leggere le risorse.

**Nota**  
Il nome del ruolo deve essere`AwsResilienceHubAdminAccountRole`.
Deve essere creato nell'account principale.
Il tuo IAM attuale user/role deve avere l'`iam:assumeRole`autorizzazione per assumere questo ruolo.
`secondary_account_id_1/2/...`Sostituiscilo con gli identificatori di account secondari pertinenti.

La seguente politica fornisce le autorizzazioni di esecutore al tuo ruolo per accedere alle risorse in un altro ruolo del tuo account: AWS 

La politica di fiducia per il ruolo di amministratore (`AwsResilienceHubAdminAccountRole`) è la seguente:

### Configurazione degli account secondari/di risorsa
<a name="w2aac21c23c41c19b9c11"></a>

In ciascuno dei tuoi account secondari, devi crearne uno nuovo `AwsResilienceHubExecutorAccountRole` e abilitare il ruolo di amministratore creato sopra per assumere questo ruolo. Poiché questo ruolo verrà utilizzato AWS Resilience Hub per analizzare e valutare le risorse dell'applicazione, richiederà anche le autorizzazioni appropriate.

Tuttavia, è necessario allegare la politica `AWSResilienceHubAsssessmentExecutionPolicy` gestita al ruolo e la politica del ruolo di esecutore.

La politica di attendibilità del ruolo dell'esecutore è la seguente:

# AWS politiche gestite per AWS Resilience Hub
<a name="security-iam-awsmanpol"></a>





Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.













## AWSResilienceHubAsssessmentExecutionPolicy
<a name="security_iam_aws-assessment-policy"></a>

 Puoi collegarli `AWSResilienceHubAsssessmentExecutionPolicy` alle tue identità IAM. Durante l'esecuzione di una valutazione, questa policy concede le autorizzazioni di accesso ad altri AWS servizi per l'esecuzione delle valutazioni. 

### Dettagli dell’autorizzazione
<a name="w2aac21c23c44c47b5"></a>

Questa politica fornisce autorizzazioni adeguate per pubblicare allarmi AWS FIS e modelli SOP nel tuo bucket Amazon Simple Storage Service (Amazon S3). Il nome del bucket Amazon S3 deve iniziare con. `aws-resilience-hub-artifacts-` Se desideri pubblicare su un altro bucket Amazon S3, puoi farlo chiamando l'API. `CreateRecommendationTemplate` Per ulteriori informazioni, consulta [CreateRecommendationTemplate](https://docs.aws.amazon.com/resilience-hub/latest/APIReference/API_CreateRecommendationTemplate.html).

Questa policy include le seguenti autorizzazioni:
+ Amazon CloudWatch (CloudWatch): riceve tutti gli allarmi implementati che configuri in Amazon CloudWatch per monitorare l'applicazione. Inoltre, pubblichiamo `cloudwatch:PutMetricData` le CloudWatch metriche per il punteggio di resilienza dell'applicazione nel namespace. `ResilienceHub`
+ Amazon Data Lifecycle Manager: ottiene e fornisce `Describe` le autorizzazioni per le risorse Amazon Data Lifecycle Manager associate al tuo account. AWS 
+ Amazon DevOps Guru: elenca e fornisce `Describe` le autorizzazioni per le risorse Amazon DevOps Guru associate al tuo account. AWS 
+ Amazon DocumentDB: elenca e fornisce `Describe` le autorizzazioni per le risorse Amazon DocumentDB associate al tuo account. AWS 
+ Amazon DynamoDB (DynamoDB): elenca e fornisce le `Describe` autorizzazioni per le risorse Amazon DynamoDB associate al tuo account. AWS 
+ Amazon ElastiCache (ElastiCache): fornisce `Describe` le autorizzazioni per ElastiCache le risorse associate al tuo AWS account.
+ Amazon ElastiCache (Redis OSS) Serverless (ElastiCache (Redis OSS) Serverless): fornisce `Describe` le autorizzazioni per le configurazioni serverless ElastiCache (Redis OSS) associate al tuo account. AWS 
+ Amazon Elastic Compute Cloud (Amazon EC2): elenca e fornisce le autorizzazioni `Describe` per le risorse Amazon EC2 associate al tuo account. AWS 
+ Amazon Elastic Container Registry (Amazon ECR): fornisce `Describe` le autorizzazioni per le risorse Amazon ECR associate al tuo account. AWS 
+ Amazon Elastic Container Service (Amazon ECS) — Fornisce `Describe` le autorizzazioni per le risorse Amazon ECS associate al tuo account. AWS 
+ Amazon Elastic File System (Amazon EFS): fornisce `Describe` autorizzazioni per le risorse Amazon EFS associate al tuo AWS account.
+ Amazon Elastic Kubernetes Service (Amazon EKS): elenca e `Describe` fornisce le autorizzazioni per le risorse Amazon EKS associate al tuo account. AWS 
+ Amazon EC2 Auto Scaling: elenca `Describe` e fornisce le autorizzazioni per le risorse Amazon EC2 Auto Scaling associate al tuo account. AWS 
+ Amazon EC2 Systems Manager (SSM): `Describe` fornisce le autorizzazioni per le risorse SSM associate al tuo account. AWS 
+ AWS Fault Injection Service (AWS FIS) — Elenca e fornisce `Describe` le autorizzazioni per AWS FIS esperimenti e modelli di esperimenti associati al tuo account. AWS 
+ Amazon FSx for Windows File Server (Amazon FSx): elenca e fornisce `Describe` le autorizzazioni per FSx le risorse Amazon associate al tuo AWS account.
+ Amazon RDS: elenca e fornisce `Describe` le autorizzazioni per le risorse Amazon RDS associate al tuo account. AWS 
+ Amazon Route 53 (Route 53): elenca e fornisce `Describe` le autorizzazioni per le risorse Route 53 associate al tuo AWS account.
+ Amazon Route 53 Resolver — Elenca e fornisce `Describe` le autorizzazioni per Amazon Route 53 Resolver le risorse associate al tuo AWS account.
+ Amazon Simple Notification Service (Amazon SNS): elenca e `Describe` fornisce le autorizzazioni per le risorse Amazon SNS associate al tuo account. AWS 
+ Amazon Simple Queue Service (Amazon SQS): elenca e fornisce le autorizzazioni `Describe` per le risorse Amazon SQS associate al tuo account. AWS 
+ Amazon Simple Storage Service (Amazon S3): elenca e `Describe` fornisce le autorizzazioni per le risorse Amazon S3 associate al tuo account. AWS 
**Nota**  
Durante l'esecuzione di una valutazione, se mancano delle autorizzazioni che devono essere aggiornate dalle policy gestite, AWS Resilience Hub completerà correttamente la valutazione utilizzando s3: permission. GetBucketLogging Tuttavia, AWS Resilience Hub mostrerà un messaggio di avviso che elenca le autorizzazioni mancanti e fornirà un periodo di grazia per aggiungerle. Se non aggiungi le autorizzazioni mancanti entro il periodo di prova specificato, la valutazione avrà esito negativo.
+ AWS Backup — Elenca e ottiene `Describe` le autorizzazioni per le risorse Amazon EC2 Auto Scaling associate al tuo account. AWS 
+ AWS CloudFormation — Elenca e ottiene `Describe` le autorizzazioni per le risorse sugli AWS CloudFormation stack associati al tuo account. AWS 
+ AWS DataSync — Elenca e fornisce `Describe` le autorizzazioni per AWS DataSync le risorse associate all'account. AWS 
+ Directory Service — Elenca e fornisce `Describe` le autorizzazioni per Directory Service le risorse associate all'account AWS .
+ Ripristino di emergenza di elastico di AWS (Elastic Disaster Recovery) — Fornisce `Describe` le autorizzazioni per le risorse Elastic Disaster Recovery associate all'account AWS .
+ AWS Lambda (Lambda): elenca e fornisce le `Describe` autorizzazioni per le risorse Lambda associate all'account. AWS 
+ AWS Resource Groups (Resource Groups): elenca e fornisce `Describe` le autorizzazioni per le risorse Resource Groups associate all' AWS account.
+ AWS Service Catalog (Service Catalog): elenca e fornisce `Describe` le autorizzazioni per le risorse del Service Catalog associate all' AWS account dell'utente.
+ AWS Step Functions — Elenca e fornisce `Describe` le autorizzazioni per AWS Step Functions le risorse associate all'account AWS .
+ Elastic Load Balancing: elenca e fornisce `Describe` le autorizzazioni per le risorse Elastic Load Balancing associate all'account. AWS 
+ `ssm:GetParametersByPath`— Utilizziamo questa autorizzazione per gestire CloudWatch allarmi, test o quelli configurati per SOPs l'applicazione.

La seguente policy IAM è necessaria affinché un AWS account aggiunga le autorizzazioni per utenti, gruppi di utenti e ruoli che forniscono le autorizzazioni necessarie al team per accedere ai AWS servizi durante l'esecuzione delle valutazioni.

## AWS Resilience Hub aggiornamenti alle politiche gestite AWS
<a name="security-iam-awsmanpol-updates"></a>



Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS Resilience Hub da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei AWS Resilience Hub documenti.




| Modifica | Descrizione | Data | 
| --- | --- | --- | 
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy)— Modifica | AWS Resilience Hub ha aggiornato AWSResilienceHubAsssessmentExecutionPolicy la concessione List e Get le autorizzazioni per consentire l'accesso agli esperimenti AWS FIS durante l'esecuzione delle valutazioni. | 17 dicembre 2024 | 
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy)— Modifica | AWS Resilience Hub è stato aggiornato AWSResilienceHubAsssessmentExecutionPolicy per concedere Describe le autorizzazioni per consentire l'accesso a risorse e configurazioni su Amazon ElastiCache (Redis OSS) Serverless durante l'esecuzione delle valutazioni. | 25 settembre 2024 | 
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy)— Modifica | AWS Resilience Hub è stato aggiornato AWSResilienceHubAsssessmentExecutionPolicy per concedere Describe le autorizzazioni necessarie per consentire l'accesso a risorse e configurazioni su Amazon DocumentDB, Elastic Load Balancing e durante l'esecuzione delle valutazioni. AWS Lambda  | 1 agosto 2024 | 
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy)— Cambia | AWS Resilience Hub l'ho aggiornato AWSResilienceHubAsssessmentExecutionPolicy per concedere Describe le autorizzazioni per consentirti di leggere la configurazione di Amazon FSx for Windows File Server durante l'esecuzione delle valutazioni. | 26 marzo 2024 | 
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy)— Modifica | AWS Resilience Hub aggiornato AWSResilienceHubAsssessmentExecutionPolicy per concedere Describe le autorizzazioni per consentire la lettura della AWS Step Functions configurazione durante l'esecuzione delle valutazioni. | 30 ottobre 2023 | 
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy)— Modifica | AWS Resilience Hub l'ho aggiornato AWSResilienceHubAsssessmentExecutionPolicy per concedere Describe le autorizzazioni per consentirti di accedere alle risorse su Amazon RDS durante l'esecuzione delle valutazioni. | 5 ottobre 2023 | 
|  [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy)— Nuovo  |  Questa AWS Resilience Hub politica fornisce l'accesso ad altri AWS servizi per l'esecuzione delle valutazioni.  | 26 giugno 2023 | 
|  AWS Resilience Hub ha iniziato a tenere traccia delle modifiche  |  AWS Resilience Hub ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite.  | 15 giugno 2023 | 

# AWS Resilience Hub riferimenti alle persone e alle autorizzazioni IAM
<a name="security-iam-resilience-hub-personas"></a>

Puoi concedere le autorizzazioni IAM ai personaggi con cui è necessario lavorare AWS Resilience Hub utilizzando policy `AWSResilienceHubAsssessmentExecutionPolicy` AWS gestite e una delle seguenti policy specifiche per ogni persona. Per ulteriori informazioni sulla policy AWS gestita, consulta. [AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy)

**Topics**
+ [Autorizzazioni IAM per la persona del gestore delle applicazioni dell'infrastruttura](#iam-infra-continuity-manager)
+ [Autorizzazioni IAM per la persona del responsabile della continuità operativa](#iam-business-continuity-manager)
+ [Autorizzazioni IAM per la persona del proprietario dell'applicazione](#iam-application-owner)
+ [Autorizzazioni IAM per la concessione dell'accesso in sola lettura](#iam-read-only-access)

## Autorizzazioni IAM per la persona del gestore delle applicazioni dell'infrastruttura
<a name="iam-infra-continuity-manager"></a>

La seguente politica concede le autorizzazioni necessarie richieste per il personaggio del gestore delle applicazioni dell'infrastruttura.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "InfrastructureApplicationManager",
      "Effect": "Allow",
      "Action": [
        "resiliencehub:AddDraftAppVersionResourceMappings",
        "resiliencehub:CreateAppVersionAppComponent",
        "resiliencehub:CreateAppVersionResource",
        "resiliencehub:CreateRecommendationTemplate",
        "resiliencehub:DeleteAppAssessment",
        "resiliencehub:DeleteAppInputSource",
        "resiliencehub:DeleteAppVersionAppComponent",
        "resiliencehub:DeleteAppVersionResource",
        "resiliencehub:DeleteRecommendationTemplate",
        "resiliencehub:Describe*",
        "resiliencehub:List*",
        "resiliencehub:PublishAppVersion",
        "resiliencehub:PutDraftAppVersionTemplate",
        "resiliencehub:RemoveDraftAppVersionResourceMappings",
        "resiliencehub:ResolveAppVersionResources",
        "resiliencehub:StartAppAssessment",
        "resiliencehub:TagResource",
        "resiliencehub:UntagResource",
        "resiliencehub:UpdateAppVersion",
        "resiliencehub:UpdateAppVersionAppComponent",
        "resiliencehub:UpdateAppVersionResource"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## Autorizzazioni IAM per la persona del responsabile della continuità operativa
<a name="iam-business-continuity-manager"></a>

La seguente politica concede le autorizzazioni necessarie richieste per il ruolo di Business continuity manager.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "BusinessContinuityManager",
      "Effect": "Allow",
      "Action": [
        "resiliencehub:CreateResiliencyPolicy",
        "resiliencehub:DeleteResiliencyPolicy",
        "resiliencehub:Describe*",
        "resiliencehub:List*",
        "resiliencehub:ResolveAppVersionResources",
        "resiliencehub:TagResource",
        "resiliencehub:UntagResource",
        "resiliencehub:UpdateAppVersion",
        "resiliencehub:UpdateAppVersionAppComponent",
        "resiliencehub:UpdateAppVersionResource",
        "resiliencehub:UpdateResiliencyPolicy"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## Autorizzazioni IAM per la persona del proprietario dell'applicazione
<a name="iam-application-owner"></a>

La seguente politica concede le autorizzazioni necessarie richieste per la persona del proprietario dell'Applicazione.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "ApplicationOwner",
      "Effect": "Allow",
      "Action": [
        "resiliencehub:AddDraftAppVersionResourceMappings",
        "resiliencehub:BatchUpdateRecommendationStatus",
        "resiliencehub:CreateApp",
        "resiliencehub:CreateAppVersionAppComponent",
        "resiliencehub:CreateAppVersionResource",
        "resiliencehub:CreateRecommendationTemplate",
        "resiliencehub:CreateResiliencyPolicy",
        "resiliencehub:DeleteApp",
        "resiliencehub:DeleteAppAssessment",
        "resiliencehub:DeleteAppInputSource",
        "resiliencehub:DeleteAppVersionAppComponent",
        "resiliencehub:DeleteAppVersionResource",
        "resiliencehub:DeleteRecommendationTemplate",
        "resiliencehub:DeleteResiliencyPolicy",
        "resiliencehub:Describe*",
        "resiliencehub:ImportResourcesToDraftAppVersion",
        "resiliencehub:List*",
        "resiliencehub:PublishAppVersion",
        "resiliencehub:PutDraftAppVersionTemplate",
        "resiliencehub:RemoveDraftAppVersionResourceMappings",
        "resiliencehub:ResolveAppVersionResources",
        "resiliencehub:StartAppAssessment",
        "resiliencehub:TagResource",
        "resiliencehub:UntagResource",
        "resiliencehub:UpdateApp",
        "resiliencehub:UpdateAppVersion",
        "resiliencehub:UpdateAppVersionAppComponent",
        "resiliencehub:UpdateAppVersionResource",
        "resiliencehub:UpdateResiliencyPolicy"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## Autorizzazioni IAM per la concessione dell'accesso in sola lettura
<a name="iam-read-only-access"></a>

La seguente policy concede le autorizzazioni necessarie per l'accesso in sola lettura.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Effect": "Allow",
      "Action": [
        "resiliencehub:Describe*",
        "resiliencehub:List*",
        "resiliencehub:ResolveAppVersionResources"
      ],
      "Resource": "*"
    }
  ]
}
```

------

# Importazione del file di stato Terraform in AWS Resilience Hub
<a name="security-iam-resilience-hub-terraform-secondary"></a>

AWS Resilience Hub supporta l'importazione di file di stato Terraform crittografati utilizzando la crittografia lato server (SSE) con chiavi gestite di Amazon Simple Storage Service (SSE-S3) o con chiavi gestite (SSE-KMS). AWS Key Management Service Se i tuoi file di stato Terraform sono crittografati utilizzando chiavi di crittografia fornite dal cliente (SSE-C), non potrai importarli utilizzando. AWS Resilience Hub

L'importazione di file di stato Terraform AWS Resilience Hub richiede le seguenti politiche IAM a seconda di dove si trova il file di stato.

## Importazione di file di stato Terraform da un bucket Amazon S3 situato nell'account principale
<a name="w2aac21c23c48b7"></a>

La seguente policy sui bucket Amazon S3 e la policy IAM sono necessarie per consentire l'accesso in AWS Resilience Hub lettura ai file di stato Terraform situati in un bucket Amazon S3 sull'account principale.
+ Policy bucket: una policy bucket sul bucket Amazon S3 di destinazione, che si trova nell'account principale. Per maggiori informazioni, consulta il seguente esempio:
+ Politica di identità: la politica di identità associata per il ruolo Invoker definito per questa applicazione o il ruolo IAM AWS corrente sull'account principale. AWS Resilience Hub AWS Per maggiori informazioni, consulta il seguente esempio:

------
#### [ JSON ]

****  

  ```
  {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Action": "s3:GetObject",
        "Resource": "arn:aws:s3:::<s3-bucket-name>/<path-to-state-file>"
      },
      {
        "Effect": "Allow",
        "Action": "s3:ListBucket",
        "Resource": "arn:aws:s3:::<s3-bucket-name>"
      }
    ]
  }
  ```

------
**Nota**  
Se si utilizza la policy `AWSResilienceHubAsssessmentExecutionPolicy` gestita, l'`ListBucket`autorizzazione non è richiesta.

**Nota**  
Se i tuoi file di stato Terraform sono crittografati tramite KMS, devi aggiungere la seguente `kms:Decrypt` autorizzazione.  

```
{
      "Effect": "Allow",
      "Action": [
              "kms:Decrypt",
      ],
      "Resource": "<arn_of_kms_key>"
}
```

## Importazione di file di stato Terraform da un bucket Amazon S3 situato in un account secondario
<a name="w2aac21c23c48b9"></a>
+ Policy bucket: una policy bucket sul bucket Amazon S3 di destinazione, che si trova in uno degli account secondari. Per maggiori informazioni, consulta il seguente esempio:
+ Politica di identità: la politica di identità associata per il ruolo dell' AWS account, che viene eseguita AWS Resilience Hub sull'account principale. AWS Per maggiori informazioni, consulta il seguente esempio:
**Nota**  
Se si utilizza la politica `AWSResilienceHubAsssessmentExecutionPolicy` gestita, `ListBucket` l'autorizzazione non è richiesta.

**Nota**  
Se i tuoi file di stato Terraform sono crittografati tramite KMS, devi aggiungere la seguente `kms:Decrypt` autorizzazione.  

```
{
      "Effect": "Allow",
      "Action": [
              "kms:Decrypt",
      ],
      "Resource": "<arn_of_kms_key>"
}
```







# Abilitazione AWS Resilience Hub dell'accesso al tuo cluster Amazon Elastic Kubernetes Service
<a name="enabling-eks-in-arh"></a>

AWS Resilience Hub valuta la resilienza di un cluster Amazon Elastic Kubernetes Service (Amazon EKS) analizzando l'infrastruttura del cluster Amazon EKS. AWS Resilience Hub utilizza la configurazione RBAC (role-based access control) di Kubernetes per valutare altri carichi di lavoro Kubernetes (K8s), che vengono distribuiti come parte del cluster Amazon EKS. AWS Resilience Hub Per interrogare il cluster Amazon EKS per l'analisi e la valutazione del carico di lavoro, devi completare quanto segue:
+ Crea o usa un ruolo esistente AWS Identity and Access Management (IAM) nello stesso account del cluster Amazon EKS.
+ Abilita l'accesso di utenti e ruoli IAM al tuo cluster Amazon EKS e concedi autorizzazioni di sola lettura aggiuntive alle risorse K8s all'interno del cluster Amazon EKS. Per ulteriori informazioni sull'abilitazione dell'accesso di utenti e ruoli IAM al tuo cluster Amazon EKS, consulta [Abilitare l'accesso di utenti e ruoli IAM al tuo cluster - Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/add-user-role.html).

L'accesso al tuo cluster Amazon EKS tramite entità IAM è abilitato da [AWS IAM Authenticator for Kubernetes](https://github.com/kubernetes-sigs/aws-iam-authenticator#readme), che viene eseguito sul piano di controllo di Amazon EKS. L'Authenticator ottiene le informazioni di configurazione da. `aws-auth ConfigMap`

**Nota**  
Per ulteriori informazioni su tutte le `aws-auth ConfigMap` impostazioni, consulta [Full Configuration](https://github.com/kubernetes-sigs/aws-iam-authenticator#full-configuration-format) Format on. GitHub
Per ulteriori informazioni sulle diverse identità IAM, consulta [Identità (utenti, gruppi e ruoli)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) nella Guida per l'utente IAM.
[Per ulteriori informazioni sulla configurazione del controllo degli accessi basato sui ruoli (RBAC) di Kubernetes, consulta Using RBAC Authorization.](https://kubernetes.io/docs/reference/access-authn-authz/rbac/)

AWS Resilience Hub interroga le risorse all'interno del tuo cluster Amazon EKS utilizzando un ruolo IAM nel tuo account. Per accedere AWS Resilience Hub alle risorse all'interno del cluster Amazon EKS, il ruolo IAM utilizzato da AWS Resilience Hub deve essere mappato su un gruppo Kubernetes con autorizzazioni di sola lettura sufficienti per le risorse all'interno del cluster Amazon EKS.

AWS Resilience Hub consente di accedere alle risorse del cluster Amazon EKS utilizzando una delle seguenti opzioni di ruolo IAM:
+ Se l'applicazione è configurata per utilizzare l'accesso basato sui ruoli per accedere alle risorse, il ruolo invoker o il ruolo di account secondario assegnato AWS Resilience Hub durante la creazione di un'applicazione verrà utilizzato per accedere al cluster Amazon EKS durante la valutazione. 

  Il seguente diagramma concettuale mostra come accedere AWS Resilience Hub ai cluster Amazon EKS quando l'applicazione è configurata come applicazione basata sui ruoli.  
![\[Diagram showing AWS Resilience Hub accessing EKS clusters in primary and secondary accounts.\]](http://docs.aws.amazon.com/it_it/resilience-hub/latest/userguide/images/EKS-accounts.png)
+ Se la tua applicazione è configurata per utilizzare l'utente IAM corrente per accedere alle risorse, devi creare un nuovo ruolo IAM con il nome `AwsResilienceHubAssessmentEKSAccessRole` nello stesso account del cluster Amazon EKS. Questo ruolo IAM verrà quindi utilizzato per accedere al tuo cluster Amazon EKS.

  Il seguente diagramma concettuale mostra come AWS Resilience Hub accedere ai cluster Amazon EKS distribuiti nel tuo account principale quando l'applicazione è configurata per utilizzare le attuali autorizzazioni utente IAM.  
![\[Icons representing login, current IAM role, assume role, and AWS Resilience Hub options.\]](http://docs.aws.amazon.com/it_it/resilience-hub/latest/userguide/images/SingleAccountEKS.png)

  Il seguente diagramma concettuale mostra come AWS Resilience Hub accede ai cluster Amazon EKS distribuiti su un account secondario quando l'applicazione è configurata per utilizzare le attuali autorizzazioni utente IAM.  
![\[Icons representing Account AWS access roles and permissions for primary and secondary accounts.\]](http://docs.aws.amazon.com/it_it/resilience-hub/latest/userguide/images/MultiAccountEKS.png)

# Concessione dell' AWS Resilience Hub accesso alle risorse nel cluster Amazon EKS
<a name="grant-permissions-to-eks-in-arh"></a>

AWS Resilience Hub consente di accedere alle risorse situate nei cluster Amazon EKS a condizione che siano state configurate le autorizzazioni richieste.

**Per concedere le autorizzazioni necessarie AWS Resilience Hub per la scoperta e la valutazione delle risorse all'interno del cluster Amazon EKS**

1. Configura un ruolo IAM per accedere al cluster Amazon EKS.

   Se hai configurato l'applicazione utilizzando l'accesso basato sui ruoli, puoi saltare questo passaggio e procedere al passaggio 2 e utilizzare il ruolo che avevi usato per creare l'applicazione. Per ulteriori informazioni su come vengono AWS Resilience Hub utilizzati i ruoli IAM, consulta. [Come funziona AWS Resilience Hub con IAM](security_iam_service-with-iam.md)

   Se hai configurato la tua applicazione utilizzando le attuali autorizzazioni utente `AwsResilienceHubAssessmentEKSAccessRole` IAM, devi creare il ruolo IAM nello stesso account del cluster Amazon EKS. Questo ruolo IAM verrà quindi utilizzato durante l'accesso al cluster Amazon EKS.

   Durante l'importazione e la valutazione dell'applicazione, AWS Resilience Hub utilizza un ruolo IAM per accedere alle risorse nel cluster Amazon EKS. Questo ruolo deve essere creato nello stesso account del cluster Amazon EKS e verrà mappato con un gruppo Kubernetes che include le autorizzazioni richieste per AWS Resilience Hub valutare il cluster Amazon EKS.

   Se il tuo cluster Amazon EKS si trova nello stesso account dell'account AWS Resilience Hub chiamante, il ruolo deve essere creato utilizzando la seguente policy di fiducia IAM. In questa policy di fiducia IAM, `caller_IAM_role` viene utilizzato nell'account corrente APIs per chiamare il AWS Resilience Hub.
**Nota**  
`caller_IAM_role`È il ruolo associato al tuo account AWS utente.

   Se il tuo cluster Amazon EKS si trova in un account incrociato (un account diverso dall'account AWS Resilience Hub chiamante), devi creare il ruolo `AwsResilienceHubAssessmentEKSAccessRole` IAM utilizzando la seguente politica di fiducia IAM:
**Nota**  
Come prerequisito, per accedere al cluster Amazon EKS distribuito in un account diverso da quello dell' AWS Resilience Hub utente, devi configurare l'accesso multiaccount. Per ulteriori informazioni, consultare la pagina 

1. Crea `ClusterRole` e `ClusterRoleBinding` (o`RoleBinding`) ruoli per l'applicazione. AWS Resilience Hub 

   Stai creando `ClusterRole` e `ClusterRoleBinding` concederai le autorizzazioni di sola lettura necessarie AWS Resilience Hub per analizzare e valutare le risorse che fanno parte di determinati namespace nel tuo cluster Amazon EKS.

   AWS Resilience Hub ti consente di limitarne l'accesso ai tuoi namespace per la generazione di valutazioni di resilienza completando una delle seguenti operazioni:

   1. Concedi all'applicazione l'accesso in lettura su tutti i namespace. AWS Resilience Hub 

       AWS Resilience Hub Per valutare la resilienza delle risorse in tutti i namespace all'interno di un cluster Amazon EKS, devi creare quanto segue e. `ClusterRole` `ClusterRoleBinding`
      + `resilience-hub-eks-access-cluster-role`(`ClusterRole`) — Definisce le autorizzazioni richieste AWS Resilience Hub per valutare il tuo cluster Amazon EKS.
      +  `resilience-hub-eks-access-cluster-role-binding`(`ClusterRoleBinding`) — Definisce un gruppo denominato `resilience-hub-eks-access-group` nel cluster Amazon EKS che concede ai suoi utenti le autorizzazioni necessarie per eseguire valutazioni della resilienza. AWS Resilience Hub

      Il modello per concedere l'accesso in lettura su tutti i namespace all'applicazione è il seguente: AWS Resilience Hub 

      ```
      cat << EOF | kubectl apply -f -
      apiVersion: rbac.authorization.k8s.io/v1
      kind: ClusterRole
      metadata:
        name: resilience-hub-eks-access-cluster-role
      rules:
      - apiGroups:
          - ""
        resources:
          - pods
          - replicationcontrollers
          - nodes
        verbs:
          - get
          - list
      - apiGroups:
          - apps
        resources:
          - deployments
          - replicasets
        verbs:
          - get
          - list
      - apiGroups:
          - policy
        resources:
          - poddisruptionbudgets
        verbs:
          - get
          - list
      - apiGroups:
          - autoscaling.k8s.io
        resources:
          - verticalpodautoscalers
        verbs:
          - get
          - list
      - apiGroups:
          - autoscaling
        resources:
          - horizontalpodautoscalers
        verbs:
          - get
          - list
      - apiGroups:
          - karpenter.sh
        resources:
          - provisioners
          - nodepools
        verbs:
          - get
          - list
      - apiGroups:
          - karpenter.k8s.aws
        resources:
          - awsnodetemplates
          - ec2nodeclasses
        verbs:
          - get
          - list
      ---
      apiVersion: rbac.authorization.k8s.io/v1
      kind: ClusterRoleBinding
      metadata:
        name: resilience-hub-eks-access-cluster-role-binding
      subjects:
        - kind: Group
          name: resilience-hub-eks-access-group
          apiGroup: rbac.authorization.k8s.io
      roleRef:
        kind: ClusterRole
        name: resilience-hub-eks-access-cluster-role
        apiGroup: rbac.authorization.k8s.io
      ---
      EOF
      ```

   1. Concessione AWS Resilience Hub dell'accesso alla lettura di namespace specifici.

      È possibile limitare AWS Resilience Hub l'accesso alle risorse all'interno di un set specifico di namespace utilizzando. `RoleBinding` A tal fine, è necessario creare i seguenti ruoli:
      + `ClusterRole`— Per accedere AWS Resilience Hub alle risorse in namespace specifici all'interno di un cluster Amazon EKS e valutarne la resilienza, devi creare i seguenti ruoli. `ClusterRole`
        + `resilience-hub-eks-access-cluster-role`— Speciifica le autorizzazioni necessarie per valutare le risorse all'interno di namespace specifici.
        + `resilience-hub-eks-access-global-cluster-role`: specifica le autorizzazioni necessarie per valutare le risorse con ambito cluster, che non sono associate a uno spazio dei nomi specifico, all'interno dei cluster Amazon EKS. AWS Resilience Hub richiede le autorizzazioni per accedere a risorse con ambito cluster (come i nodi) sul cluster Amazon EKS per valutare la resilienza dell'applicazione.

        Il modello per creare il ruolo è il seguente`ClusterRole`:

        ```
        cat << EOF | kubectl apply -f -
        apiVersion: rbac.authorization.k8s.io/v1
        kind: ClusterRole
        metadata:
          name: resilience-hub-eks-access-cluster-role
        rules:
          - apiGroups:
              - ""
            resources:
              - pods
              - replicationcontrollers
            verbs:
              - get
              - list
          - apiGroups:
              - apps
            resources:
              - deployments
              - replicasets
            verbs:
              - get
              - list
          - apiGroups:
              - policy
            resources:
              - poddisruptionbudgets
            verbs:
              - get
              - list
          - apiGroups:
              - autoscaling.k8s.io
            resources:
              - verticalpodautoscalers
            verbs:
              - get
              - list
          - apiGroups:
              - autoscaling
            resources:
              - horizontalpodautoscalers
            verbs:
              - get
              - list
        
        ---
        apiVersion: rbac.authorization.k8s.io/v1
        kind: ClusterRole
        metadata:
          name: resilience-hub-eks-access-global-cluster-role
        rules:
          - apiGroups:
              - ""
            resources:
              - nodes
            verbs:
              - get
              - list
          - apiGroups:
              - karpenter.sh
            resources:
              - provisioners
              - nodepools
            verbs:
              - get
              - list
          - apiGroups:
              - karpenter.k8s.aws
            resources:
              - awsnodetemplates
              - ec2nodeclasses
            verbs:
              - get
              - list
        
        ---
        EOF
        ```
      + `RoleBinding`ruolo: questo ruolo concede le autorizzazioni necessarie per accedere alle risorse all'interno AWS Resilience Hub di namespace specifici. Cioè, è necessario creare un `RoleBinding` ruolo in ogni spazio dei nomi per consentire AWS Resilience Hub l'accesso alle risorse all'interno dello spazio dei nomi specificato. 
**Nota**  
Se si utilizza `ClusterAutoscaler` la scalabilità automatica, è necessario creare anche in. `RoleBinding` `kube-system` Questo è necessario per valutare il tuo`ClusterAutoscaler`, che fa parte del namespace. `kube-system`  
In questo modo, concederai AWS Resilience Hub le autorizzazioni necessarie per valutare le risorse all'interno del `kube-system` namespace durante la valutazione del tuo cluster Amazon EKS.

        Il modello per creare il `RoleBinding` ruolo è il seguente:

        ```
        cat << EOF | kubectl apply -f -
        apiVersion: rbac.authorization.k8s.io/v1
        kind: RoleBinding
        metadata:
          name: resilience-hub-eks-access-cluster-role-binding
          namespace: <namespace>
        subjects:
          - kind: Group
            name: resilience-hub-eks-access-group
            apiGroup: rbac.authorization.k8s.io
        roleRef:
          kind: ClusterRole
          name: resilience-hub-eks-access-cluster-role
          apiGroup: rbac.authorization.k8s.io
        
        ---
        EOF
        ```
      + `ClusterRoleBinding`ruolo: questo ruolo concede le autorizzazioni necessarie per accedere AWS Resilience Hub alle risorse con ambito cluster.

        Il modello per creare il ruolo è il seguente`ClusterRoleBinding`:

        ```
        cat << EOF | kubectl apply -f - 
        ---
        apiVersion: rbac.authorization.k8s.io/v1
        kind: ClusterRoleBinding
        metadata:
          name: resilience-hub-eks-access-global-cluster-role-binding
        subjects:
          - kind: Group
            name: resilience-hub-eks-access-group
            apiGroup: rbac.authorization.k8s.io
        roleRef:
          kind: ClusterRole
          name: resilience-hub-eks-access-global-cluster-role
          apiGroup: rbac.authorization.k8s.io
        
        ---
        EOF
        ```

1. Aggiorna il `aws-auth ConfigMap` per mappare il `resilience-hub-eks-access-group` ruolo IAM utilizzato per accedere al cluster Amazon EKS.

   Questo passaggio crea una mappatura tra il ruolo IAM utilizzato nella fase 1 e il gruppo Kubernetes creato nella fase 2. Questa mappatura concede le autorizzazioni ai ruoli IAM per l'accesso alle risorse all'interno del cluster Amazon EKS.
**Nota**  
`ROLE-NAME`si riferisce al ruolo IAM utilizzato per accedere al cluster Amazon EKS.  
Se l'applicazione è configurata per utilizzare l'accesso basato sui ruoli, il ruolo deve essere il ruolo di invoker o il ruolo di account secondario a cui viene passato AWS Resilience Hub durante la creazione dell'applicazione.
Se l'applicazione è configurata per utilizzare l'utente IAM corrente per accedere alle risorse, deve essere il. `AwsResilienceHubAssessmentEKSAccessRole`
`ACCOUNT-ID`dovrebbe essere l'ID dell' AWS account del cluster Amazon EKS.

   Puoi crearlo `aws-auth` `ConfigMap` utilizzando uno dei seguenti modi:
   + Uso di `eksctl`

     Utilizzate il seguente comando per aggiornare `aws-auth``ConfigMap`:

     ```
     eksctl create iamidentitymapping \
      --cluster <cluster-name> \
      --region=<region-code> \
      --arn arn:aws:iam::<ACCOUNT-ID>:role/<ROLE-NAME>\
      --group resilience-hub-eks-access-group \
      --username AwsResilienceHubAssessmentEKSAccessRole
     ```
   + Puoi modificare manualmente `aws-auth` `ConfigMap` aggiungendo i dettagli del ruolo IAM alla `mapRoles` `ConfigMap` sezione dei dati sottostanti. Usa il seguente comando per modificare il `aws-auth``ConfigMap`.

     `kubectl edit -n kube-system configmap/aws-auth`

     `mapRoles`la sezione è composta dai seguenti parametri:
     + `rolearn`— L'[Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) del ruolo IAM da aggiungere. 
       + Sintassi ARN —. `arn:aws:iam::<ACCOUNT-ID>:role/<ROLE-NAME>`
     + `username`— Il nome utente all'interno di Kubernetes da mappare al ruolo IAM (). `AwsResilienceHubAssessmentEKSAccessRole`
     + `groups`— I nomi dei gruppi devono corrispondere ai nomi dei gruppi creati nella **Fase** 2 (). `resilience-hub-eks-access-group`
**Nota**  
Se la `mapRoles` sezione non esiste, è necessario aggiungerla manualmente.

     Utilizza il seguente modello per aggiungere i dettagli del ruolo IAM alla `mapRoles` `ConfigMap` sezione dei dati sottostanti.

     ```
         - groups:
           - resilience-hub-eks-access-group
           rolearn: arn:aws:iam::<ACCOUNT-ID>:role/<ROLE-NAME>
           username: AwsResilienceHubAssessmentEKSAccessRole
     ```

# Attivazione AWS Resilience Hub della pubblicazione su Amazon Simple Notification Service di argomenti
<a name="enabling-sns-in-arh"></a>

Questa sezione spiega come AWS Resilience Hub abilitare la pubblicazione di notifiche sull'applicazione negli argomenti di Amazon Simple Notification Service (Amazon SNS). Per inviare notifiche push a un argomento di Amazon SNS, assicurati di disporre di quanto segue: 
+ Un' AWS Resilience Hub applicazione attiva.
+ Un argomento Amazon SNS esistente a cui inviare AWS Resilience Hub notifiche. Per ulteriori informazioni sulla creazione di un argomento Amazon SNS, consulta [Creazione di un argomento Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html).

 AWS Resilience Hub Per abilitare la pubblicazione di notifiche sul tuo argomento Amazon SNS, devi aggiornare la politica di accesso dell'argomento Amazon SNS con quanto segue:

**Nota**  
Quando pubblichi messaggi da regioni che hanno aderito all'iniziativa su argomenti che si trovano in Regioni abilitate per impostazione predefinita, devi modificare la politica delle risorse creata per l'argomento Amazon SNS. AWS Resilience Hub Modifica il valore del principale da a`resiliencehub.amazonaws.com`. `resiliencehub.<opt-in-region>.amazonaws.com`

Se stai utilizzando un argomento Amazon SNS Server Side Encrypted (SSE), devi assicurarti AWS Resilience Hub che disponga `Decrypt` dell'accesso `GenerateDataKey` e \$1 alla chiave di crittografia Amazon SNS.

Per fornire `Decrypt` e `GenerateDataKey*` accedere a AWS Resilience Hub, devi includere le seguenti autorizzazioni per la politica di accesso. AWS Key Management Service 

# Limitazione delle autorizzazioni per includere o escludere i consigli AWS Resilience Hub
<a name="include-exclude-limit-permissions"></a>

AWS Resilience Hub consente di limitare le autorizzazioni per includere o escludere consigli per applicazione. Puoi limitare le autorizzazioni per includere o escludere i consigli per applicazione utilizzando la seguente policy di fiducia IAM. In questa policy di fiducia IAM, `caller_IAM_role` (associata al tuo account AWS utente) viene utilizzata nell'account corrente APIs per AWS Resilience Hub richiamare la richiesta.