Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Sicurezza in Esploratore di risorse AWS
<a name="security"></a>

La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.

La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo modello come sicurezza del cloud e sicurezza nel cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gira Servizi AWS su Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per ulteriori informazioni sui programmi di conformità che si applicano a Resource Explorer, vedere [Servizi AWS in Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal Servizio AWS materiale che utilizzi. Sei anche responsabile di altri fattori, tra cui la riservatezza dei dati, i tuoi requisiti aziendali e le leggi e le normative applicabili 

Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa durante l'utilizzo Esploratore di risorse AWS. Mostra come configurare Resource Explorer per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche a utilizzarne altri Servizi AWS che ti aiutano a monitorare e proteggere le tue risorse di Resource Explorer.

**Topics**
+ [

# Aggiorna IAM le politiche a IPv6
](arex-security-ipv6-upgrade.md)
+ [Gestione dell'identità e degli accessi](security_iam.md)
+ [Protezione dei dati](data-protection.md)
+ [Convalida della conformità](compliance-validation.md)
+ [Resilienza](disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura](infrastructure-security.md)

# Aggiorna IAM le politiche a IPv6
<a name="arex-security-ipv6-upgrade"></a>

Esploratore di risorse AWS i clienti utilizzano IAM le policy per impostare un intervallo consentito di indirizzi IP e impedire a qualsiasi indirizzo IP al di fuori dell'intervallo configurato di accedere a Resource Explorer. APIs

Il * resource-explorer-2.*region*Il * dominio.api.aws in cui APIs sono ospitati Resource Explorer è in fase di aggiornamento per supportare in aggiunta a. IPv6 IPv4 

Le politiche di filtraggio degli indirizzi IP non aggiornate per gestire IPv6 gli indirizzi potrebbero comportare la perdita dell'accesso dei client alle risorse del dominio Resource Explorer. API 

## Clienti interessati dall'aggiornamento da a IPv4 IPv6
<a name="customers-impacted"></a>

I clienti che utilizzano il doppio indirizzamento con policy contenenti *aws: sourceIp* sono interessati da questo aggiornamento. Il doppio indirizzamento significa che la rete supporta entrambi IPv4 eIPv6. 

Se si utilizza il doppio indirizzamento, è necessario aggiornare le IAM politiche attualmente configurate con indirizzi di IPv4 formato per includere gli indirizzi di IPv6 formato. 

Per assistenza con problemi di accesso, contatta [Supporto](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create).

**Nota**  
I seguenti clienti *non* sono interessati da questo aggiornamento:  
Clienti che utilizzano *solo* IPv4 reti.
Clienti che utilizzano *solo* IPv6 reti.

## Che cos'èIPv6?
<a name="what-is-ipv6"></a>

IPv6è lo standard IP di nuova generazione destinato a sostituire alla fineIPv4. La versione precedenteIPv4, utilizza uno schema di indirizzamento a 32 bit per supportare 4,3 miliardi di dispositivi. IPv6utilizza invece l'indirizzamento a 128 bit per supportare circa 340 trilioni di trilioni di trilioni di dispositivi (ovvero da 2 alla 128a potenza). 

```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```

## IAMAggiornamento di una politica per IPv6
<a name="updating-for-ipv6"></a>

IAMle politiche vengono attualmente utilizzate per impostare un intervallo consentito di indirizzi IP utilizzando il `aws:SourceIp` filtro. 

Il doppio indirizzamento supporta IPv4 sia il traffico che IPV6 il traffico. Se la rete utilizza il doppio indirizzamento, è necessario assicurarsi che tutte le IAM policy utilizzate per il filtraggio degli indirizzi IP vengano aggiornate in modo da includere gli intervalli di IPv6 indirizzi.

Ad esempio, questa policy sui bucket di Amazon S3 identifica gli intervalli di IPv4 indirizzi consentiti `192.0.2.0.*` e `203.0.113.0.*` nell'elemento. `Condition` 

```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*",
                    "*203.0.113.0/24*"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}
```

Per aggiornare questa policy, l'`Condition`elemento della policy viene aggiornato per includere intervalli di IPv6 indirizzi e. `2001:DB8:1234:5678::/64` `2001:cdba:3257:8593::/64`

**Nota**  
FAI NOT REMOVE gli IPv4 indirizzi esistenti perché sono necessari per la compatibilità con le versioni precedenti.

```
"Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                    "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                    "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>>
                    "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>>
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
```

*Per ulteriori informazioni sulla gestione delle autorizzazioni di accesso conIAM, consulta [Politiche gestite e politiche in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) nella Guida per l'AWS Identity and Access Management utente.*

## Verifica che il tuo cliente sia in grado di fornire assistenza IPv6
<a name="testing-connection"></a>

Clienti che utilizzano *resource-explorer-2. Si consiglia all'endpoint \$1region\$1 .api.aws* di verificare se i propri client possono accedere ad altri endpoint già abilitati. Servizio AWS IPv6 I passaggi seguenti descrivono come verificare tali endpoint. 

*Questo esempio utilizza Linux e curl versione 8.6.0 e utilizza gli endpoint del [servizio Amazon Athena che hanno endpoint](https://docs.aws.amazon.com/general/latest/gr/athena.html) IPv6 abilitati situati nel dominio api.aws.* 

**Nota**  
Passa alla stessa regione in cui Regione AWS si trova il client. In questo esempio, utilizziamo l'`us-east-1`endpoint degli Stati Uniti orientali (Virginia settentrionale).

1. Determina se l'endpoint si risolve con un IPv6 indirizzo utilizzando il seguente comando curl. 

   ```
   dig +short AAAA athena.us-east-1.api.aws
   2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
   2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5
   2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79
   ```

1. Determina se la rete client può stabilire una connessione IPv6 utilizzando il seguente comando curl. 

   ```
   curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
   
   remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
   response code: 404
   ```

   Se è stato identificato un IP remoto **e** il codice di risposta no`0`, è stata stabilita correttamente una connessione di rete all'endpoint utilizzando. IPv6

Se l'IP remoto è vuoto o il codice di risposta lo è`0`, la rete client o il percorso di rete verso l'endpoint è IPv4 -only. È possibile verificare questa configurazione con il seguente comando curl. 

```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws

remote ip: 3.210.103.49
response code: 404
```

Se è stato identificato un IP remoto **e** il codice di risposta no`0`, è stata stabilita correttamente una connessione di rete all'endpoint utilizzando. IPv4 L'IP remoto deve essere un IPv4 indirizzo perché il sistema operativo deve selezionare il protocollo valido per il client. Se l'IP remoto non è un IPv4 indirizzo, utilizzate il seguente comando per forzare l'uso IPv4 di curl. 

```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws

remote ip: 35.170.237.34
response code: 404
```

# Gestione delle identità e degli accessi per Esploratore di risorse AWS
<a name="security_iam"></a>

AWS Identity and Access Management (IAM) è un programma Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. IAMgli amministratori controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare le risorse di Resource Explorer. IAMè un software Servizio AWS che puoi utilizzare senza costi aggiuntivi.

**Topics**
+ [

## Destinatari
](#security_iam_audience)
+ [

## Autenticazione con identità
](#security_iam_authentication)
+ [

## Gestione dell'accesso con policy
](#security_iam_access-manage)
+ [

# Come funziona Resource Explorer con IAM
](security_iam_service-with-iam.md)
+ [

# Esempi di policy di Esploratore di risorse AWS basate su identità
](security_iam_id-based-policy-examples.md)
+ [

# Esempi di politiche di controllo dei servizi per AWS Organizations e Resource Explorer
](security_iam_scp.md)
+ [

# AWS politiche gestite per Esploratore di risorse AWS
](security_iam_awsmanpol.md)
+ [

# Utilizzo di ruoli collegati ai servizi per Resource Explorer
](security_iam_service-linked-roles.md)
+ [

# Risoluzione dei problemi relativi alle Esploratore di risorse AWS autorizzazioni
](security_iam_troubleshoot.md)

## Destinatari
<a name="security_iam_audience"></a>

Il modo in cui usi AWS Identity and Access Management (IAM) varia a seconda del lavoro svolto in Resource Explorer.

**Utente del servizio**: se utilizzi il servizio Resource Explorer per svolgere il tuo lavoro, l'amministratore ti fornisce le credenziali e le autorizzazioni necessarie. Man mano che utilizzi più funzionalità di Resource Explorer per svolgere il tuo lavoro, potresti aver bisogno di autorizzazioni aggiuntive. La comprensione della gestione dell'accesso ti consente di richiedere le autorizzazioni corrette all'amministratore. Se non riesci ad accedere a una funzionalità di Resource Explorer, consulta[Risoluzione dei problemi relativi alle Esploratore di risorse AWS autorizzazioni](security_iam_troubleshoot.md).

**Amministratore del servizio**: se sei responsabile delle risorse di Resource Explorer presso la tua azienda, probabilmente hai pieno accesso a Resource Explorer. È tuo compito determinare a quali funzionalità e risorse di Resource Explorer devono accedere gli utenti del servizio. È quindi necessario inviare richieste all'IAMamministratore per modificare le autorizzazioni degli utenti del servizio. Consulta le informazioni contenute in questa pagina per comprendere i concetti di base diIAM. Per ulteriori informazioni su come la tua azienda può utilizzare IAM Resource Explorer, consulta[Come funziona Resource Explorer con IAM](security_iam_service-with-iam.md).

**IAMamministratore**: se sei un IAM amministratore, potresti voler conoscere i dettagli su come scrivere politiche per gestire l'accesso a Resource Explorer. Per visualizzare esempi di policy basate sull'identità di Resource Explorer che puoi utilizzare inIAM, consulta. [Esempi di policy di Esploratore di risorse AWS basate su identità](security_iam_id-based-policy-examples.md)

## Autenticazione con identità
<a name="security_iam_authentication"></a>

L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. È necessario *autenticarsi* (accedere a AWS) come Utente root dell'account AWS, come IAM utente o assumendo un ruolo. IAM

È possibile accedere AWS come identità federata utilizzando le credenziali fornite tramite una fonte di identità. AWS IAM Identity Center Gli utenti (IAMIdentity Center), l'autenticazione Single Sign-On della tua azienda e le tue credenziali di Google o Facebook sono esempi di identità federate. Quando accedi come identità federata, l'amministratore aveva precedentemente configurato la federazione delle identità utilizzando i ruoli. IAM Quando si accede AWS utilizzando la federazione, si assume indirettamente un ruolo.

A seconda del tipo di utente, puoi accedere al Console di gestione AWS o al portale di AWS accesso. Per ulteriori informazioni sull'accesso a AWS, vedi [Come accedere al tuo Account AWS nella](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) *Guida per l'Accedi ad AWS utente*.

Se accedi a AWS livello di codice, AWS fornisce un kit di sviluppo software (SDK) e un'interfaccia a riga di comando () per firmare crittograficamente le tue richieste utilizzando le tue credenziali. CLI Se non utilizzi AWS strumenti, devi firmare tu stesso le richieste. Per ulteriori informazioni sull'utilizzo del metodo consigliato per firmare autonomamente le richieste, consulta [Firmare AWS API le richieste](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html) nella *Guida per l'IAMutente*.

A prescindere dal metodo di autenticazione utilizzato, potrebbe essere necessario specificare ulteriori informazioni sulla sicurezza. Ad esempio, ti AWS consiglia di utilizzare l'autenticazione a più fattori (MFA) per aumentare la sicurezza del tuo account. *Per ulteriori informazioni, consulta [Autenticazione a più fattori](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) nella *Guida per l'AWS IAM Identity Center utente* e [Utilizzo dell'autenticazione a più fattori (MFA) AWS nella](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) Guida per l'IAMutente.*

### Account AWS utente root
<a name="security_iam_authentication-rootuser"></a>

 Quando si crea un account Account AWS, si inizia con un'identità di accesso che ha accesso completo a tutte Servizi AWS le risorse dell'account. Questa identità è denominata *utente Account AWS root* ed è accessibile effettuando l'accesso con l'indirizzo e-mail e la password utilizzati per creare l'account. Si consiglia vivamente di non utilizzare l'utente root per le attività quotidiane. Conserva le credenziali dell'utente root e utilizzale per eseguire le operazioni che solo l'utente root può eseguire. Per l'elenco completo delle attività che richiedono l'accesso come utente root, consulta [Attività che richiedono le credenziali dell'utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l'IAMutente*. 

### Utenti e gruppi
<a name="security_iam_authentication-iamuser"></a>

Un *[IAMutente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è un'identità interna all'utente Account AWS che dispone di autorizzazioni specifiche per una singola persona o applicazione. Laddove possibile, consigliamo di fare affidamento su credenziali temporanee anziché creare IAM utenti con credenziali a lungo termine come password e chiavi di accesso. Tuttavia, se hai casi d'uso specifici che richiedono credenziali a lungo termine con IAM gli utenti, ti consigliamo di ruotare le chiavi di accesso. *Per ulteriori informazioni, consulta [Ruotare regolarmente le chiavi di accesso per i casi d'uso che richiedono credenziali a lungo termine](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) nella Guida per l'utente. IAM*

Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) è un'identità che specifica un insieme di utenti. IAM Non è possibile eseguire l'accesso come gruppo. È possibile utilizzare gruppi per specificare le autorizzazioni per più utenti alla volta. I gruppi semplificano la gestione delle autorizzazioni per set di utenti di grandi dimensioni. Ad esempio, potresti avere un gruppo denominato *IAMAdmins*e concedere a quel gruppo le autorizzazioni per IAM amministrare le risorse.

Gli utenti sono diversi dai ruoli. Un utente è associato in modo univoco a una persona o un'applicazione, mentre un ruolo è destinato a essere assunto da chiunque ne abbia bisogno. Gli utenti dispongono di credenziali a lungo termine permanenti, mentre i ruoli forniscono credenziali temporanee. Per ulteriori informazioni, consulta [Quando creare un IAM utente (anziché un ruolo)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose) nella Guida per l'*IAMutente*.

### Roles
<a name="security_iam_authentication-iamrole"></a>

Un *[IAMruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un'identità interna all'utente Account AWS che dispone di autorizzazioni specifiche. È simile a un IAM utente, ma non è associato a una persona specifica. È possibile assumere temporaneamente un IAM ruolo in Console di gestione AWS [cambiando ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). È possibile assumere un ruolo chiamando un' AWS APIoperazione AWS CLI or o utilizzando un'operazione personalizzataURL. Per ulteriori informazioni sui metodi di utilizzo dei ruoli, vedere [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l'IAMutente*.

IAMi ruoli con credenziali temporanee sono utili nelle seguenti situazioni:
+ **Accesso utente federato**: per assegnare le autorizzazioni a una identità federata, è possibile creare un ruolo e definire le autorizzazioni per il ruolo. Quando un'identità federata viene autenticata, l'identità viene associata al ruolo e ottiene le autorizzazioni da esso definite. Per informazioni sui ruoli per la federazione, vedere [Creazione di un ruolo per un provider di identità di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) nella *Guida per l'IAMutente*. Se utilizzi IAM Identity Center, configuri un set di autorizzazioni. Per controllare a cosa possono accedere le identità dopo l'autenticazione, IAM Identity Center correla il set di autorizzazioni a un ruolo in. IAM Per informazioni sui set di autorizzazioni, consulta [Set di autorizzazioni](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) nella *Guida per l'utente di AWS IAM Identity Center *. 
+ **Autorizzazioni IAM utente temporanee**: un IAM utente o un ruolo può assumere il IAM ruolo di assumere temporaneamente autorizzazioni diverse per un'attività specifica.
+ **Accesso su più account**: puoi utilizzare un IAM ruolo per consentire a qualcuno (un responsabile fidato) di un altro account di accedere alle risorse del tuo account. I ruoli sono lo strumento principale per concedere l'accesso multi-account. Tuttavia, con alcuni Servizi AWS, è possibile allegare una policy direttamente a una risorsa (anziché utilizzare un ruolo come proxy). *Per conoscere la differenza tra ruoli e politiche basate sulle risorse per l'accesso tra account diversi, consulta la [sezione Accesso alle risorse su più account IAM nella Guida per l'](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)utente. IAM*
+ **Accesso tra servizi**: alcuni Servizi AWS utilizzano funzionalità in altri. Servizi AWS Ad esempio, quando effettui una chiamata in un servizio, è normale che quel servizio esegua applicazioni in Amazon EC2 o archivi oggetti in Amazon S3. Un servizio può eseguire questa operazione utilizzando le autorizzazioni dell'entità chiamante, utilizzando un ruolo di servizio o utilizzando un ruolo collegato al servizio. 
  + **Sessioni di accesso inoltrato (FAS)**: quando utilizzi un IAM utente o un ruolo per eseguire azioni AWS, sei considerato un principale. Quando si utilizzano alcuni servizi, è possibile eseguire un'operazione che attiva un'altra operazione in un servizio diverso. FASutilizza le autorizzazioni del principale che chiama an Servizio AWS, in combinazione con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. FASle richieste vengono effettuate solo quando un servizio riceve una richiesta che richiede interazioni con altri Servizi AWS o risorse per essere completata. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le azioni. Per i dettagli FAS delle politiche relative alle richieste, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 
  + **Ruolo** di servizio: un ruolo di servizio è un [IAMruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire azioni per conto dell'utente. Un IAM amministratore può creare, modificare ed eliminare un ruolo di servizio dall'internoIAM. Per ulteriori informazioni, vedere [Creazione di un ruolo per delegare le autorizzazioni a un utente Servizio AWS nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) l'*IAMutente*. 
  + **Ruolo collegato al servizio: un ruolo** collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un IAM amministratore può visualizzare, ma non modificare le autorizzazioni per i ruoli collegati al servizio. 
+ **Applicazioni in esecuzione su Amazon EC2**: puoi utilizzare un IAM ruolo per gestire le credenziali temporanee per le applicazioni in esecuzione su un'EC2istanza e che effettuano AWS CLI o richiedono AWS API. Ciò è preferibile alla memorizzazione delle chiavi di accesso all'interno dell'EC2istanza. Per assegnare un AWS ruolo a un'EC2istanza e renderlo disponibile per tutte le sue applicazioni, create un profilo di istanza collegato all'istanza. Un profilo di istanza contiene il ruolo e consente ai programmi in esecuzione sull'EC2istanza di ottenere credenziali temporanee. Per ulteriori informazioni, consulta [Usare un IAM ruolo per concedere le autorizzazioni alle applicazioni in esecuzione su EC2 istanze Amazon nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) per l'*IAMutente*. 

Per sapere se utilizzare IAM ruoli o IAM utenti, consulta [Quando creare un IAM ruolo (anziché un utente)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role) nella Guida per l'*IAMutente*.

## Gestione dell'accesso con policy
<a name="security_iam_access-manage"></a>

Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy è un oggetto AWS che, se associato a un'identità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste politiche quando un principale (utente, utente root o sessione di ruolo) effettua una richiesta. Le autorizzazioni nelle policy determinano l'approvazione o il rifiuto della richiesta. La maggior parte delle politiche viene archiviata AWS come JSON documenti. Per ulteriori informazioni sulla struttura e il contenuto dei documenti relativi alle JSON politiche, vedere [Panoramica delle JSON politiche](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l'IAMutente*.

Gli amministratori possono utilizzare AWS JSON le politiche per specificare chi ha accesso a cosa. In altre parole, quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.

Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Per concedere agli utenti l'autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un IAM amministratore può creare IAM politiche. L'amministratore può quindi aggiungere le IAM politiche ai ruoli e gli utenti possono assumerli.

IAMle politiche definiscono le autorizzazioni per un'azione indipendentemente dal metodo utilizzato per eseguire l'operazione. Ad esempio, supponiamo di disporre di una policy che consente l'operazione `iam:GetRole`. Un utente con tale criterio può ottenere informazioni sul ruolo da Console di gestione AWS, da o da. AWS CLI AWS API

### Policy basate su identità
<a name="security_iam_access-manage-id-based-policies"></a>

I criteri basati sull'identità sono documenti relativi alle politiche di JSON autorizzazione che è possibile allegare a un'identità, ad esempio un IAM utente, un gruppo di utenti o un ruolo. Tali policy definiscono le azioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)

Le policy basate su identità possono essere ulteriormente classificate come *policy inline* o *policy gestite*. Le policy inline sono integrate direttamente in un singolo utente, gruppo o ruolo. Le politiche gestite sono politiche autonome che puoi allegare a più utenti, gruppi e ruoli all'interno del tuo. Account AWS Le politiche gestite includono politiche AWS gestite e politiche gestite dai clienti. Per informazioni su come scegliere tra una politica gestita o una politica in linea, consulta [Scelta tra politiche gestite e politiche in linea nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline) per l'*IAMutente*.

### Policy basate su risorse
<a name="security_iam_access-manage-resource-based-policies"></a>

Le politiche basate sulle risorse sono documenti di JSON policy allegati a una risorsa. *Esempi di politiche basate sulle risorse sono le policy di *trust dei IAM ruoli e le policy dei bucket di* Amazon S3.* Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l'accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le azioni che un principale può eseguire su tale risorsa e a quali condizioni. È necessario [specificare un principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) in una policy basata sulle risorse. I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS

Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite contenute IAM in una policy basata sulle risorse.

Esploratore di risorse AWS non supporta politiche basate sulle risorse.

### Elenchi di controllo degli accessi () ACLs
<a name="security_iam_access-manage-acl"></a>

Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLssono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy. JSON

Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioniACLs, consulta la [panoramica di Access control list (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.

Esploratore di risorse AWS non supportaACLs.

### Altri tipi di policy
<a name="security_iam_access-manage-other-policies"></a>

AWS supporta tipi di policy aggiuntivi e meno comuni. Questi tipi di policy possono impostare il numero massimo di autorizzazioni concesse dai tipi di policy più comuni. 
+ **Limiti delle autorizzazioni**: un limite di autorizzazioni è una funzionalità avanzata in cui si impostano le autorizzazioni massime che una politica basata sull'identità può concedere a un'entità (utente o ruolo). IAM IAM È possibile impostare un limite delle autorizzazioni per un'entità. Le autorizzazioni risultanti sono l'intersezione delle policy basate su identità dell'entità e i relativi limiti delle autorizzazioni. Le policy basate su risorse che specificano l'utente o il ruolo nel campo `Principal`sono condizionate dal limite delle autorizzazioni. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione. [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ **Politiche di controllo del servizio (SCPs)**: SCPs sono JSON politiche che specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa (OU) in. AWS Organizations AWS Organizations è un servizio per il raggruppamento e la gestione centralizzata di più Account AWS di proprietà dell'azienda. Se abiliti tutte le funzionalità di un'organizzazione, puoi applicare le politiche di controllo del servizio (SCPs) a uno o tutti i tuoi account. SCPLimita le autorizzazioni per le entità negli account dei membri, inclusa ciascuna Utente root dell'account AWS. Per ulteriori informazioni su Organizations andSCPs, consulta [le politiche di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida AWS Organizations per l'utente*.
+ **Policy di sessione**: le policy di sessione sono policy avanzate che vengono trasmesse come parametro quando si crea in modo programmatico una sessione temporanea per un ruolo o un utente federato. Le autorizzazioni della sessione risultante sono l'intersezione delle policy basate su identità del ruolo o dell'utente e le policy di sessione. Le autorizzazioni possono anche provenire da una policy basata su risorse. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione. Per ulteriori informazioni, consulta [le politiche di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida IAM per l'utente*. 

### Più tipi di policy
<a name="security_iam_access-manage-multiple-policies"></a>

Quando più tipi di policy si applicano a una richiesta, le autorizzazioni risultanti sono più complicate da comprendere. Per informazioni su come AWS determinare se consentire una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle politiche](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *Guida per l'IAMutente*.

# Come funziona Resource Explorer con IAM
<a name="security_iam_service-with-iam"></a>

Prima di utilizzare IAM per gestire l'accesso a Esploratore di risorse AWS, è necessario comprendere quali IAM funzionalità sono disponibili per l'uso con Resource Explorer. Per avere una panoramica generale del Servizi AWS funzionamento di Resource Explorer e altri strumentiIAM, consulta la sezione [Servizi AWS relativa alla funzionalità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l'IAMutente*.

**Topics**
+ [

## Politiche basate sull'identità di Resource Explorer
](#security_iam_service-with-iam-id-based-policies)
+ [

## Autorizzazione basata sui tag di Resource Explorer
](#security_iam_service-with-iam-tags)
+ [

## Ruoli di Resource Ex IAM
](#security_iam_service-with-iam-roles)

Come tutti gli altri Servizio AWS, Resource Explorer richiede le autorizzazioni per utilizzare le sue operazioni per interagire con le tue risorse. Per eseguire la ricerca, gli utenti devono disporre dell'autorizzazione per recuperare i dettagli di una visualizzazione e anche per effettuare ricerche utilizzando la vista. Per creare indici o visualizzazioni o per modificarli o qualsiasi altra impostazione di Resource Explorer, è necessario disporre di autorizzazioni aggiuntive. 

Assegna politiche IAM basate sull'identità che concedano tali autorizzazioni ai responsabili appropriati. IAM Resource Explorer fornisce [diverse politiche gestite](security_iam_awsmanpol.md) che predefiniscono set comuni di autorizzazioni. Puoi assegnarli ai tuoi responsabili. IAM

## Politiche basate sull'identità di Resource Explorer
<a name="security_iam_service-with-iam-id-based-policies"></a>

Con le politiche IAM basate sull'identità, è possibile specificare azioni consentite o negate nei confronti di risorse specifiche e le condizioni in base alle quali tali azioni sono consentite o negate. Resource Explorer supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una JSON politica, consulta il [riferimento agli elementi IAM JSON della politica](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'IAMutente*.

### Azioni
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale **principale** può eseguire **operazioni** su quali **risorse**, e in quali **condizioni**.

L'`Action`elemento di una JSON policy descrive le azioni che è possibile utilizzare per consentire o negare l'accesso a una policy. Le azioni politiche in genere hanno lo stesso nome dell' AWS APIoperazione associata. Esistono alcune eccezioni, come le azioni basate *solo sulle autorizzazioni* che non hanno un'operazione corrispondente. API Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate *operazioni dipendenti*.

Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.

Le azioni politiche in Resource Explorer utilizzano il prefisso del `resource-explorer-2` servizio prima dell'azione. Ad esempio, per concedere a qualcuno il permesso di effettuare ricerche utilizzando una vista, con l'`Search`APIoperazione Resource Explorer, si include l'`resource-explorer-2:Search`azione in una politica assegnata a tale principale. Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Resource Explorer definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio. Queste sono in linea con le API operazioni di Resource Explorer.

Per specificare più operazioni in una singola istruzione, separale con virgole, come illustrato nell'esempio seguente.

```
"Action": [
      "resource-explorer-2:action1",
      "resource-explorer-2:action2"
]
```

È possibile specificare più azioni utilizzando caratteri jolly ()`*`. Ad esempio, per specificare tutte le operazioni che iniziano con la parola `Describe`, includi la seguente operazione.

```
"Action": "resource-explorer-2:Describe*"
```

Per un elenco delle azioni di Resource Explorer, vedere [Azioni definite da Esploratore di risorse AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions) nel *AWS Service Authorization Reference*.

### Risorse
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale **principale** può eseguire **operazioni** su quali **risorse**, e in quali **condizioni**.

L'elemento `Resource` JSON policy specifica l'oggetto o gli oggetti a cui si applica l'azione. Le istruzioni devono includere un elemento `Resource`o un elemento `NotResource`. Come best practice, specifica una risorsa utilizzando il relativo [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Puoi eseguire questa operazione per azioni che supportano un tipo di risorsa specifico, note come *autorizzazioni a livello di risorsa*.

Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (\$1) per indicare che l'istruzione si applica a tutte le risorse.

```
"Resource": "*"
```

#### Vista
<a name="resource-type-view"></a>

Il tipo di risorsa principale di Resource Explorer è la *vista*. 

La risorsa di visualizzazione Resource Explorer ha il seguente ARN formato.

```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:view/${ViewName}/${unique-id}
```

Il ARN formato Resource Explorer è illustrato nell'esempio seguente.

```
arn:aws:resource-explorer-2:us-east-1:123456789012:view/My-Search-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```

**Nota**  
Il ARN for a view include un identificatore univoco alla fine per garantire che ogni vista sia unica. Questo aiuta a garantire che una IAM politica che concedeva l'accesso a una vecchia visualizzazione eliminata non possa essere utilizzata per concedere accidentalmente l'accesso a una nuova visualizzazione che ha lo stesso nome della vista precedente. Alla fine, ogni nuova visualizzazione riceve un nuovo ID univoco per garantire che ARNs non venga mai riutilizzata.

Per ulteriori informazioni sul formato diARNs, consulta [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

Utilizzi politiche IAM basate sull'identità assegnate ai IAM principali e specifichi la vista come. `Resource` In questo modo è possibile concedere l'accesso alla ricerca tramite una visualizzazione a un set di principali e l'accesso tramite una visualizzazione completamente diversa a un insieme diverso di principali. 

Ad esempio, per concedere l'autorizzazione a una singola visualizzazione denominata `ProductionResourcesView` in un'IAMinformativa, ottieni prima il [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) della vista. Puoi utilizzare la pagina **[Visualizzazioni](https://console.aws.amazon.com/resource-explorer/home#/views)** nella console per visualizzare i dettagli di una vista o richiamare l'`[ListViews](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_ListViews.html)`operazione per recuperare la visualizzazione completa ARN che desideri. Quindi, includila in una dichiarazione politica, come quella mostrata nell'esempio seguente, che concede l'autorizzazione a modificare la definizione di una sola visualizzazione.

```
"Effect": "Allow",
"Action": "UpdateView",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionResourcesView/<unique-id>"
```

Per consentire le azioni su ***tutte le*** viste che appartengono a un account specifico, usa il carattere jolly (`*`) nella parte pertinente di. ARN L'esempio seguente concede l'autorizzazione di ricerca a tutte le viste di un account specifico Regione AWS .

```
"Effect": "Allow",
"Action": "Search",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*"
```

Alcune azioni di Resource Explorer`CreateView`, ad esempio, non vengono eseguite su una risorsa specifica perché, come nell'esempio seguente, la risorsa non esiste ancora. In questi casi, è necessario utilizzare il carattere jolly (`*`) per l'intera risorsaARN.

```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "*"
```

 Se specificate un percorso che termina con un carattere jolly, potete limitare l'`CreateView`operazione alla creazione di viste con il solo percorso approvato. Il seguente esempio di policy mostra come consentire al principale di creare viste solo nel percorso`view/ProductionViews/`.

```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionViews/*""
```

#### Indice
<a name="resource-type-index"></a>

Un altro tipo di risorsa che è possibile utilizzare per controllare l'accesso alla funzionalità di Resource Explorer è l'indice.

Il modo principale di interagire con l'indice consiste nell'attivare Resource Explorer in e Regione AWS creando un indice in quella regione. Dopodiché, fai quasi tutto il resto interagendo con la vista.

Una cosa che potete fare con l'indice è controllare chi può ***creare*** viste in ogni regione.

**Nota**  
Dopo aver creato una vista, IAM autorizza tutte le altre azioni ARN di visualizzazione solo sulla vista e non sull'indice.

L'indice contiene un elemento a [ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)cui puoi fare riferimento in una politica di autorizzazione. Un indice Resource Explorer ARN ha il seguente formato.

```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:index/${unique-id}
```

Vedi il seguente esempio di indice Resource ExplorerARN.

```
arn:aws:resource-explorer-2:us-east-1:123456789012:index/1a2b3c4d-5d6e-7f8a-9b0c-abcd22222222
```

Alcune azioni di Resource Explorer controllano l'autenticazione rispetto a più tipi di risorse. Ad esempio, l'[CreateView](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateView.html)operazione autorizza sia l'ARNindice che la vista come avverrà dopo la creazione ARN di Resource Explorer. Per concedere agli amministratori l'autorizzazione a gestire il servizio Resource Explorer, puoi `"Resource": "*"` autorizzare azioni per qualsiasi risorsa, indice o visualizzazione. 

In alternativa, è possibile limitare un preside alla possibilità di lavorare solo con risorse Resource Explorer specifiche. Ad esempio, per limitare le azioni alle sole risorse di Resource Explorer in una regione specificata, è possibile includere un ARN modello che corrisponda sia all'indice che alla vista, ma richiami solo una singola regione. Nell'esempio seguente, ARN corrisponde a entrambi gli indici o le viste solo nella `us-west-2` regione dell'account specificato. Specificate la Regione nel terzo campo delARN, ma utilizzate un carattere jolly (\$1) nel campo finale per abbinare qualsiasi tipo di risorsa.

```
"Resource": "arn:aws:resource-explorer-2:us-west-2:123456789012:*
```

Per ulteriori informazioni, vedere [Resources Defined by Esploratore di risorse AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-resources-for-iam-policies) nel *AWS Service Authorization Reference.* Per sapere con quali azioni è possibile specificare le caratteristiche ARN di ciascuna risorsa, vedere [Azioni definite da Esploratore di risorse AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions).

### Chiavi di condizione
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

Resource Explorer non fornisce chiavi di condizione specifiche del servizio, ma supporta l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*IAMutente*.

Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale **principale** può eseguire **azioni** su quali **risorse**, e in quali **condizioni**.

L'elemento `Condition`(o *blocco* `Condition`) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento `Condition`è facoltativo. Puoi compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. 

Se specifichi più elementi `Condition`in un'istruzione o più chiavi in un singolo elemento `Condition`, questi vengono valutati da AWS utilizzando un'operazione `AND`logica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logica`OR`. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.

 Puoi anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile concedere a un IAM utente l'autorizzazione ad accedere a una risorsa solo se è contrassegnata con il suo nome IAM utente. Per ulteriori informazioni, consulta [gli elementi IAM della politica: variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella *Guida IAM per l'utente*. 

AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*IAMutente*.

Per visualizzare un elenco delle chiavi di condizione che è possibile utilizzare con Resource Explorer, vedere [Condition Keys Esploratore di risorse AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-policy-keys) nel *AWS Service Authorization Reference*. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, vedi [Azioni definite da Esploratore di risorse AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions).

### Esempi
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>

Per visualizzare esempi di politiche basate sull'identità di Resource Explorer, consulta. [Esempi di policy di Esploratore di risorse AWS basate su identità](security_iam_id-based-policy-examples.md)

## Autorizzazione basata sui tag di Resource Explorer
<a name="security_iam_service-with-iam-tags"></a>

È possibile allegare tag alle visualizzazioni di Resource Explorer o passare i tag in una richiesta a Resource Explorer. Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `resource-explorer-2:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Per ulteriori informazioni sull'etichettatura delle risorse di Resource Explorer, consulta[Aggiunta di tag alle visualizzazioni](manage-views-tag.md). Per utilizzare l'autorizzazione basata su tag in Resource Explorer, vedere. [Utilizzo dell'autorizzazione basata sui tag per controllare l'accesso alle visualizzazioni](manage-views-grant-access.md#manage-views-grant-access-abac)

## Ruoli di Resource Ex IAM
<a name="security_iam_service-with-iam-roles"></a>

Un [IAMruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un responsabile interno all'utente Account AWS che dispone di autorizzazioni specifiche.

### Utilizzo di credenziali temporanee con Resource Explorer
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

Puoi utilizzare credenziali temporanee per accedere con la federazione, assumere un IAM ruolo o assumere un ruolo tra account. È possibile ottenere credenziali di sicurezza temporanee chiamando API operazioni AWS Security Token Service (AWS STS) come o. [AssumeRole[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 

Resource Explorer supporta l'utilizzo di credenziali temporanee. 

### Ruoli collegati ai servizi
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[I ruoli collegati ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) consentono di accedere Servizi AWS alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi vengono visualizzati nell'IAMaccount e sono di proprietà del servizio. Un IAM amministratore può visualizzare ma non modificare le autorizzazioni per i ruoli collegati al servizio.

Resource Explorer utilizza ruoli collegati ai servizi per svolgere il proprio lavoro. Per informazioni dettagliate sui ruoli collegati ai servizi di Resource Explorer, vedere. [Utilizzo di ruoli collegati ai servizi per Resource Explorer](security_iam_service-linked-roles.md)

# Esempi di policy di Esploratore di risorse AWS basate su identità
<a name="security_iam_id-based-policy-examples"></a>

Per impostazione predefinita, i responsabiliAWS Identity and Access Management (IAM), ad esempio ruoli, gruppi e utenti, non dispongono dell'autorizzazione per creare o modificare risorse Resource Explorer. Inoltre, non possono eseguire attività utilizzandoConsole di gestione AWS,AWS Command Line Interface (AWS CLI) oAWS l'API. Un amministratore IAM deve creare policy IAM che concedono ai responsabili l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. Quindi, l'amministratore deve assegnare queste policy ai responsabili IAM che richiedono tali autorizzazioni.

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:
+ Utenti e gruppi in AWS IAM Identity Center:

  Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l'utente di AWS IAM Identity Center*.
+ Utenti gestiti in IAM tramite un provider di identità:

  Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Creating a role for a third-party identity provider (federation)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) (Creazione di un ruolo per un provider di identità di terze parti [federazione]) nella *Guida per l'utente di IAM*.
+ Utenti IAM:
  + Crea un ruolo che l'utente possa assumere. Per istruzioni, consulta la pagina [Creating a role for an IAM user](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) (Creazione di un ruolo per un utente IAM) nella *Guida per l'utente di IAM*.
  + (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l'utente di IAM*.

Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente IAM*.

**Topics**
+ [

## Best practice delle policy
](#security_iam_service-with-iam-policy-best-practices)
+ [

## Utilizzo della console Resource Explorer
](#security_iam_id-based-policy-examples-console)
+ [

## Concessione dell'accesso a una visualizzazione basata su tag
](#security_iam_id-based-policy-examples-abac-views)
+ [

## Concedere l'accesso per creare una vista basata sui tag
](#security_iam_id-based-policy-examples-abac-createview)
+ [

## Consentire ai responsabili di visualizzare le loro autorizzazioni
](#security_iam_id-based-policy-examples-view-own-permissions)

## Best practice delle policy
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Le policy basate su identità determinano se qualcuno può creare, accedere o eliminare risorse Resource Explorer nell'account. Queste operazioni possono comportare costi aggiuntivi per il proprio Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e suggerimenti:
+ **Nozioni di base sulle policy gestite da AWS e passaggio alle autorizzazioni con privilegio minimo**: per le informazioni di base su come concedere autorizzazioni a utenti e carichi di lavoro, utilizza le *policy gestite da AWS* che concedono le autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo Account AWS. Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente di AWS specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni di processo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l'utente di IAM*.
+ **Applica le autorizzazioni con privilegio minimo**: quando imposti le autorizzazioni con le policy IAM, concedi solo le autorizzazioni richieste per eseguire un'attività. Puoi farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegi minimi*. Per ulteriori informazioni sull'utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l'utente di IAM*.
+ **Condizioni d'uso nelle policy IAM per limitare ulteriormente l'accesso**: per limitare l'accesso a operazioni e risorse puoi aggiungere una condizione alle tue policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi inoltre utilizzare le condizioni per concedere l'accesso alle operazioni di servizio, ma solo se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per ulteriori informazioni, consulta la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente IAM*.
+ **Utilizzo di IAM Access Analyzer per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali**: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio della policy IAM (JSON) e alle best practice di IAM. IAM Access Analyzer fornisce oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per ulteriori informazioni, consulta [Convalida delle policy per IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l'utente di IAM*.
+ **Richiesta dell'autenticazione a più fattori (MFA)**: se hai uno scenario che richiede utenti IAM o utenti root nel tuo Account AWS, attiva MFA per una maggiore sicurezza. Per richiedere l'AMF quando vengono chiamate le operazioni API, aggiungi le condizioni MFA alle policy. Per ulteriori informazioni, consulta [Configurazione dell'accesso alle API protetto con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l'utente di IAM*.

Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente di IAM*.

## Utilizzo della console Resource Explorer
<a name="security_iam_id-based-policy-examples-console"></a>

Per eseguire ricerche nellaEsploratore di risorse AWS console, è necessario che i responsabili dispongano di un set di autorizzazioni minimo. Se non crei una policy basata su identità con le autorizzazioni minime richieste, la console Resource Explorer non funziona nel modo previsto per i responsabili dell'account.

È possibile utilizzare la policyAWS gestita denominata`AWSResourceExplorerReadOnlyAccess` per concedere la possibilità di utilizzare la console Resource Explorer per effettuare ricerche utilizzando qualsiasi visualizzazione dell'account. Per concedere le autorizzazioni per la ricerca con una sola visualizzazione[Concessione dell'accesso alle visualizzazioni di Resource Explorer per la ricerca](manage-views-grant-access.md), vedere e gli esempi nelle due sezioni seguenti.

Non sono necessarie le autorizzazioni minime della console per i principali che effettuano chiamate solo alla AWS CLI o all'API AWS. Puoi invece scegliere di concedere l'accesso solo alle azioni che corrispondono alle operazioni API che i responsabili devono eseguire.

## Concessione dell'accesso a una visualizzazione basata su tag
<a name="security_iam_id-based-policy-examples-abac-views"></a>

In questo esempio, desideri concedere l'accesso a una visualizzazione Resource Explorer nell'account.Account AWS Per fare ciò, assegni le policy basate sull'identità IAM ai responsabili che desideri poter cercare in Resource Explorer. Il seguente esempio di policy IAM concede l'accesso a qualsiasi richiesta in cui il`Search-Group` tag allegato al committente chiamante corrisponde esattamente al valore dello stesso tag allegato alla vista utilizzata nella richiesta.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:GetView",
                "resource-explorer-2:Search"
            ],
            "Resource": "arn:aws:resource-explorer-2:*:*:view/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Search-Group": "${aws:PrincipalTag/Search-Group}"}
            }
        }
    ]
}
```

Puoi assegnare questa policy ai responsabili IAM nel tuo account. Se un utente principale con il tag`Search-Group=A` tenta di effettuare una ricerca utilizzando una vista Resource Explorer, anche la vista deve essere contrassegnata`Search-Group=A`. In caso contrario, al preside viene negato l'accesso. La chiave di tag di condizione `Search-Group` corrisponde a `Search-group` e `search-group` perché i nomi delle chiavi di condizione non effettuano la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta [Elementi delle policy JSON IAM: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente IAM*.

**Importante**  
Per visualizzare le risorse nei risultati di ricerca unificati inConsole di gestione AWS, i responsabili devono disporre`Search` delle autorizzazioni`GetView` e per la visualizzazione predefinita della visualizzazioneRegione AWS che contiene l'indice aggregatore. Il modo più semplice per concedere tali autorizzazioni consiste nel lasciare l'autorizzazione predefinita basata sulle risorse che è stata allegata alla visualizzazione quando hai attivato Resource Explorer utilizzando la configurazione rapida o avanzata.  
In questo scenario, potresti prendere in considerazione l'impostazione della visualizzazione predefinita per filtrare le risorse sensibili e quindi l'impostazione di visualizzazioni aggiuntive a cui concedere l'accesso basato su tag, come descritto nell'esempio precedente.

## Concedere l'accesso per creare una vista basata sui tag
<a name="security_iam_id-based-policy-examples-abac-createview"></a>

In questo esempio, si desidera consentire solo ai principali con lo stesso tag dell'indice di poter creare visualizzazioni nell'oggettoRegione AWS che contiene l'indice. A tale scopo, crea autorizzazioni basate sull'identità per consentire ai responsabili di effettuare ricerche con le viste.

Ora puoi concedere le autorizzazioni per creare una visualizzazione. È possibile aggiungere le dichiarazioni in questo esempio alla stessa politica di autorizzazione utilizzata per concedere`Search` le autorizzazioni ai responsabili appropriati. Le azioni sono consentite o negate in base ai tag associati ai principali che chiamano le operazioni e l'indice a cui deve essere associata la vista. Il seguente esempio di policy IAM nega qualsiasi richiesta di creazione di una vista quando il valore del`Allow-Create-View` tag associato al principale del chiamante non corrisponde esattamente al valore dello stesso tag allegato all'indice nella Regione in cui è stata creata la vista.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "resource-explorer-2:CreateView",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {"aws:ResourceTag/Allow-Create-View": "${aws:PrincipalTag/Allow-Create-View}"}
            }
        }
    ]
}
```

## Consentire ai responsabili di visualizzare le loro autorizzazioni
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono allegate alla relativa identità utente. La policy include le autorizzazioni per completare questa operazione sulla console o a livello di programmazione utilizzando la AWS CLI o l'API AWS.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

# Esempi di politiche di controllo dei servizi per AWS Organizations e Resource Explorer
<a name="security_iam_scp"></a>

Esploratore di risorse AWS supporta le politiche di controllo dei servizi (SCP). Le SCP sono policy che collegano agli elementi di un'organizzazione per gestire le autorizzazioni all'interno di tale organizzazione. Un SCP si applica a tutti i membri di un'organizzazione Account AWS in [base all'elemento a cui si collega l'](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html)SCP. Le SCP offrono un controllo centralizzato sulle autorizzazioni massime disponibili per tutti gli account dell'organizzazione. Possono aiutarvi a garantire che rispettiate le Account AWS linee guida per il controllo degli accessi della vostra organizzazione. Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) nella *Guida per l'utente di AWS Organizations *.

## Prerequisiti
<a name="scp-prereqs"></a>

Per utilizzare le SCP, effettua innanzitutto le seguenti operazioni:
+ Abilitazione di tutte le caratteristiche nell'organizzazione. Per ulteriori informazioni, consulta la sezione [Abilitazione di tutte le caratteristiche nell'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) nella *Guida per l'utente di AWS Organizations *.
+ Abilita l'utilizzo delle SCP all'interno dell'organizzazione. Per ulteriori informazioni, consulta [Abilitazione e disabilitazione dei tipi di policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) nella *Guida per l'utente di AWS Organizations *.
+ Crea le SCP di cui hai bisogno. Per ulteriori informazioni sulla creazione di SCP, consulta [Creazione e aggiornamento di SCP nella Guida](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html) per l'*AWS Organizations utente*.

## Policy di controllo dei servizi di esempio
<a name="scp-examples"></a>

L'esempio seguente mostra come utilizzare il controllo degli accessi [basato sugli attributi (ABAC) per controllare l'accesso alle](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) operazioni amministrative di Resource Explorer. Questa policy di esempio nega l'accesso a tutte le operazioni di Resource Explorer tranne le due autorizzazioni necessarie per la ricerca `resource-explorer-2:Search` e`resource-explorer-2:GetView`, a meno che il principale IAM che effettua la richiesta non sia taggato. `ResourceExplorerAdmin=TRUE` Per una discussione più completa sull'uso di ABAC con Resource Explorer, vedere. [Utilizzo dell'autorizzazione basata sui tag per controllare l'accesso alle visualizzazioni](manage-views-grant-access.md#manage-views-grant-access-abac)

```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "resource-explorer-2:AssociateDefaultView",
        "resource-explorer-2:BatchGetView",
        "resource-explorer-2:CreateIndex",
        "resource-explorer-2:CreateView",
        "resource-explorer-2:DeleteIndex",
        "resource-explorer-2:DeleteView",
        "resource-explorer-2:DisassociateDefaultView",
        "resource-explorer-2:GetDefaultView",
        "resource-explorer-2:GetIndex",
        "resource-explorer-2:ListIndexes",
        "resource-explorer-2:ListSupportedResourceTypes",
        "resource-explorer-2:ListTagsForResource",
        "resource-explorer-2:ListViews",
        "resource-explorer-2:TagResource",
        "resource-explorer-2:UntagResource",
        "resource-explorer-2:UpdateIndexType",
        "resource-explorer-2:UpdateView""
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
          "StringNotEqualsIgnoreCase": {"aws:PrincipalTag/ResourceExplorerAdmin": "TRUE"}
      }
   ]
}
```

# AWS politiche gestite per Esploratore di risorse AWS
<a name="security_iam_awsmanpol"></a>

Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)nella* Guida per l'utente di IAM*.

**Politiche AWS gestite generali che includono le autorizzazioni di Resource Explorer**
+ [AdministratorAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AdministratorAccess)— Garantisce l'accesso completo alle risorse Servizi AWS e alle risorse. 
+ [ReadOnlyAccesso: consente l'accesso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess) in sola lettura alle risorse e alle risorse. Servizi AWS 
+ [ViewOnlyAccesso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess): concede le autorizzazioni per la visualizzazione di risorse e metadati di base per. Servizi AWS
**Nota**  
Le `Get*` autorizzazioni di Resource Explorer incluse nella `ViewOnlyAccess` policy funzionano come `List` le autorizzazioni, sebbene restituiscano solo un singolo valore, poiché una regione può contenere solo un indice e una visualizzazione predefinita.

**AWS politiche gestite per Resource Explorer**
+ [AWSResourceExplorerFullAccess](#security_iam_awsmanpol_AWSResourceExplorerFullAccess)
+ [AWSResourceExplorerReadOnlyAccess](#security_iam_awsmanpol_AWSResourceExplorerReadOnlyAccess)
+ [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)

## AWS politica gestita: AWSResourceExplorerFullAccess
<a name="security_iam_awsmanpol_AWSResourceExplorerFullAccess"></a>

Puoi assegnare la `AWSResourceExplorerFullAccess` policy alle tue identità IAM.

Questa policy concede autorizzazioni che consentono il pieno controllo amministrativo del servizio Resource Explorer. Puoi eseguire tutte le attività relative all'attivazione e alla gestione di Resource Explorer Regioni AWS nel tuo account. 

**Dettagli dell'autorizzazione**

Questa politica include le autorizzazioni che consentono tutte le azioni di Resource Explorer, tra cui l'attivazione e la disattivazione di Resource Explorer Regioni AWS, la creazione o l'eliminazione di un indice di aggregazione per l'account, la creazione, l'aggiornamento e l'eliminazione di viste e la ricerca. Questa politica include anche le autorizzazioni che non fanno parte di Resource Explorer: 
+ `ec2:DescribeRegions`— consente a Resource Explorer di accedere ai dettagli sulle regioni del tuo account.
+ `ram:ListResources`— consente a Resource Explorer di elencare le condivisioni di risorse di cui fanno parte le risorse.
+ `ram:GetResourceShares`— consente a Resource Explorer di identificare i dettagli sulle condivisioni di risorse che possiedi o che sono condivise con te.
+ `iam:CreateServiceLinkedRole`— consente a Resource Explorer di creare il ruolo collegato al servizio richiesto quando si [attiva Resource Explorer creando il primo indice](manage-service-turn-on-region.md#manage-service-turn-on-region-region).
+ `organizations:DescribeOrganization`— consente a Resource Explorer di accedere alle informazioni sull'organizzazione.

Per visualizzare la versione più recente di questa policy AWS gestita, consulta `[AWSResourceExplorerFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerFullAccess.html)` la *AWS Managed Policy Reference Guide*.

## AWS politica gestita: AWSResourceExplorerReadOnlyAccess
<a name="security_iam_awsmanpol_AWSResourceExplorerReadOnlyAccess"></a>

Puoi assegnare la `AWSResourceExplorerReadOnlyAccess` policy alle tue identità IAM.

Questa policy concede autorizzazioni di sola lettura che consentono agli utenti di accedere alla ricerca di base per scoprire le proprie risorse. 

**Dettagli dell'autorizzazione**

Questa politica include autorizzazioni che consentono agli utenti di eseguire Resource Explorer `Get*` e `Search` operazioni per visualizzare informazioni sui componenti e sulle impostazioni di configurazione di Resource Explorer, ma non consente agli utenti di modificarle. `List*` Gli utenti possono anche effettuare ricerche. Questa politica include anche due autorizzazioni che non fanno parte di Resource Explorer: 
+ `ec2:DescribeRegions`— consente a Resource Explorer di accedere ai dettagli sulle regioni del tuo account.
+ `ram:ListResources`— consente a Resource Explorer di elencare le condivisioni di risorse di cui fanno parte le risorse.
+ `ram:GetResourceShares`— consente a Resource Explorer di identificare i dettagli sulle condivisioni di risorse che possiedi o che sono condivise con te.
+ `organizations:DescribeOrganization`— consente a Resource Explorer di accedere alle informazioni sull'organizzazione.

Per visualizzare la versione più recente di questa policy AWS gestita, consulta `[AWSResourceExplorerReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerReadOnlyAccess.html)` la *AWS Managed Policy Reference Guide*.

## AWS politica gestita: AWSResourceExplorerServiceRolePolicy
<a name="security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy"></a>

Non puoi collegarti personalmente `AWSResourceExplorerServiceRolePolicy` a nessuna entità IAM. Questa policy può essere associata solo a un ruolo collegato al servizio che consente a Resource Explorer di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Resource Explorer](security_iam_service-linked-roles.md).

Questa politica concede le autorizzazioni necessarie a Resource Explorer per recuperare informazioni sulle risorse dell'utente. Resource Explorer popola gli indici che mantiene in ogni indice registrato. Regione AWS 

Per vedere la versione più recente di questa policy AWS gestita, consulta `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` nella console IAM.

## AWS politica gestita: AWSResourceExplorerOrganizationsAccess
<a name="security_iam_awsmanpol_AWSResourceExplorerOrganizationsAccess"></a>

Puoi assegnarle `AWSResourceExplorerOrganizationsAccess` alle tue identità IAM. 

Questa politica concede autorizzazioni amministrative a Resource Explorer e concede autorizzazioni di sola lettura ad altri per supportare questo accesso. Servizi AWS L' AWS Organizations amministratore necessita di queste autorizzazioni per configurare e gestire la ricerca su più account nella console.

**Dettagli dell'autorizzazione**

Questa politica include le autorizzazioni che consentono agli amministratori di configurare la ricerca su più account per l'organizzazione: 
+ `ec2:DescribeRegions`— Consente a Resource Explorer di accedere ai dettagli sulle regioni del tuo account.
+ `ram:ListResources`— Consente a Resource Explorer di elencare le condivisioni di risorse di cui fanno parte le risorse.
+ `ram:GetResourceShares`— Consente a Resource Explorer di identificare i dettagli sulle condivisioni di risorse che possiedi o che sono condivise con te.
+ `organizations:ListAccounts`— Consente a Resource Explorer di identificare gli account all'interno di un'organizzazione.
+ `organizations:ListRoots`— Consente a Resource Explorer di identificare gli account root all'interno di un'organizzazione.
+ `organizations:ListOrganizationalUnitsForParent`— Consente a Resource Explorer di identificare le unità organizzative (OU) in un'unità organizzativa principale o radice.
+ `organizations:ListAccountsForParent`— Consente a Resource Explorer di identificare gli account di un'organizzazione contenuti nella radice o nell'unità organizzativa di destinazione specificata.
+ `organizations:ListDelegatedAdministrators`— Consente a Resource Explorer di identificare gli AWS account designati come amministratori delegati in questa organizzazione.
+ `organizations:ListAWSServiceAccessForOrganization`— Consente a Resource Explorer di identificare un elenco di Servizi AWS quelli abilitati all'integrazione con l'organizzazione.
+ `organizations:DescribeOrganization`— Consente a Resource Explorer di recuperare informazioni sull'organizzazione a cui appartiene l'account dell'utente.
+ `organizations:EnableAWSServiceAccess`— Consente a Resource Explorer di abilitare l'integrazione di un Servizio AWS (il servizio specificato da`ServicePrincipal`) con AWS Organizations.
+ `organizations:DisableAWSServiceAccess`— Consente a Resource Explorer di disabilitare l'integrazione di un Servizio AWS (il servizio specificato da ServicePrincipal) con AWS Organizations.
+ `organizations:RegisterDelegatedAdministrator`— Consente a Resource Explorer di consentire all'account membro specificato di amministrare le funzionalità dell'organizzazione del AWS servizio specificato.
+ `organizations:DeregisterDelegatedAdministrator`— Consente a Resource Explorer di rimuovere il membro specificato Account AWS come amministratore delegato del membro specificato. Servizio AWS
+ `iam:GetRole`— Consente a Resource Explorer di recuperare informazioni sul ruolo specificato, inclusi il percorso del ruolo, il GUID, l'ARN e la politica di fiducia del ruolo che concede l'autorizzazione ad assumere il ruolo.
+ `iam:CreateServiceLinkedRole`— Consente a Resource Explorer di creare il ruolo collegato al servizio richiesto quando si [attiva Resource Explorer creando il](manage-service-turn-on-region.md#manage-service-turn-on-region-region) primo indice.

Per visualizzare la versione più recente di questa policy AWS gestita, consulta `[AWSResourceExplorerOrganizationsAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerOrganizationsAccess)` nella console IAM.

## Resource Explorer aggiorna le policy AWS gestite
<a name="security_iam_awsmanpol_updates"></a>

Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per Resource Explorer da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia dei documenti di Resource Explorer](doc-history.md).


| Modifica | Descrizione | Data | 
| --- | --- | --- | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)- Autorizzazioni politiche aggiornate per visualizzare tipi di risorse aggiuntivi  |  Resource Explorer ha aggiunto le autorizzazioni alla politica relativa ai ruoli collegati al servizio [`AWSResourceExplorerServiceRolePolicy`](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)che consente a Resource Explorer di visualizzare tipi di risorse aggiuntivi: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 12 dicembre 2023 | 
|  Nuove policy gestite da   |  Resource Explorer ha aggiunto la seguente AWS politica gestita: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 14 novembre 2023 | 
|  Policy gestite da aggiornate  |  Resource Explorer ha aggiornato le seguenti politiche AWS gestite per supportare la ricerca su più account: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 14 novembre 2023 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Politica aggiornata per supportare la ricerca su più account con Organizations  |  Resource Explorer ha aggiunto le autorizzazioni alla politica dei ruoli collegati al servizio `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` che consente a Resource Explorer di supportare la ricerca su più account con Organizations: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 14 novembre 2023 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Politica aggiornata per supportare tipi di risorse aggiuntivi  |  Resource Explorer ha aggiunto le autorizzazioni alla politica relativa ai ruoli collegati al servizio `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` che consente al servizio di indicizzare i seguenti tipi di risorse: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 17 ottobre 2023 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Politica aggiornata per supportare tipi di risorse aggiuntivi  |  Resource Explorer ha aggiunto le autorizzazioni alla politica relativa ai ruoli collegati al servizio `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` che consente al servizio di indicizzare i seguenti tipi di risorse: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 1° agosto 2023 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Politica aggiornata per supportare tipi di risorse aggiuntivi  |  Resource Explorer ha aggiunto le autorizzazioni alla politica relativa ai ruoli collegati al servizio `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` che consente al servizio di indicizzare i seguenti tipi di risorse: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 7 marzo 2023 | 
| Nuove policy gestite |  Resource Explorer ha aggiunto le seguenti AWS politiche gestite: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 7 novembre 2022 | 
|  Resource Explorer ha iniziato a tenere traccia  |  Resource Explorer ha iniziato a tenere traccia delle modifiche relative alle politiche AWS gestite.  | 7 novembre 2022 | 

# Utilizzo di ruoli collegati ai servizi per Resource Explorer
<a name="security_iam_service-linked-roles"></a>

Esploratore di risorse AWS utilizza AWS Identity and Access Management (IAM) ruoli collegati [ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Un ruolo collegato ai servizi è un tipo di IAM ruolo unico collegato direttamente a Resource Explorer. I ruoli collegati ai servizi sono predefiniti da Resource Explorer e includono tutte le autorizzazioni richieste dal servizio per chiamare altri utenti per conto dell'utente. Servizi AWS 

Un ruolo collegato al servizio semplifica la configurazione di Resource Explorer perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Resource Explorer definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Resource Explorer può assumerne i ruoli. Le autorizzazioni definite includono sia la politica di fiducia che la politica di autorizzazione e tale politica di autorizzazione non può essere assegnata a nessun'altra entità. IAM

*Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta i [AWS servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella Guida per l'utente. IAM* Qui, cerca i servizi con **Sì nella colonna Ruoli** collegati ai **servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

## Autorizzazioni di ruolo collegate ai servizi per Resource Explorer
<a name="slr-permissions"></a>

Resource Explorer utilizza il ruolo collegato al servizio denominato. `AWSServiceRoleForResourceExplorer` Questo ruolo concede al servizio Resource Explorer le autorizzazioni per visualizzare risorse ed AWS CloudTrail eventi dell'utente per conto dell'utente Account AWS e per indicizzare tali risorse per supportare la ricerca.

Il ruolo `AWSServiceRoleForResourceExplorer` collegato al servizio affida il ruolo solo al servizio con il seguente responsabile del servizio:
+ `resource-explorer-2.amazonaws.com`

La politica di autorizzazione dei ruoli denominata AWSResourceExplorerServiceRolePolicy consente l'accesso in sola lettura a Resource Explorer per recuperare i nomi e le proprietà delle risorse supportate. AWS Per visualizzare i servizi e le risorse supportati da Resource Explorer, vedi [Tipi di risorse che puoi cercare](https://docs.aws.amazon.com/resource-explorer/latest/userguide/supported-resource-types.html) con Resource Explorer. Per l'elenco completo di tutte le azioni che questo ruolo può eseguire, puoi visualizzare la `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` policy nella IAM console.

Un principale è un'IAMentità come un utente, un gruppo o un ruolo. Se consenti a Resource Explorer di creare automaticamente il ruolo collegato al servizio quando crea l'indice nella prima regione dell'account, il responsabile che esegue l'attività necessita solo delle autorizzazioni necessarie per creare l'indice Resource Explorer. Per creare manualmente il ruolo collegato al servizio utilizzandoIAM, il responsabile che esegue l'attività deve disporre dell'autorizzazione per creare un ruolo collegato al servizio. *Per ulteriori informazioni, consulta Autorizzazioni per i [ruoli collegati ai servizi nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) per l'utente. IAM*

## Creazione di un ruolo collegato al servizio per Resource Explorer
<a name="create-slr"></a>

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando attivi Resource Explorer in o esegui Console di gestione AWS il primo [CreateIndex](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateIndex.html) Regione AWS nel tuo account utilizzando AWS CLI o un AWS API, Resource Explorer crea automaticamente il ruolo collegato al servizio. 

Se devi ricreare un ruolo collegato ai servizi che hai precedentemente eliminato, puoi utilizzare lo stesso processo per ricreare il ruolo nel tuo account. Quando ti trovi [RegisterResourceExplorer](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_RegisterResourceExplorer.html)nella prima regione del tuo account, Resource Explorer crea nuovamente il ruolo collegato ai servizi per te. 

## Modifica di un ruolo collegato al servizio per Resource Explorer
<a name="edit-slr"></a>

Resource Explorer non consente di modificare il ruolo collegato al `AWSServiceRoleForResourceExplorer` servizio. Dopo aver creato un ruolo collegato al servizio, non puoi modificarne il nome, perché potrebbero farvi riferimento diverse entità. Tuttavia, puoi modificare la descrizione del ruolo utilizzando. IAM Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) per l'*IAMutente*.

## Eliminazione di un ruolo collegato al servizio per Resource Explorer
<a name="delete-slr"></a>

È possibile utilizzare la IAM console, il o il AWS CLI per eliminare manualmente il AWS API ruolo collegato al servizio. A tale scopo, devi prima rimuovere gli indici di Resource Explorer da tutti Regione AWS gli indici del tuo account e quindi eliminare manualmente il ruolo collegato al servizio.

**Nota**  
Se il servizio Resource Explorer utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione non riesce. In tal caso, assicurati che tutti gli indici di tutte le regioni vengano eliminati, quindi attendi qualche minuto e riprova l'operazione.

**Per eliminare manualmente il ruolo collegato al servizio utilizzando IAM**

Usa la IAM console AWS CLI, o il AWS API per eliminare il ruolo collegato al `AWSServiceRoleForResourceExplorer` servizio. *Per ulteriori informazioni, vedere [Eliminazione di un ruolo collegato al servizio nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) l'utente. IAM*

## Regioni supportate per i ruoli collegati ai servizi di Resource Explorer
<a name="slr-regions"></a>

Resource Explorer supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Endpoint Servizio AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) nella *Riferimenti generali di Amazon Web Services*.

# Risoluzione dei problemi relativi alle Esploratore di risorse AWS autorizzazioni
<a name="security_iam_troubleshoot"></a>

Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Resource Explorer e AWS Identity and Access Management (IAM).

**Topics**
+ [

## Non sono autorizzato a eseguire un'azione in Resource Explorer
](#security_iam_troubleshoot-no-permissions)
+ [

## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse di Resource Explorer
](#security_iam_troubleshoot-cross-account-access)

## Non sono autorizzato a eseguire un'azione in Resource Explorer
<a name="security_iam_troubleshoot-no-permissions"></a>

Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L'amministratore è la persona che ti ha fornito le credenziali utilizzate per tentare questa operazione.

Ad esempio, il seguente errore si verifica quando qualcuno assume il ruolo IAM `MyExampleRole` tenta di utilizzare la console per visualizzare i dettagli di una vista ma non dispone `resource-explorer-2:GetView` dell'autorizzazione.

```
User: arn:aws:iam::123456789012:role/MyExampleRole is not authorized to perform: resource-explorer-2:GetView on resource: arn:aws:resource-explorer-2:us-east-1:123456789012:view/EC2-Only-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```

In questo caso, la persona che utilizza il ruolo deve chiedere all'amministratore di aggiornare le politiche di autorizzazione del ruolo per consentire l'accesso alla vista utilizzando l'`resource-explorer-2:GetView`azione.

## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse di Resource Explorer
<a name="security_iam_troubleshoot-cross-account-access"></a>

È possibile creare un ruolo con il quale utenti in altri account o persone esterne all'organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per servizi che supportano policy basate su risorse o liste di controllo degli accessi (ACL), utilizza tali policy per concedere alle persone l’accesso alle tue risorse.

Per ulteriori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Resource Explorer supporta queste funzionalità, consulta[Come funziona Resource Explorer con IAM](security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l’accesso tramite la federazione delle identità, consulta [Fornire l’accesso a utenti autenticati esternamente (Federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l’utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l'accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l'utente IAM*.

# Protezione dei dati in Esploratore di risorse AWS
<a name="data-protection"></a>

Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati in Esploratore di risorse AWS. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, consulta la sezione [Privacy dei dati FAQ](https://aws.amazon.com/compliance/data-privacy-faq/).  Per informazioni sulla protezione dei dati in Europa, consulta il [Modello di responsabilitàAWS condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) il post sul *blog sulla AWS sicurezza*.

Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e di configurare i singoli utenti con AWS IAM Identity Center o AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l'autenticazione a più fattori (MFA) con ogni account.
+ UsaSSL/TLSper comunicare con AWS le risorse. Richiediamo TLS 1.2 e consigliamo TLS 1.3.
+ Configurazione API e registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'uso dei CloudTrail percorsi per registrare AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di FIPS 140-3 moduli crittografici convalidati per accedere AWS tramite un'interfaccia a riga di comando o unAPI, usa un endpoint. FIPS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere [Federal Information Processing](https://aws.amazon.com/compliance/fips/) Standard () 140-3. FIPS

Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Resource Explorer o altro Servizi AWS utilizzando la console, API AWS CLI, o. AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Se fornisci un URL a un server esterno, ti consigliamo vivamente di non includere le informazioni sulle credenziali URL per convalidare la tua richiesta a quel server.

## Crittografia a riposo
<a name="encryption-rest"></a>

I dati archiviati da Resource Explorer includono l'elenco indicizzato delle risorse e delle relative risorse associate ARNs utilizzate dal cliente e le visualizzazioni per accedervi.

Questi dati vengono crittografati quando sono inattivi utilizzando [AWS Key Management Service (AWS KMS) chiavi di crittografia simmetriche](https://docs.aws.amazon.com/kms/latest/developerguide/asymmetric-key-specs.html#key-spec-symmetric-default) che implementano l'[Advanced Encryption Standard (AES) in Galois Counter Mode ()](https://csrc.nist.gov/csrc/media/publications/fips/197/final/documents/fips-197.pdf) [con chiavi a 256 bit (-256-GCM)](http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf). AES GCM

## Crittografia in transito
<a name="encryption-transit"></a>

Le richieste dei clienti e tutti i dati associati vengono crittografati in transito utilizzando [Transport Later Security () 1.2 o versione successiva](https://datatracker.ietf.org/doc/html/rfc5246). TLS Tutti gli endpoint Resource Explorer supportano HTTPS la crittografia dei dati in transito. Per un elenco degli endpoint del servizio Resource Explorer, consulta [Esploratore di risorse AWS endpoint e quote](https://docs.aws.amazon.com/general/latest/gr/resourceexplorer2.html) in. *Riferimenti generali di AWS*

# Convalida della conformità per Esploratore di risorse AWS
<a name="compliance-validation"></a>

Per sapere se un programma Servizio AWS rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Ambito per programma di conformità](https://aws.amazon.com/compliance/services-in-scope/). Per informazioni generali, consulta [Programmi di conformità AWS](https://aws.amazon.com/compliance/programs/).

È possibile scaricare i report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) *Guida AWS Artifact per l'utente*.

La responsabilità di conformità quando si utilizza Resource Explorer è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. AWSfornisce le seguenti risorse per contribuire alla conformità:
+ [Security and Compliance Quick Start Guides (Guide Quick Start Sicurezza e compliance)](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): queste guide alla distribuzione illustrano considerazioni relative all'architettura e forniscono procedure per la distribuzione di ambienti di base incentrati sulla sicurezza e sulla conformità su AWS.
+ [Progettazione per la sicurezza e la conformità HIPAA su Amazon Web Services](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html): questo white paper descrive in che modo le aziende possono utilizzare AWS per creare applicazioni idonee all'HIPAA.
**Nota**  
Non Servizi AWS tutte sono idonee all'HIPAA. Per ulteriori informazioni, consulta la sezione [Riferimenti sui servizi conformi ai requisiti HIPAA](https://aws.amazon.com/compliance/hipaa-eligible-services-reference). 
+ [Risorse per la conformità AWS](https://aws.amazon.com/compliance/resources/): una raccolta di cartelle di lavoro e guide suddivise per settore e area geografica.
+ [Valutazione delle risorse con le regole](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) nella *Guida per gli sviluppatori di AWS Config*: AWS Config valuta il livello di conformità delle configurazioni delle risorse con pratiche interne, linee guida e regolamenti industriali.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): Questo servizio AWS fornisce una visione completa dello stato di sicurezza all'interno di AWS che consente di verificare la conformità con gli standard e le best practice di sicurezza del settore.

# Resilienza in Esploratore di risorse AWS
<a name="disaster-recovery-resiliency"></a>

L'infrastrutturaAWS globale di è basata su è basataRegioni AWS su zone di disponibilità. Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, connesse tramite reti altamente ridondanti, a bassa latenza e throughput elevato. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le Zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili, rispetto alle infrastrutture a data center singolo o multiplo.

Per ulteriori informazioni sulle Regioni AWS e le zone di disponibilità, consulta [Infrastruttura globale di AWS](https://aws.amazon.com/about-aws/global-infrastructure/).

# Sicurezza dell'infrastruttura in Esploratore di risorse AWS
<a name="infrastructure-security"></a>

In quanto servizio gestito, Esploratore di risorse AWS è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.

Si utilizzano API chiamate AWS pubblicate per accedere a Resource Explorer attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). Richiediamo TLS 1.2 e consigliamo TLS 1.3.
+ Suite di crittografia con perfetta segretezza di inoltro (PFS) come (Ephemeral Diffie-Hellman) o DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale. IAM O puoi utilizzare [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.

Per ulteriori informazioni sulle procedure di sicurezza della rete AWS globale, consulta il white paper [Amazon Web Services: Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).