Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Assumere un ruolo con web identity o OpenID Connect per l'autenticazione e AWS SDKs gli strumenti
<a name="access-assume-role-web"></a>

Assumere un ruolo implica l'utilizzo di un set di credenziali di sicurezza temporanee per accedere a AWS risorse a cui altrimenti non avreste accesso. Le credenziali temporanee sono costituite da un ID chiave di accesso, una chiave di accesso segreta e un token di sicurezza. Per ulteriori informazioni sulle richieste API AWS Security Token Service (AWS STS), consulta [Azioni](https://docs.aws.amazon.com/STS/latest/APIReference/API_Operations.html) nell'*AWS Security Token Service API* Reference. 

Per configurare l'SDK o lo strumento in modo che assuma un ruolo, devi prima creare o identificare un *ruolo* specifico da assumere. I ruoli IAM sono identificati in modo univoco da un ruolo Amazon Resource Name ([ARN).](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) I ruoli stabiliscono relazioni di fiducia con un'altra entità. L'entità affidabile che utilizza il ruolo potrebbe essere un provider di identità Web o una federazione OpenID Connect (OIDC) o SAML. *Per ulteriori informazioni sui ruoli IAM, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella Guida per l'utente IAM.* 

Dopo aver configurato il ruolo IAM nel tuo SDK, se tale ruolo è configurato in modo da considerare attendibile il tuo provider di identità, puoi configurare ulteriormente il tuo SDK per assumere quel ruolo e ottenere credenziali temporanee AWS .

**Nota**  
È consigliabile utilizzare gli endpoint regionali ogni volta che è possibile e configurare i propri. AWS [Regione AWS](feature-region.md) 

## Federazione con identità web o OpenID Connect
<a name="webidentity"></a>

Puoi utilizzare i JSON Web Tokens (JWTs) di provider di identità pubblici, come Login With Amazon, Facebook, Google per ottenere AWS credenziali temporanee utilizzando. `AssumeRoleWithWebIdentity` A seconda di come vengono utilizzati, JWTs possono essere chiamati token ID o token di accesso. È inoltre possibile utilizzare dati JWTs emessi da provider di identità (IdPs) compatibili con il protocollo di rilevamento di OIDC, come o. EntraId PingFederate

Se utilizzi Amazon Elastic Kubernetes Service, questa funzionalità offre la possibilità di specificare diversi ruoli IAM per ciascuno dei tuoi account di servizio in un cluster Amazon EKS. Questa funzionalità di Kubernetes viene distribuita JWTs ai tuoi pod, che vengono poi utilizzati da questo provider di credenziali per ottenere credenziali temporanee. AWS Per ulteriori informazioni su questa configurazione di Amazon EKS, consulta [i ruoli IAM per gli account di servizio](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html) nella **Amazon EKS User Guide**. Tuttavia, per un'opzione più semplice, ti consigliamo di utilizzare invece [Amazon EKS Pod Identities](https://docs.aws.amazon.com/eks/latest/userguide/pod-identities.html) se il tuo [SDK](feature-container-credentials.md#feature-container-credentials-sdk-compat) lo supporta.

### Fase 1: configurare un provider di identità e un ruolo IAM
<a name="webidentity_step1"></a>

Per configurare la federazione con un IdP esterno, utilizza un provider di identità IAM per fornire AWS informazioni sull'IdP esterno e sulla sua configurazione. In questo modo si instaura un rapporto di *fiducia* tra il tuo Account AWS e l'IdP esterno. Prima di configurare l'SDK per utilizzare il JSON Web Token (JWT) per l'autenticazione, devi prima configurare l'identity provider (IdP) e il ruolo IAM utilizzato per accedervi. Per configurarli, consulta [Creating a role for web identity o OpenID Connect Federation (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html) nella *IAM User* Guide.

### Passaggio 2: configura l'SDK o lo strumento
<a name="webidentity_step2"></a>

Configura l'SDK o lo strumento per utilizzare un JSON Web Token (JWT) per l'autenticazione. AWS STS 

Quando lo specifichi in un profilo, l'SDK o lo strumento effettua automaticamente la chiamata AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)API corrispondente. Per recuperare e utilizzare le credenziali temporanee utilizzando la federazione delle identità Web, specificate i seguenti valori di configurazione nel file condiviso. AWS `config` Per maggiori dettagli su ciascuna di queste impostazioni, consulta la [Assumi le impostazioni del fornitore di credenziali di ruolo](feature-assume-role-credentials.md#feature-assume-role-credentials-settings) sezione. 
+ `role_arn`- Dal ruolo IAM che hai creato nella fase 1
+ `web_identity_token_file`- Dall'IdP esterno
+ (Facoltativo) `duration_seconds`
+ (Facoltativo) `role_session_name` 

Di seguito è riportato un esempio di configurazione di `config` file condivisa per assumere un ruolo con identità web:

```
[profile web-identity]
role_arn=arn:aws:iam::123456789012:role/my-role-name
web_identity_token_file=/path/to/a/token
```

**Nota**  
Per le applicazioni mobili, prendi in considerazione l'utilizzo di Amazon Cognito. Amazon Cognito funge da broker di identità e svolge gran parte del lavoro federativo per te. Tuttavia, il provider di identità Amazon Cognito non è incluso nelle librerie di base di SDKs and tools come altri provider di identità. Per accedere all'API Amazon Cognito, includi il client del servizio Amazon Cognito nella build o nelle librerie del tuo SDK o strumento. Per l'utilizzo con AWS SDKs, consulta [Esempi di codice](https://docs.aws.amazon.com/cognito/latest/developerguide/service_code_examples.html) nella *Amazon Cognito Developer Guide*.

Per i dettagli su tutte le impostazioni del provider di credenziali di assunzione del ruolo, [Assumi il ruolo di fornitore di credenziali](feature-assume-role-credentials.md) consulta questa guida.