Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Assumi il ruolo di fornitore di credenziali
**Nota**
Per informazioni sulla comprensione del layout delle pagine delle impostazioni o sull'interpretazione della tabella **Support by AWS SDKs and tools** riportata di seguito, vedere[Informazioni sulle pagine delle impostazioni di questa guida](settings-reference.md#settingsPages).
Assumere un ruolo implica l'utilizzo di un set di credenziali di sicurezza temporanee per accedere a AWS risorse a cui altrimenti non avreste accesso. Le credenziali temporanee sono costituite da un ID chiave di accesso, una chiave di accesso segreta e un token di sicurezza.
Per configurare l'SDK o lo strumento per assumere un ruolo, devi prima creare o identificare un *ruolo* specifico da assumere. I ruoli IAM sono identificati in modo univoco da un ruolo Amazon Resource Name ([ARN).](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) I ruoli stabiliscono relazioni di fiducia con un'altra entità. L'entità affidabile che utilizza il ruolo potrebbe essere un'altra Servizio AWS Account AWS, un provider di identità Web o una federazione OIDC o SAML.
Dopo aver identificato il ruolo IAM, se quel ruolo ti affida la fiducia, puoi configurare il tuo SDK o lo strumento per utilizzare le autorizzazioni concesse dal ruolo. A tale scopo, utilizza le seguenti impostazioni.
Per indicazioni su come iniziare a utilizzare queste impostazioni, [Assumere un ruolo con AWS credenziali di autenticazione e strumenti AWS SDKs](access-assume-role.md) consulta questa guida.
## Assumi le impostazioni del fornitore di credenziali di ruolo
Configura questa funzionalità utilizzando quanto segue:
**`credential_source`- impostazione dei AWS `config` file condivisi**
Utilizzato all'interno delle istanze Amazon EC2 o dei contenitori Amazon Elastic Container Service per specificare dove l'SDK o lo strumento possono trovare le credenziali autorizzate ad assumere il ruolo specificato con il parametro. `role_arn`
**Valore predefinito: Nessuno**
**Valori validi**:
+ **Ambiente**[: specifica che l'SDK o lo strumento devono recuperare le credenziali di origine dalle variabili di ambiente e. `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`](feature-static-credentials.md)
+ **Ec2 InstanceMetadata**: specifica che l'SDK o lo strumento deve utilizzare il [ruolo IAM collegato al profilo dell'istanza EC2 per ottenere le](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html) credenziali di origine.
+ **EcsContainer**: specifica che l'SDK o lo strumento deve utilizzare il [ruolo IAM collegato al contenitore Amazon ECS o il ruolo IAM collegato al contenitore](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/instance_IAM_role.html) [Amazon EKS per ottenere le credenziali](https://docs.aws.amazon.com/eks/latest/userguide/security-iam-service-with-iam.html) di origine.
Non è possibile specificare sia `credential_source` sia `source_profile` nello stesso profilo.
Esempio di impostazione in un `config` file per indicare che le credenziali devono provenire da Amazon EC2:
```
credential_source = Ec2InstanceMetadata
role_arn = arn:aws:iam::123456789012:role/my-role-name
```
**`duration_seconds`- impostazione di file condivisi AWS `config`**
Specifica la durata massima della sessione del ruolo, in secondi.
Questa impostazione si applica solo quando il profilo specifica di assumere un ruolo.
**Valore predefinito:** 3600 secondi (un'ora)
**Valori validi:** il valore può variare da 900 secondi (15 minuti) fino all'impostazione della durata massima della sessione configurata per il ruolo (che può essere un massimo di 43200 secondi o 12 ore). Per ulteriori informazioni, consulta [Visualizza l'impostazione della durata massima della sessione per un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html#id_roles_use_view-role-max-session) nella *Guida per l'utente IAM*.
Esempio di impostazione in un `config` file:
```
duration_seconds = 43200
```
**`external_id`- impostazione di AWS `config` file condivisi**
Specifica un identificatore univoco che viene utilizzato da terze parti per assumere un ruolo negli account dei relativi clienti.
Questa impostazione si applica solo quando il profilo specifica di assumere un ruolo e la politica di fiducia per il ruolo richiede un valore per`ExternalId`. Il valore è mappato al `ExternalId` parametro che viene passato all'`AssumeRole`operazione quando il profilo specifica un ruolo.
**Valore predefinito:** Nessuno.
**Valori validi:** vedi [Come utilizzare un ID esterno per concedere l'accesso alle tue AWS risorse a una terza parte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) nella *Guida per l'utente IAM*.
Esempio di impostazione in un `config` file:
```
external_id = unique_value_assigned_by_3rd_party
```
**`mfa_serial`- impostazione di AWS `config` file condivisi**
Speciifica l'identificazione o il numero di serie di un dispositivo di autenticazione a più fattori (MFA) che l'utente deve utilizzare quando assume un ruolo.
Richiesto quando si assume un ruolo in cui la politica di attendibilità per quel ruolo include una condizione che richiede l'autenticazione MFA. *Per ulteriori informazioni sulla MFA, consulta [Autenticazione a AWS più fattori in IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) User Guide.*
**Valore predefinito: Nessuno**.
**Valori validi:** il valore può essere un numero di serie per un dispositivo hardware (ad esempio`GAHT12345678`) o un Amazon Resource Name (ARN) per un dispositivo MFA virtuale. Il formato dell'ARN è: `arn:aws:iam::account-id:mfa/mfa-device-name`
Esempio di impostazione in un `config` file:
Questo esempio presuppone un dispositivo MFA virtuale, `MyMFADevice` chiamato, che sia stato creato per l'account e abilitato per un utente.
```
mfa_serial = arn:aws:iam::123456789012:mfa/MyMFADevice
```
**`role_arn`- impostazione condivisa AWS `config` dei file`AWS_ROLE_ARN`- variabile d'ambiente`aws.roleArn`- Proprietà del sistema JVM: solo Java/Kotlin **
Speciifica l'Amazon Resource Name (ARN) di un ruolo IAM che desideri utilizzare per eseguire le operazioni richieste utilizzando questo profilo.
**Valore predefinito: Nessuno**.
**Valori validi:** il valore deve essere l'ARN di un ruolo IAM, formattato come segue: `arn:aws:iam::account-id:role/role-name`
Inoltre, è necessario specificare anche **una delle** seguenti impostazioni:
+ `source_profile`— Per identificare un altro profilo da utilizzare per trovare le credenziali autorizzate ad assumere il ruolo in questo profilo.
+ `credential_source`— Utilizzare credenziali identificate dalle variabili di ambiente correnti o credenziali allegate a un profilo di istanza Amazon EC2 o a un'istanza di container Amazon ECS.
+ `web_identity_token_file`— Utilizzare provider di identità pubblici o qualsiasi provider di identità compatibile con OpenID Connect (OIDC) per gli utenti che sono stati autenticati in un'applicazione mobile o web.
**`role_session_name`- impostazione di file condivisi AWS `config``AWS_ROLE_SESSION_NAME`- variabile d'ambiente`aws.roleSessionName`- Proprietà del sistema JVM: solo Java/Kotlin **
Specifica il nome da associare alla sessione del ruolo. Questo nome viene visualizzato nei AWS CloudTrail registri delle voci associate a questa sessione, il che può essere utile durante il controllo. Per i dettagli, consulta l'[elemento CloudTrail UserIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) nella Guida per l'*AWS CloudTrail utente*.
**Valore predefinito:** un parametro opzionale. Se non fornisci questo valore, viene generato automaticamente un nome di sessione se il profilo assume un ruolo.
**Valori validi:** forniti al `RoleSessionName` parametro quando l' AWS API AWS CLI o l'API richiama l'`AssumeRole`operazione (o operazioni come l'`AssumeRoleWithWebIdentity`operazione) per tuo conto. Il valore diventa parte dell'utente presunto Amazon Resource Name (ARN) che puoi interrogare e viene visualizzato come parte delle voci di CloudTrail registro per le operazioni richiamate da questo profilo.
`arn:aws:sts::123456789012:assumed-role/my-role-name/my-role_session_name`.
Esempio di impostazione di questo valore in un `config` file:
```
role_session_name = my-role-session-name
```
**`source_profile`- impostazione di AWS `config` file condivisi**
Specifica un altro profilo le cui credenziali vengono utilizzate per assumere il ruolo specificato dall'`role_arn`impostazione nel profilo originale. Per informazioni su come vengono utilizzati i profili negli archivi condivisi AWS `config` e nei `credentials` file, consulta. [Condivisi `config` e `credentials` file](file-format.md)
Se si specifica un profilo che è anche un profilo di assunzione, ogni ruolo verrà assunto in ordine sequenziale per risolvere completamente le credenziali. Questa catena viene interrotta quando l'SDK incontra un profilo con credenziali. Il concatenamento dei ruoli limita la sessione di ruolo AWS CLI o dell' AWS API a un massimo di un'ora e non può essere aumentato. Per ulteriori informazioni, consulta [i termini e i concetti relativi ai ruoli](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) nella *Guida per l'utente IAM*.
**Valore predefinito:** Nessuno.
**Valori validi:** una stringa di testo costituita dal nome di un profilo definito nei `credentials` file `config` and. È inoltre necessario specificare un valore per `role_arn` nel profilo corrente.
Non è possibile specificare sia `credential_source` sia `source_profile` nello stesso profilo.
Esempio di impostazione in un file di configurazione:
```
[profile A]
source_profile = B
role_arn = arn:aws:iam::123456789012:role/RoleA
role_session_name = ProfileARoleSession
[profile B]
credential_process = ./aws_signing_helper credential-process --certificate /path/to/certificate --private-key /path/to/private-key --trust-anchor-arn arn:aws:rolesanywhere:region:account:trust-anchor/TA_ID --profile-arn arn:aws:rolesanywhere:region:account:profile/PROFILE_ID --role-arn arn:aws:iam::account:role/ROLE_ID
```
Nell'esempio precedente, il `A` profilo indica all'SDK o allo strumento di cercare automaticamente le credenziali per il profilo collegato. `B` In questo caso, il `B` profilo utilizza lo strumento di supporto alle credenziali fornito da per ottenere le credenziali per [Utilizzo di IAM Roles Anywhere per l'autenticazione AWS SDKs e gli strumenti](access-rolesanywhere.md) l'SDK. AWS Queste credenziali temporanee vengono quindi utilizzate dal codice per accedere alle risorse. AWS Al ruolo specificato devono essere associate politiche di autorizzazione IAM che consentano l'esecuzione del codice richiesto, ad esempio il comando o il Servizio AWS metodo API. Ogni azione eseguita dal profilo `A` ha il nome della sessione del ruolo incluso nei CloudTrail log.
Per un secondo esempio di concatenamento dei ruoli, è possibile utilizzare la seguente configurazione se hai un'applicazione su un'istanza Amazon Elastic Compute Cloud e desideri che tale applicazione assuma un altro ruolo.
```
[profile A]
source_profile = B
role_arn = arn:aws:iam::123456789012:role/RoleA
role_session_name = ProfileARoleSession
[profile B]
credential_source=Ec2InstanceMetadata
```
Il profilo `A` utilizzerà le credenziali dell'istanza Amazon EC2 per assumere il ruolo specificato e rinnoverà le credenziali automaticamente.
**`web_identity_token_file`- impostazione di file condivisi AWS `config``AWS_WEB_IDENTITY_TOKEN_FILE`- variabile d'ambiente`aws.webIdentityTokenFile`- Proprietà del sistema JVM: solo Java/Kotlin **
Speciifica il percorso di un file che contiene un token di accesso da un [provider OAuth 2.0 supportato o da un provider](https://wikipedia.org/wiki/List_of_OAuth_providers) di [identità OpenID Connect ID](https://openid.net/developers/certified/).
Questa impostazione consente l'autenticazione utilizzando provider di federazione delle identità Web, come [Google](https://developers.google.com/identity/protocols/OAuth2), [Facebook](https://developers.facebook.com/docs/facebook-login/overview) e [Amazon](https://login.amazon.com/), tra molti altri. L'SDK o lo strumento di sviluppo carica il contenuto di questo file e lo passa come `WebIdentityToken` argomento quando chiama l'`AssumeRoleWithWebIdentity`operazione per conto dell'utente.
**Valore predefinito:** Nessuno.
**Valori validi:** questo valore deve essere un percorso e un nome di file. Il file deve contenere un token di accesso OAuth 2.0 o un token OpenID Connect fornito da un provider di identità. I percorsi relativi vengono trattati come relativi alla directory di lavoro del processo.
## Support by AWS SDKs and tools
Di seguito sono SDKs supportate le funzionalità e le impostazioni descritte in questo argomento. Vengono annotate eventuali eccezioni parziali. Tutte le impostazioni delle proprietà del sistema JVM sono supportate solo da AWS SDK per Java and the. AWS SDK per Kotlin
| SDK | Supportata | Note o ulteriori informazioni |
| --- | --- | --- |
| [AWS CLI ](https://docs.aws.amazon.com/cli/latest/userguide/) v2 | Sì | |
| [SDK per C\$1\$1](https://docs.aws.amazon.com/sdk-for-cpp/latest/developer-guide/) | Parziale | credential\$1sourcenon supportato. duration\$1secondsnon supportato. mfa\$1serialnon supportato. |
| [SDK per Go V2 (1.x)](https://docs.aws.amazon.com/sdk-for-go/v2/developer-guide/) | Sì | |
| [SDK per Go 1.x (V1)](https://docs.aws.amazon.com/sdk-for-go/latest/developer-guide/) | Sì | [Per utilizzare le impostazioni dei `config` file condivisi, devi attivare il caricamento dal file di configurazione; vedi Sessioni.](https://docs.aws.amazon.com/sdk-for-go/api/aws/session/) |
| [SDK per Java 2.x](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/) | Parziale | mfa\$1serialnon supportato. duration\$1secondsnon supportato. |
| [SDK per Java 1.x](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/) | Parziale | credential\$1sourcenon supportato. mfa\$1serialnon supportato. Le proprietà del sistema JVM non sono supportate. |
| [SDK per 3.x JavaScript ](https://docs.aws.amazon.com/sdk-for-javascript/latest/developer-guide/) | Sì | |
| [SDK per 2.x JavaScript ](https://docs.aws.amazon.com/sdk-for-javascript/v2/developer-guide/) | Parziale | credential\$1sourcenon supportato. |
| [SDK per Kotlin](https://docs.aws.amazon.com/sdk-for-kotlin/latest/developer-guide/) | Sì | |
| [SDK per.NET 4.x](https://docs.aws.amazon.com/sdk-for-net/latest/developer-guide/) | Sì | |
| [SDK per.NET 3.x](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/) | Sì | |
| [SDK per PHP 3.x](https://docs.aws.amazon.com/sdk-for-php/latest/developer-guide/) | Sì | |
| [SDK per Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html) | Sì | |
| [SDK per Ruby 3.x](https://docs.aws.amazon.com/sdk-for-ruby/latest/developer-guide/) | Sì | |
| [SDK per Rust](https://docs.aws.amazon.com/sdk-for-rust/latest/dg/) | Sì | |
| [SDK per Swift](https://docs.aws.amazon.com/sdk-for-swift/latest/developer-guide/) | Sì | |
| [Strumenti per V5 PowerShell ](https://docs.aws.amazon.com/powershell/latest/userguide/) | Sì | |
| [Strumenti per PowerShell V4](https://docs.aws.amazon.com/powershell/v4/userguide/) | Sì | |