Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza
Quando crei sistemi sull'infrastruttura AWS, le responsabilità di sicurezza vengono condivise tra te e AWS. Questo [modello condiviso](https://aws.amazon.com/compliance/shared-responsibility-model/) può ridurre il carico operativo in quanto AWS opera, gestisce e controlla i componenti, dal sistema operativo host e dal livello di virtualizzazione fino alla sicurezza fisica delle strutture in cui operano i servizi. Per ulteriori informazioni sulla sicurezza su AWS, visita il [Centro di Sicurezza AWS](https://aws.amazon.com/security/).
## Ruoli IAM
Questa soluzione crea ruoli IAM per controllare e isolare le autorizzazioni, seguendo la best practice del privilegio minimo. La soluzione concede ai servizi le seguenti autorizzazioni:
## Modello di hub
`RegisterSpokeAccountsFunctionLambdaRole`
+ Autorizzazione di scrittura alla tabella Amazon DynamoDB in cui sono registrati gli account spoke
`InvokeECSTaskRole`
+ Autorizzazione a creare ed eseguire attività Amazon ECS
`CostOptimizerAdminRole`
+ Autorizzazioni di lettura per una tabella Amazon DynamoDB in cui sono registrati gli account spoke
+ Assumi le autorizzazioni di ruolo per gli account in spoke `WorkspacesManagementRole`
+ Autorizzazioni di sola lettura per AWS Directory Service
+ Autorizzazioni di scrittura per Amazon Logs CloudWatch
+ Autorizzazioni di scrittura su Amazon S3
+ Autorizzazioni di lettura e scrittura per WorkSpaces
`SolutionHelperRole`
+ Autorizzazione a richiamare una funzione AWS Lambda per generare un identificatore univoco universale (UUID) per i parametri della soluzione
## Modello Spoke
`WorkSpacesManagementRole`
+ Autorizzazioni di sola lettura per AWS Directory Service
+ Autorizzazioni di scrittura per Amazon Logs CloudWatch
+ Autorizzazioni di scrittura su Amazon S3
+ Autorizzazioni di lettura/scrittura per WorkSpaces
`AccountRegistrationProviderRole`
+ Richiama la funzione Lambda per registrare l'account spoke con lo stack di account hub