**Ti presentiamo una nuova esperienza di console per AWS WAF**
Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Identity and Access Management per AWS Firewall Manager
AWS Identity and Access Management (IAM) aiuta un Servizio AWS amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (dispone delle autorizzazioni) a utilizzare le risorse di Firewall Manager. IAM è un Servizio AWS software che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come AWS Firewall Manager funziona con IAM](fms-security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per AWS Firewall Manager](fms-security-iam-awsmanpol.md)
+ [Risoluzione dei problemi di AWS Firewall Manager identità e accesso](fms-security_iam_troubleshoot.md)
+ [Utilizzo di ruoli collegati ai servizi per Firewall Manager](fms-using-service-linked-roles.md)
+ [Prevenzione del problema "confused deputy" tra servizi](cross-service-confused-deputy-prevention.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia a seconda del lavoro svolto in Firewall Manager.
**Utente del servizio**: se si utilizza il servizio Firewall Manager per svolgere il proprio lavoro, l'amministratore fornisce le credenziali e le autorizzazioni necessarie. Man mano che utilizzi più funzionalità di Firewall Manager per svolgere il tuo lavoro, potresti aver bisogno di autorizzazioni aggiuntive. La comprensione della gestione dell’accesso consente di richiedere le autorizzazioni corrette all’amministratore. Se non è possibile accedere a una funzionalità di Firewall Manager, vedere[Risoluzione dei problemi di AWS Shield identità e accesso](shd-security_iam_troubleshoot.md).
**Amministratore del servizio**: se sei responsabile delle risorse di Firewall Manager presso la tua azienda, probabilmente hai pieno accesso a Firewall Manager. È compito dell'utente determinare a quali funzionalità e risorse di Firewall Manager devono accedere gli utenti del servizio. Devi quindi inviare le richieste all’amministratore IAM per modificare le autorizzazioni degli utenti del servizio. Esamina le informazioni contenute in questa pagina per comprendere i concetti di base relativi a IAM. Per ulteriori informazioni su come la tua azienda può utilizzare IAM con Firewall Manager, consulta[Come AWS Shield funziona con IAM](shd-security_iam_service-with-iam.md).
**Amministratore IAM**: se sei un amministratore IAM, potresti voler conoscere i dettagli su come scrivere policy per gestire l'accesso a Firewall Manager. Per visualizzare esempi di policy basate sull'identità di Firewall Manager che puoi utilizzare in IAM, consulta. [Esempi di policy basate sull'identità per AWS Shield](shd-security_iam_id-based-policy-examples.md)
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Liste di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come AWS Firewall Manager funziona con IAM
Prima di utilizzare IAM per gestire l'accesso a Firewall Manager, scopri quali funzionalità IAM sono disponibili per l'uso con Firewall Manager.
**Funzionalità IAM che puoi utilizzare con AWS Firewall Manager**
| Funzionalità IAM | Supporto Firewall Manager |
| --- | --- |
| [Policy basate sull’identità](#fms-security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#fms-security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#fms-security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#fms-security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione della policy (specifica del servizio)](#fms-security_iam_service-with-iam-id-based-policies-conditionkeys) | No |
| [ACLs](#fms-security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#fms-security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#fms-security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Inoltro delle sessioni di accesso (FAS)](#fms-security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#fms-security_iam_service-with-iam-roles-service) | Parziale |
| [Ruoli collegati al servizio](#fms-security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una visione di alto livello di come Firewall Manager e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per Firewall Manager
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
Per visualizzare esempi di policy basate sull'identità di Firewall Manager, vedere. [Esempi di policy basate sull'identità per AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)
### Esempi di policy basate sull'identità per Firewall Manager
Per visualizzare esempi di policy basate sull'identità di Firewall Manager, vedere. [Esempi di policy basate sull'identità per AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno di Firewall Manager
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per Firewall Manager
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco delle azioni di Firewall Manager, vedere [Azioni definite da AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions) nel *Service Authorization Reference*.
Le azioni relative alle policy in Firewall Manager utilizzano il seguente prefisso prima dell'azione:
```
fms
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"fms:action1",
"fms:action2"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "fms:Describe*"
```
Per visualizzare esempi di policy basate sull'identità di Firewall Manager, vedere. [Esempi di policy basate sull'identità per AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)
## Risorse relative alle policy per Firewall Manager
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di risorse di Firewall Manager e relativi ARNs, vedere [Risorse definite da AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-resources-for-iam-policies) nel *Service Authorization Reference*. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta la sezione [Operazioni definite da AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions).
Per visualizzare esempi di policy basate sull'identità di Firewall Manager, vedere. [Esempi di policy basate sull'identità per AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)
## Chiavi relative alle condizioni delle policy per Firewall Manager
**Supporta le chiavi di condizione delle policy specifiche del servizio:** No
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco delle chiavi di condizione di Firewall Manager, vedere [Chiavi di condizione AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-policy-keys) nel *Service Authorization Reference*. Per sapere con quali azioni e risorse è possibile utilizzare una chiave di condizione, vedere [Azioni definite da AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions).
Per visualizzare esempi di policy basate sull'identità di Firewall Manager, vedere. [Esempi di policy basate sull'identità per AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)
## ACLs in Firewall Manager
**Supporti ACLs:** no
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con Firewall Manager
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. È possibile allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con Firewall Manager
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Sessioni di accesso diretto per Firewall Manager
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante e Servizio AWS, in combinazione con la richiesta, di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per Firewall Manager
**Supporta i ruoli di servizio:** parziale
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità di Firewall Manager. Modificare i ruoli di servizio solo quando Firewall Manager fornisce indicazioni in tal senso.
### Scelta di un ruolo IAM in Firewall Manager
Per utilizzare l'azione *PutNotificationChannel* API in Firewall Manager, devi scegliere un ruolo per consentire a Firewall Manager di accedere ad Amazon SNS in modo che il servizio possa pubblicare messaggi Amazon SNS per tuo conto. Per ulteriori informazioni, consulta [PutNotificationChannel](https://amazonaws.com/fms/2018-01-01/APIReference/API_PutNotificationChannel.html) nella *documentazione di riferimento dell’API AWS Firewall Manager *.
Di seguito viene illustrato un esempio di impostazione delle autorizzazioni per gli argomenti SNS. Per utilizzare questa politica con il tuo ruolo personalizzato, sostituisci `AWSServiceRoleForFMS` Amazon Resource Name (ARN) con l'`SnsRoleName`ARN.
```
{
"Sid": "AWSFirewallManagerSNSPolicy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account ID:role/aws-service-role/fms.amazonaws.com/AWSServiceRoleForFMS"
},
"Action": "sns:Publish",
"Resource": "SNS topic ARN"
}
```
Per ulteriori informazioni sulle azioni e le risorse di Firewall Manager, vedere l'argomento della AWS Identity and Access Management guida [Azioni definite da AWS Firewall Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions)
## Ruoli collegati ai servizi per Firewall Manager
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Esempi di policy basate sull'identità per AWS Firewall Manager
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare le risorse di Firewall Manager. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da Firewall Manager, incluso il formato di ARNs per ogni tipo di risorsa, vedere [Azioni, risorse e chiavi di condizione AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html) nel *Service Authorization Reference*.
**Topics**
+ [Best practice per le policy](#fms-security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Firewall Manager](#fms-security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#fms-security_iam_id-based-policy-examples-view-own-permissions)
+ [Concedi l'accesso in lettura ai tuoi gruppi di sicurezza Firewall Manager](#fms-example0)
## Best practice per le policy
Le policy basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse di Firewall Manager nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Firewall Manager
Per accedere alla AWS Firewall Manager console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentire di elencare e visualizzare i dettagli sulle risorse di Firewall Manager presenti nel tuo Account AWS. Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario concedere autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano ancora utilizzare la console Firewall Manager, collega anche Firewall Manager `ConsoleAccess` o la policy `ReadOnly` AWS gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Concedi l'accesso in lettura ai tuoi gruppi di sicurezza Firewall Manager
Firewall Manager consente l'accesso alle risorse tra account, ma non consente di creare protezioni delle risorse tra account. È possibile creare protezioni per le risorse solo dall'interno dell'account proprietario di tali risorse.
Di seguito è riportato un esempio di politica che concede autorizzazioni per e `ec2:DescribeSecurityGroups` azioni su `fms:Get` tutte `fms:List` le risorse.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"fms:Get*",
"fms:List*",
"ec2:DescribeSecurityGroups"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
# AWS politiche gestite per AWS Firewall Manager
Una policy AWS gestita è una policy autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: `AWSFMAdminFullAccess`
Utilizza la policy `AWSFMAdminFullAccess` AWS gestita per consentire agli amministratori di accedere alle AWS Firewall Manager risorse, inclusi tutti i tipi di policy di Firewall Manager. Questa politica non include le autorizzazioni per la configurazione delle notifiche di Amazon Simple Notification Service in AWS Firewall Manager. Per informazioni su come configurare l'accesso per Amazon Simple Notification Service, consulta [Configurazione dell'accesso per Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/sns-setting-up.html).
Per l'elenco e i dettagli delle policy, consulta la console IAM all'indirizzo [AWSFMAdminFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminFullAccess$serviceLevelSummary). Il resto di questa sezione offre una panoramica delle impostazioni delle policy.
**Dichiarazioni di autorizzazione**
Questa politica è raggruppata in istruzioni basate sul set di autorizzazioni.
+ **AWS Firewall Manager risorse politiche**: consente autorizzazioni amministrative complete per le risorse in AWS Firewall Manager, inclusi tutti i tipi di policy di Firewall Manager.
+ **Scrivi AWS WAF log su Amazon Simple Storage Service**: consente a Firewall Manager di scrivere e leggere AWS WAF i log in Amazon S3.
+ **Crea ruolo collegato ai servizi**: consente all'amministratore di creare un ruolo collegato al servizio, che consente a Firewall Manager di accedere alle risorse di altri servizi per conto dell'utente. Questa autorizzazione consente di creare il ruolo collegato al servizio solo per l'utilizzo da parte di Firewall Manager. Per informazioni su come Firewall Manager utilizza i ruoli collegati ai servizi, vedere. [Utilizzo di ruoli collegati ai servizi per Firewall Manager](fms-using-service-linked-roles.md)
+ **AWS Organizations**— Consente agli amministratori di utilizzare Firewall Manager per un'organizzazione in AWS Organizations. Dopo aver abilitato l'accesso affidabile per Firewall Manager in AWS Organizations, i membri dell'account amministratore possono visualizzare i risultati in tutta l'organizzazione. Per informazioni sull'utilizzo AWS Organizations con AWS Firewall Manager, vedere [Utilizzo AWS Organizations con altri AWS servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) nella *Guida per l'AWS Organizations utente*.
**Categorie di autorizzazioni**
Di seguito sono elencati i tipi di autorizzazioni presenti nella politica e le autorizzazioni da esse fornite.
+ `fms`— Lavora con AWS Firewall Manager le risorse.
+ `waf`e `waf-regional` — Lavora con le politiche AWS WAF classiche.
+ `elasticloadbalancing`— Associa AWS WAF web ACLsto Elastic Load Balancer.
+ `firehose`— Visualizza informazioni sui AWS WAF log.
+ `organizations`— Risorse Work with AWS Organizations.
+ `shield`— Visualizza lo stato delle AWS Shield politiche di sottoscrizione.
+ `route53resolver`— Utilizza Route 53 Private DNS per i gruppi di VPCs regole in un Route 53 Private DNS for VPCs policy.
+ `wafv2`— Lavora con AWS WAFV2 le politiche.
+ `network-firewall`— Lavora con AWS Network Firewall le politiche.
+ `ec2`— Visualizza le zone e le regioni di disponibilità delle politiche.
+ `s3`— Visualizza informazioni sui AWS WAF registri.
## AWS politica gestita: `FMSServiceRolePolicy`
Questa politica consente di AWS Firewall Manager gestire AWS le risorse per conto dell'utente in Firewall Manager e nei servizi integrati. Questa policy è attribuita al ruolo collegato ai servizi `AWSServiceRoleForFMS`. Per ulteriori informazioni sul ruolo collegato al servizio, consulta [Utilizzo di ruoli collegati ai servizi per Firewall Manager](fms-using-service-linked-roles.md).
Per i dettagli delle policy, consulta la console IAM all'indirizzo [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary).
## AWS politica gestita: AWSFMAdmin ReadOnlyAccess
Garantisce l'accesso in sola lettura a tutte le risorse di AWS Firewall Manager.
Per l'elenco e i dettagli delle policy, consulta la console IAM all'indirizzo. [AWSFMAdminReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminReadOnlyAccess$serviceLevelSummary) Il resto di questa sezione offre una panoramica delle impostazioni delle policy.
**Categorie di autorizzazioni**
Di seguito sono elencati i tipi di autorizzazioni presenti nella policy e le informazioni a cui le autorizzazioni consentono l'accesso in sola lettura.
+ `fms`— risorse AWS Firewall Manager .
+ `waf`e `waf-regional` — AWS WAF Politiche classiche.
+ `firehose`— AWS WAF registri.
+ `organizations`— Risorse per le AWS organizzazioni.
+ `shield`— AWS Shield politiche.
+ `route53resolver`— DNS privato Route 53 per gruppi di VPCs regole in un DNS privato Route 53 per VPCs policy.
+ `wafv2`— I tuoi gruppi di AWS WAFV2 regole e i gruppi di regole AWS Managed Rules disponibili in. AWS WAFV2
+ `network-firewall`— gruppi di AWS Network Firewall regole e metadati dei gruppi di regole.
+ `ec2`— AWS Network Firewall policy Zone e regioni di disponibilità.
+ `s3`— AWS WAF registri.
## AWS politica gestita: AWSFMMember ReadOnlyAccess
Garantisce l'accesso in sola lettura alle risorse dei membri. AWS Firewall Manager Per l'elenco e i dettagli delle policy, consulta la console IAM all'indirizzo. [AWSFMMemberReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMMemberReadOnlyAccess$serviceLevelSummary)
## Aggiornamenti di Firewall Manager alle policy AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Firewall Manager da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti di Firewall Manager all'indirizzo. [Cronologia dei documenti](doc-history.md)
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy)— Politica aggiornata | Sono state aggiunte le autorizzazioni alla politica del servizio Firewall Manager. Sono state aggiunte le seguenti autorizzazioni richieste per Amazon CloudFront: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/fms-security-iam-awsmanpol.html) | 2025-05-21 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy)— Politica aggiornata | Sono state aggiunte le autorizzazioni alla politica del servizio Firewall Manager. Sono state aggiunte `BatchGetResourceConfig` le autorizzazioni per ottenere gli stati di configurazione delle risorse in batch. Vedi la policy aggiornata nella console IAM:. [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary) | 2025-02-10 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy)— Politica aggiornata | Sono state aggiunte autorizzazioni alla politica del ruolo del servizio Firewall Manager. È stata aggiunta la possibilità di leggere le informazioni di configurazione TLS del Network Firewall. Vedi la policy aggiornata nella console IAM: [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary). | 2024-07-22 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy)— Politica aggiornata | Autorizzazioni aggiunte per la gestione della rete ACLs. Vedi la policy aggiornata nella console IAM: [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary). | 2024-04-22 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy)— Politica aggiornata | Sono state aggiunte autorizzazioni che consentono a Firewall Manager di descrivere se le AWS Config regole specificate sono conformi. Vedi la policy aggiornata nella console IAM:. [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary) | 2023-04-21 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy)— Politica aggiornata | Sono state aggiunte autorizzazioni che consentono a Firewall Manager di descrivere gli attributi dell'istanza e dell'interfaccia di rete di Amazon EC2. Consulta la policy aggiornata nella console IAM:. [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary) | 2022-11-15 |
| [AWSFMAdminReadOnlyAccess](#security-iam-awsmanpol-AWSFMAdminReadOnlyAccess)— Politica aggiornata | Sono state aggiunte le autorizzazioni per il supporto AWS WAFV2, Shield, Network Firewall, DNS Firewall, gruppo di sicurezza Amazon VPC e policy. Vedi la policy aggiornata nella console IAM:. [AWSFMAdminReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminReadOnlyAccess$serviceLevelSummary) | 2022-11-02 |
| [AWSFMAdminFullAccess](#security-iam-awsmanpol-AWSFMAdminFullAccess)— Politica aggiornata | Sono state aggiunte le autorizzazioni per il supporto AWS WAFV2, Shield, Network Firewall, DNS Firewall, gruppo di sicurezza Amazon VPC e policy. Autorizzazioni Amazon SNS rimosse. Consulta la policy aggiornata nella console IAM:. [AWSFMAdminFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminFullAccess$serviceLevelSummary) | 2022-10-21 |
| `FMSServiceRolePolicy`— Nuove autorizzazioni per le politiche firewall di terze parti AWS Firewall Manager | Questa modifica consente a Firewall Manager di creare ed eliminare gli endpoint VPC di Amazon EC2 associati a una policy firewall di terze parti. | 30/03/2022 |
| `FMSServiceRolePolicy`— Nuove autorizzazioni per le politiche AWS Network Firewall | Sono state aggiunte nuove autorizzazioni per supportare l'implementazione di firewall per le politiche del Network Firewall. Le nuove autorizzazioni consentono il recupero di informazioni sulle zone di disponibilità per gli account che rientrano nell'ambito di una politica. | 2022-02-16 |
| `FMSServiceRolePolicy`— Nuove autorizzazioni per le politiche AWS Shield | Aggiunte nuove autorizzazioni per recuperare i tag per le risorse AWS WAF regionali e AWS WAF globali. Sono state aggiunte le autorizzazioni AWS WAF regionali per recuperare il Web ACLs utilizzando una risorsa ARN. Sono state aggiunte le autorizzazioni per supportare la mitigazione automatica del livello DDo S dell'applicazione Shield. | 07/01/2022 |
| `FMSServiceRolePolicy`— Nuove autorizzazioni per le politiche AWS Shield | È stata aggiunta una nuova autorizzazione per recuperare i tag per le risorse Elastic Load Balancing. | 18/11/2021 |
| `FMSServiceRolePolicy`— Nuove autorizzazioni per gruppi di sicurezza e politiche AWS Network Firewall | Sono state aggiunte nuove autorizzazioni per abilitare la registrazione centralizzata delle politiche. AWS Network Firewall Inoltre, sono state aggiunte autorizzazioni Amazon EC2 di sola lettura per supportare le modifiche al servizio Config che influiscono AWS Firewall Manager sul modo in cui le risorse vengono interrogate per le policy dei gruppi di sicurezza. | 29 settembre 2021 |
| `FMSServiceRolePolicy`— Formati ARN per le risorse AWS WAF | Aggiornato il `FMSServiceRolePolicy` per standardizzare i formati AWS WAF ARN per le risorse. I formati ARN aggiornati sono `arn:aws:waf:*:*:*` e. `arn:aws:waf-regional:*:*:*` | 2021-08-12 |
| `FMSServiceRolePolicy`— Regioni aggiuntive in Cina | AWS Firewall Manager è abilitato `FMSServiceRolePolicy` per le regioni BJS e ZHY in Cina. | 2021-08-12 |
| `FMSServiceRolePolicy`— Aggiornamento alla politica esistente | Aggiunte nuove autorizzazioni per consentire AWS Firewall Manager la gestione del firewall Amazon Route 53 Resolver DNS. Questa modifica consente a Firewall Manager di configurare le associazioni Amazon Route 53 Resolver DNS Firewall. Ciò consente di utilizzare Firewall Manager per fornire protezioni DNS Firewall a VPCs tutta l'organizzazione in. AWS Organizations | 2021-03-17 |
| Firewall Manager ha iniziato a tracciare le modifiche | Firewall Manager ha iniziato a tenere traccia delle modifiche per le politiche AWS gestite. | 2021-03-02 |
# Risoluzione dei problemi di AWS Firewall Manager identità e accesso
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Firewall Manager e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Firewall Manager](#fms-security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#fms-security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse di Firewall Manager](#fms-security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Firewall Manager
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `fms:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fms:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `fms:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di passare un ruolo a Firewall Manager.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Firewall Manager. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse di Firewall Manager
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), è possibile utilizzare tali politiche per consentire alle persone di accedere alle proprie risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Firewall Manager supporta queste funzionalità, vedere[Come AWS Shield funziona con IAM](shd-security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l’accesso tramite la federazione delle identità, consulta [Fornire l’accesso a utenti autenticati esternamente (Federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l’utente IAM*.
+ Per informazioni sulle differenze tra l'utilizzo di ruoli e policy basate su risorse per l'accesso multi-account, consultare [Differenza tra i ruoli IAM e le policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) nella *Guida per l'utente di IAM*.
# Utilizzo di ruoli collegati ai servizi per Firewall Manager
AWS Firewall Manager utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a Firewall Manager. I ruoli collegati ai servizi sono predefiniti da Firewall Manager e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per conto dell'utente.
Un ruolo collegato al servizio semplifica la configurazione di Firewall Manager perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Firewall Manager definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo Firewall Manager può assumerne i ruoli. Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. Questa policy delle autorizzazioni non può essere collegata ad alcun'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo si proteggono le risorse del Firewall Manager perché non è possibile rimuovere inavvertitamente l'autorizzazione all'accesso alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per Firewall Manager
AWS Firewall Manager utilizza il nome di ruolo collegato al servizio AWSService RoleFor FMS per consentire a Firewall Manager di chiamare AWS i servizi per conto dell'utente per la gestione delle politiche del firewall e AWS Organizations delle risorse dell'account. Questa policy è allegata al ruolo gestito. AWS `AWSServiceRoleForFMS` Per ulteriori informazioni sul ruolo gestito, vedere[AWS politica gestita: `FMSServiceRolePolicy`](fms-security-iam-awsmanpol.md#security-iam-awsmanpol-FMSServiceRolePolicy).
Il ruolo collegato al servizio AWSService RoleFor FMS si fida che il servizio assuma il ruolo. `fms.amazonaws.com`
La politica di autorizzazione dei ruoli consente a Firewall Manager di completare le seguenti azioni sulle risorse specificate:
+ `waf`- Gestisci il Web AWS WAF classico ACLs, le autorizzazioni per i gruppi di regole e le ACLs associazioni web nel tuo account.
+ `ec2`- Gestisci i gruppi di sicurezza su interfacce di rete elastiche e istanze Amazon EC2. Gestisci la rete ACLs su sottoreti Amazon VPC.
+ `vpc`- Gestisci sottoreti, tabelle di routing, tag ed endpoint in Amazon VPC.
+ `wafv2`- Gestisci il AWS WAF web ACLs, le autorizzazioni dei gruppi di regole e le associazioni web ACLs nel tuo account.
+ `cloudfront`- Crea siti web ACLs per proteggere le CloudFront distribuzioni.
+ `config`- Gestisci le AWS Config regole di proprietà di Firewall Manager nel tuo account.
+ `iam`- Gestisci questo ruolo collegato al servizio e crea ruoli obbligatori e collegati al servizio AWS WAF Shield se configuri la registrazione e le politiche Shield. AWS WAF
+ `organization`- Creare un ruolo collegato ai servizi di proprietà di Firewall Manager per gestire AWS Organizations le risorse utilizzate da Firewall Manager.
+ `shield`- Gestisci le AWS Shield protezioni e le configurazioni di mitigazione L7 per le risorse del tuo account.
+ `ram`- Gestisci la condivisione AWS RAM delle risorse per i gruppi di regole DNS Firewall e i gruppi di regole Network Firewall.
+ `network-firewall`- Gestisci le risorse di proprietà di Firewall Manager e AWS Network Firewall le risorse Amazon VPC dipendenti nel tuo account.
+ `route53resolver`- Gestisci le associazioni DNS Firewall di proprietà di Firewall Manager nel tuo account.
Consulta la policy completa nella console IAM:. [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
## Creazione di un ruolo collegato ai servizi per Firewall Manager
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando abiliti l'accesso a Firewall Manager o effettui Console di gestione AWS una `PutLoggingConfiguration` richiesta nell'interfaccia della riga di comando di Firewall Manager o nell'API Firewall Manager, Firewall Manager crea automaticamente il ruolo collegato al servizio.
È necessario disporre dell'autorizzazione `iam:CreateServiceLinkedRole` per attivare la registrazione.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando abiliti la registrazione di Firewall Manager, Firewall Manager crea nuovamente il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato ai servizi per Firewall Manager
Firewall Manager non consente di modificare il ruolo collegato al servizio AWSService RoleFor FMS. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Firewall Manager
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il servizio Firewall Manager utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare il ruolo collegato al servizio utilizzando IAM**
Utilizza la console IAM, la CLI IAM o l'API IAM per eliminare il ruolo collegato al servizio AWSService RoleFor FMS. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
## Regioni supportate per i ruoli collegati ai servizi di Firewall Manager
Firewall Manager supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, vedere [Endpoint e quote di Firewall Manager](https://docs.aws.amazon.com/general/latest/gr/firewallmanager.html).
# Prevenzione del problema "confused deputy" tra servizi
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel frattempo AWS, l'impersonificazione tra servizi può causare il problema del vicedirettore confuso. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account.
Si consiglia di utilizzare [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)le chiavi di contesto della condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale nelle politiche delle risorse per limitare le autorizzazioni che AWS Firewall Manager forniscono un altro servizio alla risorsa. Utilizzare `aws:SourceArn` se si desidera consentire l’associazione di una sola risorsa all’accesso tra servizi. Utilizzare `aws:SourceAccount` se si desidera consentire l’associazione di qualsiasi risorsa in tale account all’uso tra servizi.
Il modo più efficace per proteggersi dal problema “confused deputy” è quello di utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio, `arn:aws:fms:*:account-id:*`.
Se il valore `aws:SourceArn` non contiene l’ID account, ad esempio un ARN di un bucket Amazon S3, è necessario utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni.
Il valore di `aws:SourceArn` deve essere l' AWS account dell' AWS Firewall Manager amministratore.
Gli esempi seguenti mostrano come utilizzare la chiave di contesto della condizione `aws:SourceArn` globale in Firewall Manager per evitare il problema del confuso vice.
L'esempio seguente mostra come prevenire il problema del confuso vice utilizzando la chiave `aws:SourceArn` global condition context nella politica di attendibilità del ruolo Firewall Manager. Sostituisci *Region* e *account-id* con le tue informazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "servicename.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": [
"arn:aws:fms:us-east-1:123456789012:${*}",
"arn:aws:fms:us-east-1:123456789012:policy/*"
]
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
```
------