Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurazione della protezione dell’integrità del sistema per istanze Mac di Amazon EC2
<a name="mac-sip-settings"></a>

Puoi configurare le impostazioni di System Integrity Protection (SIP) per le istanze Mac x86 e Mac con processore Apple. SIP è una funzionalità di sicurezza fondamentale di macOS che aiuta a prevenire l’esecuzione non autorizzata di codice e le modifiche a livello di sistema. Per ulteriori informazioni, consulta [About System Integrity Protection](https://support.apple.com/en-us/102149).

Puoi abilitare o disabilitare completamente la funzionalità SIP oppure abilitare o disabilitare selettivamente impostazioni SIP specifiche. Consigliamo di disabilitare la funzionalità SIP solo temporaneamente per eseguire le attività necessarie e quindi di riattivarla il prima possibile. Lasciare la funzionalità SIP disabilitata potrebbe rendere l’istanza vulnerabile al codice dannoso.

La configurazione SIP è supportata in tutte le AWS regioni in cui sono supportate le istanze Mac di Amazon EC2.

**Topics**
+ [Considerazioni](#mac-sip-considerations)
+ [Configurazioni SIP predefinite](#mac-sip-defaults)
+ [Controllo della configurazione SIP](#mac-sip-check-settings)
+ [Prerequisiti per istanze Mac con processore Apple](#mac-sip-prereqs)
+ [Configurazione delle impostazioni SIP](#mac-sip-configure)
+ [Controllo dello stato dell’attività di configurazione SIP](#mac-sip-state)

## Considerazioni
<a name="mac-sip-considerations"></a>
+ Sono supportati i seguenti tipi di istanza Mac di Amazon EC2 e versioni macOS:
  + **Mac1 \$1 Mac2 \$1 Mac2-m1ultra**: macOS Ventura (versione 13.0 o successiva)
  + **Mac2-m2 \$1 Mac2-m2pro**: macOS Ventura (versione 13.2 o successiva)
  + **Mac-m4 \$1 Mac-m4pro**: macOS Sequoia (versione 15.6 o successiva)
**Nota**  
Le versioni beta e di anteprima di macOS non sono supportate.
+ Puoi specificare una configurazione SIP personalizzata per abilitare o disabilitare selettivamente le singole impostazioni SIP. Se implementi una configurazione personalizzata, [connettiti all’istanza e verifica le impostazioni](#mac-sip-check-settings) per assicurarti che i requisiti siano implementati correttamente e funzionino come previsto.

  Le configurazioni SIP potrebbero cambiare con gli aggiornamenti di macOS. Consigliamo di rivedere le impostazioni SIP personalizzate dopo ogni aggiornamento della versione di macOS per garantire la compatibilità continua e la corretta funzionalità delle configurazioni di sicurezza.
+ Per istanze Mac x86, le impostazioni SIP vengono applicate a livello di istanza. Qualsiasi volume root collegato all’istanza erediterà automaticamente le impostazioni SIP configurate.

  Per le istanze Mac con processore Apple, le impostazioni SIP vengono applicate a livello di volume. I volumi root collegati all’istanza non ereditano le impostazioni SIP. Se colleghi un altro volume root, devi riconfigurare le impostazioni SIP allo stato richiesto.
+ Il completamento delle attività di configurazione SIP può richiedere fino a 90 minuti. L’istanza rimane irraggiungibile mentre è in corso l’attività di configurazione SIP.
+ Le configurazioni SIP non vengono trasferite in istantanee o create successivamente dall' AMIs istanza.
+ Le istanze Mac con processore Apple devono avere un solo volume avviabile e ogni volume collegato può avere un solo utente amministrativo aggiuntivo.

## Configurazioni SIP predefinite
<a name="mac-sip-defaults"></a>

La tabella seguente elenca la configurazione SIP predefinita per le istanze Mac x86 e Mac con processore Apple.


|  | Istanze Mac con processore Apple | Istanze Mac x86 | 
| --- | --- | --- | 
| Interno Apple | Abilitato | Disabilitato | 
| Protezioni del filesystem | Abilitato | Disabilitato | 
| Sistema di base | Abilitato | Abilitato | 
| Restrizioni di debugging | Abilitato | Abilitato | 
| Restrizioni Dtrace | Abilitato | Abilitato | 
| Firma Kext | Abilitato | Abilitato | 
| Protezioni Nvram | Abilitato | Abilitato | 

## Controllo della configurazione SIP
<a name="mac-sip-check-settings"></a>

Consigliamo di controllare la configurazione SIP prima e dopo aver apportato le modifiche per assicurarti che sia configurata come previsto.

**Per verificare la configurazione SIP di un’istanza Mac di Amazon EC2**  
[Connettiti all’istanza tramite SSH](connect-to-mac-instance.md#mac-instance-ssh), quindi esegui il comando seguente nella riga di comando.

```
$ csrutil status
```

Di seguito è riportato un output di esempio.

```
System Integrity Protection status: enabled.

Configuration:
    Apple Internal: enabled
    Kext Signing: disabled
    Filesystem Protections: enabled
    Debugging Restrictions: enabled
    DTrace Restrictions: enabled
    NVRAM Protections: enabled
    BaseSystem Verification: disabled
```

## Prerequisiti per istanze Mac con processore Apple
<a name="mac-sip-prereqs"></a>

Prima di poter configurare le impostazioni SIP per le istanze Mac con processore Apple, devi impostare una password e abilitare il token sicuro per l’utente amministrativo del volume root Amazon EBS (`ec2-user`),

**Nota**  
La password e il token sicuro vengono impostati la prima volta che ti connetti a un’istanza Mac con processore Apple utilizzando l’interfaccia grafica (GUI). Se in precedenza [hai effettuato la connessione all’istanza utilizzando la GUI](connect-to-mac-instance.md#mac-instance-vnc) o stai usando un’istanza Mac x86 **non** devi eseguire questi passaggi.

**Nota**  
Tutti i nomi utente e le password macOS utilizzati per l'autenticazione macOS devono avere una lunghezza compresa tra 4 e 16 caratteri per essere utilizzati con le chiamate API delle impostazioni SIP.

**Per impostare una password e abilitare il token sicuro per l’utente amministrativo del volume root EBS**

1. [Connect all'istanza tramite SSH.](connect-to-mac-instance.md#mac-instance-ssh)

1. Imposta la password per l’utente `ec2-user`.

   ```
   $ sudo /usr/bin/dscl . -passwd /Users/ec2-user
   ```

1. Abilita il token sicuro per l’utente `ec2-user`. In `-oldPassword`, specifica la stessa password del passaggio precedente. In `-newPassword`, specifica una password diversa. Il comando seguente presuppone che la vecchia e la nuova password siano salvate nei file `.txt`.

   ```
   $ sysadminctl -oldPassword `cat old_password.txt` -newPassword `cat new_password.txt`
   ```

1. Verifica che il token sicuro sia abilitato.

   ```
   $ sysadminctl -secureTokenStatus ec2-user
   ```

## Configurazione delle impostazioni SIP
<a name="mac-sip-configure"></a>

Quando configuri le impostazioni SIP per la tua istanza, puoi abilitare o disabilitare tutte le impostazioni SIP oppure puoi specificare una configurazione personalizzata che abiliti o disabiliti selettivamente impostazioni SIP specifiche.

**Nota**  
Se implementi una configurazione personalizzata, [connettiti all’istanza e verifica le impostazioni](#mac-sip-check-settings) per assicurarti che i requisiti siano implementati correttamente e funzionino come previsto.  
Le configurazioni SIP potrebbero cambiare con gli aggiornamenti di macOS. Consigliamo di rivedere le impostazioni SIP personalizzate dopo ogni aggiornamento della versione di macOS per garantire la compatibilità continua e la corretta funzionalità delle configurazioni di sicurezza.

Per configurare le impostazioni SIP per la tua istanza, devi creare un’attività di configurazione SIP. L’attività di configurazione SIP specifica le impostazioni SIP per l’istanza.

Quando crei una configurazione SIP per un’istanza Mac con processore Apple, devi specificare le credenziali seguenti:
+ **Utente amministrativo del disco interno**
  + Nome utente: solo l’utente amministrativo predefinito (`aws-managed-user`) è supportato e viene utilizzato per impostazione predefinita. Non puoi specificare un utente amministrativo diverso.
  + Password: se non hai modificato la password predefinita per `aws-managed-user`, specifica la password predefinita, che è *vuota*. Altrimenti, specifica la password.
+ **Utente amministrativo del volume root Amazon EBS**
  + Nome utente: se non hai modificato l’utente amministrativo predefinito, specifica `ec2-user`. Altrimenti, specifica il nome utente per l’utente amministrativo.
  + Password: devi specificare sempre la password.

Utilizza i seguenti metodi per creare un’attività di configurazione SIP.

------
#### [ Console ]

**Per creare una configurazione SIP tramite la console**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione a sinistra, scegli **Istanze**, quindi seleziona l’istanza Mac di Amazon EC2.

1. Nella scheda **Sicurezza**, scegli **Modifica Mac, Modifica System Integrity Protection**.

1. Per abilitare tutte le impostazioni SIP, seleziona **Abilita SIP**. Per disabilitare tutte le impostazioni SIP, deseleziona **Abilita SIP**.

1. Per specificare una configurazione personalizzata che abiliti o disabiliti selettivamente impostazioni SIP specifiche, seleziona **Specifica una configurazione SIP personalizzata**, quindi seleziona o deseleziona le impostazioni SIP da abilitare o disabilitare.

1. Specifica le credenziali per l’utente del volume root e il proprietario del disco interno.

1. Scegli **Crea attività di modifica SIP**.

------
#### [ AWS CLI ]

**Per creare un'attività di configurazione SIP utilizzando il AWS CLI**  
Usare il protection-modification-task comando [ create-mac-system-integrity-](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-mac-system-integrity-protection-modification-task.html).

**Abilitazione o disabilitazione di tutte le impostazioni SIP**  
Per abilitare o disabilitare completamente tutte le impostazioni SIP, utilizza solo il parametro `--mac-system-integrity-protection-status`.

Il comando di esempio seguente abilita tutte le impostazioni SIP.

```
aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-credentials file://mac-credentials.json
```

**Specificazione di una configurazione SIP personalizzata**  
Per specificare una configurazione SIP personalizzata che abilita o disabilita selettivamente determinate impostazioni SIP, specifica i parametri `--mac-system-integrity-protection-status` e `--mac-system-integrity-protection-configuration`. In questo caso, utilizza `mac-system-integrity-protection-status` per specificare lo stato SIP generale e usa `mac-system-integrity-protection-configuration` per abilitare o disabilitare selettivamente le singole impostazioni SIP.

Il comando di esempio seguente crea un’attività di configurazione SIP per abilitare tutte le impostazioni SIP, tranne `NvramProtections` e `FilesystemProtections`.

```
aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-system-integrity-protection-configuration "NvramProtections=disabled, FilesystemProtections=disabled" \
--mac-credentials file://mac-credentials.json
```

Il comando di esempio seguente crea un’attività di configurazione SIP per disabilitare tutte le impostazioni SIP, tranne `DtraceRestrictions`.

```
aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status disabled \
--mac-system-integrity-protection-configuration "DtraceRestrictions=enabled" \
--mac-credentials file://mac-credentials.json
```

**Contenuti del file `mac-credentials.json`**  
I seguenti contenuti fanno parte del file `mac-credentials.json` indicato negli esempi precedenti.

```
{
  "internalDiskPassword":"internal-disk-admin_password",
  "rootVolumeUsername":"root-volume-admin_username",
  "rootVolumepassword":"root-volume-admin_password"
}
```

------

## Controllo dello stato dell’attività di configurazione SIP
<a name="mac-sip-state"></a>

Utilizza uno dei seguenti metodi per verificare lo stato delle attività di configurazione SIP.

------
#### [ Console ]

**Per visualizzare le attività di configurazione SIP tramite la console**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione a sinistra, scegli **Istanze**, quindi seleziona l’istanza Mac di Amazon EC2.

1. Nella scheda **Sicurezza**, scorri verso il basso fino alla sezione **Attività di modifica Mac**.

------
#### [ AWS CLI ]

**Per verificare lo stato delle attività di configurazione SIP utilizzando il AWS CLI**  
Utilizza il comando [ describe-mac-modification-tasks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-mac-modification-tasks.html).

------