Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in Amazon CloudFront
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per maggiori informazioni sui programmi di conformità applicabili ad Amazon CloudFront, consulta [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L'utente è anche responsabile per altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda e leggi e normative applicabili.
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa durante l'utilizzo CloudFront. I seguenti argomenti mostrano come eseguire la configurazione CloudFront per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche a utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere CloudFront le tue risorse.
**Topics**
+ [Protezione dei dati in Amazon CloudFront](data-protection-summary.md)
+ [Identity and Access Management per Amazon CloudFront](security-iam.md)
+ [Registrazione e monitoraggio in Amazon CloudFront](logging-and-monitoring.md)
+ [Convalida della conformità per Amazon CloudFront](compliance.md)
+ [Resilienza in Amazon CloudFront](disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in Amazon CloudFront](infrastructure-security.md)
# Protezione dei dati in Amazon CloudFront
Il modello di [responsabilità AWS condivisa Modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati in Amazon CloudFront. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori CloudFront o Servizi AWS utilizzi la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
Amazon CloudFront offre diverse opzioni che puoi utilizzare per proteggere i contenuti che distribuisce:
+ Configurazione connessioni HTTPS.
+ Configurare la crittografia a livello di campo per fornire una protezione aggiuntiva per dati specifici durante il transito.
+ Restrizione dell'accesso ai contenuti in modo che solo determinate persone o persone in un'area specifica siano in grado di visualizzarli.
I seguenti argomenti spiegano le opzioni nel dettaglio.
**Topics**
+ [Crittografia dei dati in transito](#data-protection-summary-encryption-in-transit)
+ [Crittografia dei dati a riposo](#data-protection-summary-encryption-at-rest)
+ [Limitazione dell'accesso ai contenuti](#data-protection-summary-restrict-access)
## Crittografia dei dati in transito
Per crittografare i dati durante il transito, configuri Amazon in modo che richieda CloudFront agli utenti di utilizzare HTTPS per richiedere i tuoi file, in modo che le connessioni siano crittografate quando CloudFront comunicano con gli spettatori. Puoi anche configurare l'utilizzo CloudFront di HTTPS per recuperare i file dalla tua origine, in modo che le connessioni siano crittografate quando CloudFront comunicano con l'origine.
Per ulteriori informazioni, consulta [Usa HTTPS con CloudFront](using-https.md).
La crittografia a livello di campo aggiunge un ulteriore livello di sicurezza che, insieme a HTTPS, ti consente di proteggere dati specifici durante l'elaborazione del sistema, di modo che solo alcune applicazioni possano vederli. Configurando la crittografia a livello di campo in CloudFront, puoi caricare in modo sicuro le informazioni sensibili inviate dall'utente sui tuoi server web. Le informazioni sensibili fornite dai tuoi client sono crittografate nella edge location più vicina all'utente e rimangono tali durante l'intero stack di applicazioni. In questo modo, possono essere decrittate solo dalle applicazioni che hanno bisogno di quei dati e che dispongono delle credenziali per farlo.
Per ulteriori informazioni, consulta [Utilizzo della crittografia a livello di campo per la protezione dei dati sensibili](field-level-encryption.md).
Gli endpoint dell' CloudFront API `cloudfront.amazonaws.com` e `cloudfront-fips.amazonaws.com` accettano solo traffico HTTPS. Ciò significa che quando invii e ricevi informazioni utilizzando l' CloudFront API, i tuoi dati, incluse le configurazioni di distribuzione, le politiche di cache e le politiche di richiesta di origine, i gruppi di chiavi e le chiavi pubbliche e il codice CloudFront funzionale in Functions, vengono sempre crittografati in transito. Inoltre, tutte le richieste inviate agli endpoint dell' CloudFront API vengono firmate con credenziali e registrate. AWS AWS CloudTrail
Il codice e la configurazione della funzione in CloudFront Functions sono sempre crittografati in transito quando vengono copiati nei punti di presenza di edge location (POPs) e tra altre posizioni di archiviazione utilizzate da. CloudFront
## Crittografia dei dati a riposo
Il codice e la configurazione CloudFront delle funzioni in Functions vengono sempre archiviati in un formato crittografato nell'edge location POPs e in altre posizioni di archiviazione utilizzate da CloudFront.
## Limitazione dell'accesso ai contenuti
Molte aziende che distribuiscono contenuti tramite Internet vogliono limitare l'accesso a documenti, dati aziendali, flussi multimediali o contenuti destinati a un subset di utenti. Per distribuire questi contenuti in modo sicuro utilizzando Amazon CloudFront, puoi eseguire una o più delle seguenti operazioni:
**Utilizza cookie firmati URLs o**
Puoi limitare l'accesso ai contenuti destinati a utenti selezionati, ad esempio utenti che hanno pagato una tariffa, pubblicando questi contenuti privati tramite CloudFront cookie firmati o firmati. URLs Per ulteriori informazioni, consulta [Offri contenuti privati con cookie firmati URLs e firmati](PrivateContent.md).
**Limitare l'accesso ai contenuti nei bucket Amazon S3**
Se limiti l'accesso ai tuoi contenuti utilizzando, ad esempio, cookie CloudFront firmati URLs o firmati, non vuoi nemmeno che le persone visualizzino i file utilizzando l'URL diretto del file. Invece, vuoi che accedano ai file solo utilizzando l'URL CloudFront , in modo che le protezioni funzionino.
Se utilizzi un bucket Amazon S3 come origine per una CloudFront distribuzione, puoi configurare un controllo di accesso all'origine (OAC) che consente di limitare l'accesso al bucket S3. Per ulteriori informazioni, consulta [Limitazione dell’accesso a un’origine Amazon S3](private-content-restricting-access-to-s3.md).
**Limitare l'accesso al contenuto gestito da un Application Load Balancer**
Quando utilizzi CloudFront un Application Load Balancer in Elastic Load Balancing come origine, puoi CloudFront configurare per impedire agli utenti di accedere direttamente all'Application Load Balancer. Ciò consente agli utenti di accedere all'Application Load Balancer solo tramite CloudFront, assicurandoti di ottenere i vantaggi dell'utilizzo. CloudFront Per ulteriori informazioni, consulta [Limitazione dell’accesso ad Application Load Balancer](restrict-access-to-load-balancer.md).
**Usa il web AWS WAF ACLs**
È possibile utilizzare AWS WAF un servizio firewall per applicazioni Web per creare una lista di controllo degli accessi Web (Web ACL) per limitare l'accesso ai contenuti. In base a condizioni specificate, come gli indirizzi IP da cui provengono le richieste o i valori delle stringhe di query, CloudFront risponde alle richieste con il contenuto richiesto o con un codice di stato HTTP 403 (Proibito). Per ulteriori informazioni, consulta [Utilizzo di protezioni AWS WAF](distribution-web-awswaf.md).
**Usa restrizione geografica**
Puoi utilizzare la *restrizione geografica*, nota anche come *geoblocking*, per impedire agli utenti in specifiche aree geografiche di accedere ai contenuti distribuiti tramite una distribuzione CloudFront. Puoi scegliere tra varie opzioni quando configuri restrizioni geografiche. Per ulteriori informazioni, consulta [Limitazione della distribuzione geografica del contenuto](georestrictions.md).
# Identity and Access Management per Amazon CloudFront
AWS Identity and Access Management (IAM) aiuta un Servizio AWS amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse. CloudFront IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come CloudFront funziona Amazon con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per Amazon CloudFront](security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per Amazon CloudFront](security-iam-awsmanpol.md)
+ [Usa ruoli collegati ai servizi per CloudFront](using-service-linked-roles.md)
+ [Risolvi i problemi relativi all' CloudFront identità e all'accesso ad Amazon](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risolvi i problemi relativi all' CloudFront identità e all'accesso ad Amazon](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come CloudFront funziona Amazon con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per Amazon CloudFront](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come CloudFront funziona Amazon con IAM
Prima di utilizzare IAM per gestire l'accesso a CloudFront, scopri con quali funzionalità IAM è disponibile l'uso CloudFront.
**Funzionalità IAM che puoi utilizzare con Amazon CloudFront**
| Funzionalità IAM | CloudFront supporto |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Parziale |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Inoltro delle sessioni di accesso (FAS)](#security_iam_service-with-iam-principal-permissions) | No |
| ☻[Ruoli di servizio](#security_iam_service-with-iam-roles-service) | No |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una panoramica di alto livello su come CloudFront e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per CloudFront
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di politiche basate sull'identità per CloudFront
Per visualizzare esempi di politiche basate sull' CloudFront identità, vedere. [Esempi di policy basate sull'identità per Amazon CloudFront](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno CloudFront
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per CloudFront
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco di CloudFront azioni, consulta [Azioni definite da Amazon CloudFront](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudfront.html#amazoncloudfront-actions-as-permissions) nel *Service Authorization Reference*.
Le azioni politiche in CloudFront uso utilizzano il seguente prefisso prima dell'azione:
```
cloudfront
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"cloudfront:action1",
"cloudfront:action2"
]
```
Per visualizzare esempi di politiche CloudFront basate sull'identità, vedere. [Esempi di policy basate sull'identità per Amazon CloudFront](security_iam_id-based-policy-examples.md)
## Risorse politiche per CloudFront
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di CloudFront risorse e relativi ARNs, consulta [Resources defined by Amazon CloudFront](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudfront.html#amazoncloudfront-resources-for-iam-policies) nel *Service Authorization Reference*. Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta [Azioni definite da Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudfront.html#amazoncloudfront-actions-as-permissions). CloudFront
Per visualizzare esempi di politiche CloudFront basate sull'identità, consulta. [Esempi di policy basate sull'identità per Amazon CloudFront](security_iam_id-based-policy-examples.md)
## Chiavi relative alle condizioni delle politiche per CloudFront
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco di chiavi di CloudFront condizione, consulta [Condition keys for Amazon CloudFront](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudfront.html#amazoncloudfront-policy-keys) nel *Service Authorization Reference*. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Azioni definite da Amazon CloudFront](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudfront.html#amazoncloudfront-actions-as-permissions).
Per visualizzare esempi di politiche CloudFront basate sull'identità, consulta. [Esempi di policy basate sull'identità per Amazon CloudFront](security_iam_id-based-policy-examples.md)
## ACLs in CloudFront
**Supporti: No ACLs**
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con CloudFront
**Supporta ABAC (tag nelle policy):** parzialmente
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
CloudFront supporta ABAC per CloudFront le risorse che supportano i tag, come distribuzioni, tenant o trust store.
## Utilizzo di credenziali temporanee con CloudFront
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Sessioni di accesso diretto per CloudFront
**Supporta l'inoltro delle sessioni di accesso (FAS):** no
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per CloudFront
**Supporta i ruoli di servizio:** no
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe compromettere CloudFront la funzionalità. Modifica i ruoli di servizio solo quando viene CloudFront fornita una guida in tal senso.
## Ruoli collegati ai servizi per CloudFront
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati in Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
CloudFront utilizza ruoli collegati al servizio per eseguire azioni al posto dell'utente. Per ulteriori informazioni sulla creazione o la gestione di ruoli CloudFront collegati ai servizi, vedere. [Usa ruoli collegati ai servizi per CloudFront](using-service-linked-roles.md) Per ulteriori informazioni su come creare e gestire i ruoli collegati al servizio di Lambda@Edge, consulta [Ruoli collegati ai servizi per Lambda@Edge](lambda-edge-permissions.md#using-service-linked-roles-lambda-edge).
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Esempi di policy basate sull'identità per Amazon CloudFront
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse CloudFront. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per dettagli sulle azioni e sui tipi di risorse definiti da CloudFront, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon CloudFront](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudfront.html) nel *Service Authorization Reference*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Autorizzazioni per l'accesso programmatico CloudFront](#security_iam_id-based-policy-examples-programmatic-access-all)
+ [Autorizzazioni necessarie per utilizzare la console CloudFront](#security_iam_id-based-policy-examples-console-required-permissions)
+ [Esempi di policy gestite dal cliente](#security_iam_id-based-policy-examples-sdk-cli)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare CloudFront risorse nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa policy include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente l'API o. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Autorizzazioni per l'accesso programmatico CloudFront
Di seguito viene illustrata una policy di autorizzazione. Il `Sid`, o ID dichiarazione, è facoltativo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllCloudFrontPermissions",
"Effect": "Allow",
"Action": ["cloudfront:*"],
"Resource": "*"
}
]
}
```
------
La politica concede le autorizzazioni per eseguire tutte le CloudFront operazioni, il che è sufficiente per accedere a livello di codice. CloudFront Se utilizzi la console per accedere, consulta. CloudFront [Autorizzazioni necessarie per utilizzare la console CloudFront](#security_iam_id-based-policy-examples-console-required-permissions)
Per un elenco di azioni e l'ARN che specifichi per concedere o negare l'autorizzazione a utilizzare ciascuna azione, consulta [Azioni, risorse e chiavi di condizione per Amazon CloudFront](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudfront.html) nel *Service* Authorization Reference.
## Autorizzazioni necessarie per utilizzare la console CloudFront
Per concedere l'accesso completo alla CloudFront console, concedi le autorizzazioni nella seguente politica di autorizzazione:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"acm:ListCertificates",
"cloudfront:*",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"cloudwatch:GetMetricStatistics",
"elasticloadbalancing:DescribeLoadBalancers",
"iam:ListServerCertificates",
"sns:ListSubscriptionsByTopic",
"sns:ListTopics",
"waf:GetWebACL",
"waf:ListWebACLs"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":[
"s3:ListAllMyBuckets",
"s3:PutBucketPolicy"
],
"Resource":"arn:aws:s3:::*"
}
]
}
```
------
Di seguito viene descritto perché le autorizzazioni sono necessarie:
**`acm:ListCertificates`**
Quando crei e aggiorni distribuzioni utilizzando la CloudFront console e desideri configurare CloudFront in modo che richieda HTTPS tra il visualizzatore CloudFront e/o tra CloudFront e l'origine, ti consente di visualizzare un elenco di certificati ACM.
Questa autorizzazione non è richiesta se non si utilizza la CloudFront console.
**`cloudfront:*`**
Consente di eseguire tutte le CloudFront azioni.
**`cloudwatch:DescribeAlarms` e `cloudwatch:PutMetricAlarm`**
Consente di creare e visualizzare CloudWatch allarmi nella CloudFront console. Consulta anche `sns:ListSubscriptionsByTopic` e `sns:ListTopics`.
Queste autorizzazioni non sono necessarie se non utilizzi la console di CloudFront.
**`cloudwatch:GetMetricStatistics`**
Consente di CloudFront eseguire il rendering CloudWatch delle metriche nella CloudFront console.
Questa autorizzazione non è richiesta se non utilizzi la CloudFront console.
**`elasticloadbalancing:DescribeLoadBalancers`**
Durante la creazione e l'aggiornamento delle distribuzioni, consente di visualizzare un elenco di load balancer di Elastic Load Balancing nell'elenco delle origini disponibili.
Questa autorizzazione non è richiesta se non utilizzi la CloudFront console.
**`iam:ListServerCertificates`**
Quando crei e aggiorni distribuzioni utilizzando la CloudFront console e desideri configurare CloudFront in modo che richieda HTTPS tra il visualizzatore CloudFront e/o tra CloudFront e l'origine, ti consente di visualizzare un elenco di certificati nell'archivio certificati IAM.
Questa autorizzazione non è richiesta se non utilizzi la CloudFront console.
**`s3:ListAllMyBuckets`**
Quando crei e aggiorni distribuzioni, ti consente di eseguire le seguenti operazioni:
+ Visualizzare un elenco di bucket S3 nell'elenco di origini disponibili
+ Visualizzare un elenco di bucket S3 in cui salvare log di accesso
Questa autorizzazione non è richiesta se non utilizzi la CloudFront console.
**`S3:PutBucketPolicy`**
Quando crei o aggiorni distribuzioni che limitano l'accesso a bucket S3, consente a un utente di aggiornare le policy di bucket per concedere l'accesso all'identità di accesso origine di CloudFront. Per ulteriori informazioni, consulta [Utilizzo di un’identità di accesso origine (legacy, non consigliata)](private-content-restricting-access-to-s3.md#private-content-restricting-access-to-s3-oai).
Questa autorizzazione non è richiesta se non utilizzi la CloudFront console.
**`sns:ListSubscriptionsByTopic` e `sns:ListTopics`**
Quando crei CloudWatch allarmi nella CloudFront console, ti consente di scegliere un argomento SNS per le notifiche.
Queste autorizzazioni non sono necessarie se non utilizzi la console di CloudFront.
**`waf:GetWebACL` e `waf:ListWebACLs`**
Consente di visualizzare un elenco di AWS WAF siti Web ACLs nella CloudFront console.
Queste autorizzazioni non sono necessarie se non utilizzi la console di CloudFront.
### Azioni che richiedono solo l'autorizzazione per la console CloudFront
È possibile eseguire le seguenti CloudFront azioni nella pagina [CloudFront Security Savings Bundle](https://console.aws.amazon.com//cloudfront/v3/home#/savings-bundle/overview). Le seguenti azioni API non sono destinate a essere richiamate dal codice e non sono incluse in AWS CLI and AWS SDKs.
****
| Azione | Description |
| --- | --- |
| `CreateSavingsPlan` | Concede l’autorizzazione per creare un nuovo Savings Plan. |
| `GetSavingsPlan` | Concede l’autorizzazione per ottenere un Savings Plan. |
| `ListRateCards` | Concede l'autorizzazione a elencare le schede CloudFront tariffarie relative all'account. |
| `ListSavingsPlans` | Concede l’autorizzazione per elencare i Savings Plans nell’account. |
| `ListUsages` | Concede l'autorizzazione all'utilizzo delle liste CloudFront . |
| `UpdateSavingsPlan` | Concede l’autorizzazione per aggiornare un Savings Plan. |
**Note**
Per ulteriori informazioni sui piani di CloudFront risparmio, consulta la sezione CloudFront Security Savings Bundle di [Amazon CloudFront FAQs](https://aws.amazon.com/cloudfront/faqs/).
Se crei un piano di risparmio per CloudFront e poi desideri eliminarlo in un secondo momento, contatta [Supporto AWS](https://console.aws.amazon.com/support/home#/case/create?issueType=customer-service).
## Esempi di policy gestite dal cliente
Puoi creare policy IAM personalizzate per consentire le autorizzazioni per le azioni CloudFront API. È possibile allegare queste policy personalizzate agli utenti o ai gruppi IAM che hanno bisogno delle autorizzazioni specificate. Queste politiche funzionano quando utilizzi l' CloudFront API AWS SDKs, il o il AWS CLI. I seguenti esempi mostrano autorizzazioni per alcuni casi d'utilizzo comuni. Per la politica che garantisce a un utente l'accesso completo a CloudFront, vedi[Autorizzazioni necessarie per utilizzare la console CloudFront](#security_iam_id-based-policy-examples-console-required-permissions).
**Topics**
+ [Esempio 1: autorizzazione per accedere in lettura a tutte le distribuzioni](#security_iam_id-based-policy-examples-allow-read-all-distributions)
+ [Esempio 2: autorizzazione per la creazione, l’aggiornamento e l’eliminazione di distribuzioni](#security_iam_id-based-policy-examples-allow-create-update-delete-distributions)
+ [Esempio 3: autorizzazione per creare ed elencare invalidamenti](#security_iam_id-based-policy-examples-allow-create-list-invalidations)
+ [Esempio 4: consentire la creazione di una distribuzione](#create-distribution-iam-policy)
### Esempio 1: autorizzazione per accedere in lettura a tutte le distribuzioni
La seguente politica di autorizzazioni concede all'utente le autorizzazioni per visualizzare tutte le distribuzioni nella console: CloudFront
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"acm:ListCertificates",
"cloudfront:GetDistribution",
"cloudfront:GetDistributionConfig",
"cloudfront:ListDistributions",
"cloudfront:ListCloudFrontOriginAccessIdentities",
"elasticloadbalancing:DescribeLoadBalancers",
"iam:ListServerCertificates",
"sns:ListSubscriptionsByTopic",
"sns:ListTopics",
"waf:GetWebACL",
"waf:ListWebACLs"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":[
"s3:ListAllMyBuckets"
],
"Resource":"arn:aws:s3:::*"
}
]
}
```
------
### Esempio 2: autorizzazione per la creazione, l’aggiornamento e l’eliminazione di distribuzioni
La seguente politica di autorizzazioni consente agli utenti di creare, aggiornare ed eliminare le distribuzioni utilizzando la console: CloudFront
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"acm:ListCertificates",
"cloudfront:CreateDistribution",
"cloudfront:DeleteDistribution",
"cloudfront:GetDistribution",
"cloudfront:GetDistributionConfig",
"cloudfront:ListDistributions",
"cloudfront:UpdateDistribution",
"cloudfront:ListCloudFrontOriginAccessIdentities",
"elasticloadbalancing:DescribeLoadBalancers",
"iam:ListServerCertificates",
"sns:ListSubscriptionsByTopic",
"sns:ListTopics",
"waf:GetWebACL",
"waf:ListWebACLs"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":[
"s3:ListAllMyBuckets",
"s3:PutBucketPolicy"
],
"Resource":"arn:aws:s3:::*"
}
]
}
```
------
L'autorizzazione `cloudfront:ListCloudFrontOriginAccessIdentities` consente agli utenti di concedere automaticamente a un'identità di accesso origine l'autorizzazione ad accedere agli oggetti in un bucket Amazon S3. Se vuoi che gli utenti siano in grado di creare identità di accesso origine, devi concedere anche l'autorizzazione `cloudfront:CreateCloudFrontOriginAccessIdentity`.
### Esempio 3: autorizzazione per creare ed elencare invalidamenti
La policy di autorizzazione seguente consente agli utenti di creare ed elencare invalidamenti. Include l'accesso in lettura alle CloudFront distribuzioni perché è possibile creare e visualizzare le invalidazioni visualizzando prima le impostazioni di una distribuzione:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"acm:ListCertificates",
"cloudfront:GetDistribution",
"cloudfront:GetStreamingDistribution",
"cloudfront:GetDistributionConfig",
"cloudfront:ListDistributions",
"cloudfront:ListCloudFrontOriginAccessIdentities",
"cloudfront:CreateInvalidation",
"cloudfront:GetInvalidation",
"cloudfront:ListInvalidations",
"elasticloadbalancing:DescribeLoadBalancers",
"iam:ListServerCertificates",
"sns:ListSubscriptionsByTopic",
"sns:ListTopics",
"waf:GetWebACL",
"waf:ListWebACLs"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":[
"s3:ListAllMyBuckets"
],
"Resource":"arn:aws:s3:::*"
}
]
}
```
------
### Esempio 4: consentire la creazione di una distribuzione
La seguente politica di autorizzazione concede all'utente l'autorizzazione a creare ed elencare le distribuzioni nella console. CloudFront Per l’azione `CreateDistribution`, specifica il carattere jolly (\$1) per la `Resource` invece di un carattere jolly per la distribuzione ARN (`arn:aws:cloudfront::123456789012:distribution/*`). Per ulteriori informazioni sull’elemento `Resource`, consulta [Elementi della policy JSON di IAM: risorsa](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) nella *Guida per l’utente IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "cloudfront:CreateDistribution",
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "cloudfront:ListDistributions",
"Resource": "*"
}
]
}
```
------
# AWS politiche gestite per Amazon CloudFront
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le policy AWS gestite che scriverle autonomamente. La [creazione di policy gestite dai clienti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) che forniscono al team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste policy coprono i casi d’uso comuni e sono disponibili nell’account Account AWS. Per ulteriori informazioni sulle policy AWS gestite, consulta le [policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *IAM User Guide*.
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi occasionalmente aggiungono altre autorizzazioni a una policy gestita da AWS per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una policy gestita da AWS quando viene avviata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy **ReadOnlyAccess** AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l’elenco e la descrizione delle policy di funzione dei processi, consultare la sezione [Policy gestite da AWS per funzioni di processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
**Topics**
+ [AWS politica gestita: CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only)
+ [AWS politica gestita: CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access)
+ [AWS politica gestita: AWSCloud FrontLogger](#security-iam-awsmanpol-cloudfront-logger)
+ [AWS politica gestita: AWSLambda Replicator](#security-iam-awsmanpol-lambda-replicator)
+ [AWS politica gestita: Front AWSCloud VPCOrigin ServiceRolePolicy](#security-iam-awsmanpol-vpc-origin)
+ [CloudFront aggiornamenti alle politiche AWS gestite](#security-iam-awsmanpol-updates)
## AWS politica gestita: CloudFrontReadOnlyAccess
È possibile allegare la policy **CloudFrontReadOnlyAccess** alle identità IAM. Questa politica consente autorizzazioni di sola lettura per le risorse. CloudFront Consente inoltre autorizzazioni di sola lettura per altre risorse AWS di servizio correlate CloudFront e visibili nella console. CloudFront
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `cloudfront:Describe*`— Consente ai responsabili di ottenere informazioni sui metadati relativi alle risorse. CloudFront
+ `cloudfront:Get*`— Consente ai dirigenti di ottenere informazioni e configurazioni dettagliate per le risorse. CloudFront
+ `cloudfront:List*`— Consente ai dirigenti di ottenere elenchi di risorse. CloudFront
+ `cloudfront-keyvaluestore:Describe*`: consente ai principali di ottenere informazioni sull’archivio di valori delle chiavi.
+ `cloudfront-keyvaluestore:Get*`: consente ai principali di ottenere informazioni dettagliate e configurazioni per l’archivio di valori delle chiavi.
+ `cloudfront-keyvaluestore:List*`: consente ai principali di ottenere elenchi di archivi di valori delle chiavi.
+ `acm:DescribeCertificate`: consente ai principali di ottenere dettagli su un certificato ACM.
+ `acm:ListCertificates`: consente alle entità di ottenere un elenco di certificati ACM.
+ `iam:ListServerCertificates`: consente alle entità di ottenere un elenco dei certificati del server archiviati in IAM.
+ `route53:List*`: consente alle entità di ottenere elenchi di risorse Route 53.
+ `waf:ListWebACLs`— Consente ai dirigenti di accedere a un elenco di siti Web ACLs . AWS WAF
+ `waf:GetWebACL`— Consente ai dirigenti di ottenere informazioni dettagliate sul web ACLs in. AWS WAF
+ `wafv2:ListWebACLs`— Consente ai presidi di accedere a un elenco di siti Web ACLs . AWS WAF
+ `wafv2:GetWebACL`— Consente ai dirigenti di ottenere informazioni dettagliate sul web ACLs in. AWS WAF
+ `pricingplanmanager:GetSubscription`— Consente ai dirigenti l'accesso in sola lettura ai dettagli sugli abbonamenti ai piani tariffari.
+ `pricingplanmanager:ListSubscriptions`— Consente ai responsabili l'accesso in sola lettura agli abbonamenti ai piani tariffari di listino.
+ `ec2:DescribeIpamPools`— Consente ai responsabili di ottenere informazioni dettagliate sui pool IPAM.
+ `ec2:GetIpamPoolCidrs`— Consente ai mandanti di far arrivare il CIDRs provisioning a un pool IPAM.
Per vedere le autorizzazioni per questa policy, consulta [CloudFrontReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudFrontReadOnlyAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## AWS politica gestita: CloudFrontFullAccess
È possibile allegare la policy **CloudFrontFullAccess** alle identità IAM. Questa politica consente autorizzazioni amministrative per le CloudFront risorse. Consente inoltre autorizzazioni di sola lettura per altre risorse di AWS servizio correlate CloudFront e visibili nella console. CloudFront
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `s3:ListAllMyBuckets`: consente alle entità di ottenere un elenco di tutti i bucket Amazon S3.
+ `acm:DescribeCertificate`: consente ai principali di ottenere dettagli su un certificato ACM.
+ `acm:ListCertificates`: consente alle entità di ottenere un elenco di certificati ACM.
+ `acm:RequestCertificate`: consente ai principali di richiedere certificati gestiti da ACM.
+ `cloudfront:*`— Consente ai responsabili di eseguire tutte le azioni su tutte le risorse. CloudFront
+ `cloudfront-keyvaluestore:*`: consente ai principali di eseguire tutte le azioni sull’archivio di valori delle chiavi.
+ `iam:ListServerCertificates`: consente alle entità di ottenere un elenco dei certificati del server archiviati in IAM.
+ `waf:ListWebACLs`— Consente ai presidi di accedere a un elenco di siti Web ACLs . AWS WAF
+ `waf:GetWebACL`— Consente ai dirigenti di ottenere informazioni dettagliate sul web ACLs in. AWS WAF
+ `waf:CreateWebACLs`— Consente ai responsabili di creare un ACL web in. AWS WAF
+ `wafv2:ListWebACLs`— Consente ai responsabili di accedere a un elenco di siti Web. ACLs AWS WAF
+ `wafv2:GetWebACL`— Consente ai dirigenti di ottenere informazioni dettagliate sul web ACLs in. AWS WAF
+ `kinesis:ListStreams`: consente alle entità di ottenere un elenco di flussi Amazon Kinesis.
+ `elasticloadbalancing:DescribeLoadBalancers`: consente ai principali di ottenere informazioni dettagliate sui bilanciatori del carico in Elastic Load Balancing.
+ `kinesis:DescribeStream`: consente alle entità di ottenere informazioni dettagliate su un flusso Kinesis.
+ `iam:ListRoles`: consente alle entità di ottenere un elenco dei ruoli in IAM.
+ `pricingplanmanager:AssociateResourcesToSubscription`- Consente ai responsabili di associare risorse a un abbonamento. Ciò consente di coprire le risorse dal piano tariffario dell'abbonamento.
+ `pricingplanmanager:CancelSubscription`- Consente ai responsabili di annullare un abbonamento esistente.
+ `pricingplanmanager:CancelSubscriptionChange`- Consente ai responsabili di annullare una modifica in sospeso a un abbonamento esistente, ad esempio un aggiornamento del piano, prima che la modifica venga applicata.
+ `pricingplanmanager:CreateSubscription`- Consente ai dirigenti di creare un abbonamento a un piano tariffario.
+ `pricingplanmanager:DisassociateResourcesFromSubscription`- Consente ai responsabili di rimuovere l'associazione tra le risorse e un abbonamento esistente.
+ `pricingplanmanager:UpdateSubscription`- Consente ai mandanti di modificare un abbonamento esistente, ad esempio cambiando il piano tariffario.
+ `pricingplanmanager:GetSubscription`— Consente ai responsabili l'accesso in sola lettura ai dettagli sugli abbonamenti ai piani tariffari.
+ `pricingplanmanager:ListSubscriptions`— Consente ai responsabili l'accesso in sola lettura agli abbonamenti ai piani tariffari di listino.
+ `ec2:DescribeInstances`: consente ai principali di recuperare informazioni dettagliate sulle istanze in Amazon EC2.
+ `ec2:DescribeInternetGateways`: consente ai principali di recuperare informazioni dettagliate sui gateway Internet in Amazon EC2.
+ `ec2:DescribeIpamPools`— Consente ai responsabili di ottenere informazioni dettagliate sui pool IPAM.
+ `ec2:GetIpamPoolCidrs`— Consente ai mandanti di far arrivare il CIDRs provisioning a un pool IPAM.
Per vedere le autorizzazioni per questa policy, consulta [CloudFrontFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudFrontFullAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
**Importante**
Se si desidera CloudFront creare e salvare i registri di accesso, è necessario concedere autorizzazioni aggiuntive. Per ulteriori informazioni, consulta [Permissions](standard-logging-legacy-s3.md#AccessLogsBucketAndFileOwnership).
## AWS politica gestita: AWSCloud FrontLogger
Non puoi collegare la **AWSCloudFrontLogger**policy alle tue identità IAM. Questa policy è associata a un ruolo collegato al servizio che consente di eseguire azioni CloudFront per tuo conto. Per ulteriori informazioni, consulta [Ruoli collegati ai servizi per Lambda@Edge](lambda-edge-permissions.md#using-service-linked-roles-lambda-edge).
Questa politica consente di CloudFront inviare file di registro ad Amazon CloudWatch. Per dettagli sulle autorizzazioni incluse in questa policy, consulta [Autorizzazioni relative ai ruoli collegati ai servizi per logger CloudFront](lambda-edge-permissions.md#slr-permissions-cloudfront-logger).
Per vedere le autorizzazioni per questa policy, consulta [AWSCloudFrontLogger](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudFrontLogger.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## AWS politica gestita: AWSLambda Replicator
Non puoi collegare la policy **AWSLambdaReplicator** alle tue identità IAM. Questa policy è associata a un ruolo collegato al servizio che consente di eseguire azioni CloudFront per conto dell'utente. Per ulteriori informazioni, consulta [Ruoli collegati ai servizi per Lambda@Edge](lambda-edge-permissions.md#using-service-linked-roles-lambda-edge).
Questa policy consente di CloudFront creare, eliminare e disabilitare funzioni su cui AWS Lambda replicare le funzioni Lambda @Edge. Regioni AWS Per dettagli sulle autorizzazioni incluse in questa policy, consulta [Autorizzazioni del ruolo collegato ai servizi per Lambda Replicator](lambda-edge-permissions.md#slr-permissions-lambda-replicator).
*Per visualizzare le autorizzazioni per questa policy, consulta [AWSLambdaReplicator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaReplicator.html) nel Managed Policy Reference.AWS *
## AWS politica gestita: Front AWSCloud VPCOrigin ServiceRolePolicy
Non puoi allegare la VPCOrigin ServiceRolePolicy policy **AWSCloudFront** alle tue entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente di CloudFront eseguire azioni per tuo conto. Per ulteriori informazioni, consulta [Usa ruoli collegati ai servizi per CloudFront](using-service-linked-roles.md).
Questa policy consente di CloudFront gestire le interfacce di rete elastiche e i gruppi di sicurezza EC2 per tuo conto. Per dettagli sulle autorizzazioni incluse in questa policy, consulta [Autorizzazioni di ruolo collegate ai servizi per VPC Origins CloudFront](using-service-linked-roles.md#slr-permissions).
Per visualizzare le autorizzazioni per questa politica, consulta [AWSCloudFront VPCOrigin ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudFrontVPCOriginServiceRolePolicy.html) nel *AWS Managed* Policy Reference.
## CloudFront aggiornamenti alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite CloudFront da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia dei CloudFront documenti](WhatsNew.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only): aggiornamento a policy esistente | CloudFront ha aggiunto nuove autorizzazioni per Amazon EC2. Le nuove autorizzazioni consentono ai responsabili di utilizzare le azioni and. `ec2:DescribeIpamPools` `ec2:GetIpamPoolCidrs` | 24 novembre 2025 |
| [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access): aggiornamento a policy esistente | CloudFront ha aggiunto nuove autorizzazioni per Amazon EC2. Le nuove autorizzazioni consentono ai responsabili di utilizzare le azioni and. `ec2:DescribeIpamPools` `ec2:GetIpamPoolCidrs` | 24 novembre 2025 |
| [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access): aggiornamento a policy esistente | CloudFront ha aggiunto una nuova autorizzazione per creare una risorsa AWS WAF ACL e ha aggiunto le autorizzazioni di creazione, aggiornamento, eliminazione e lettura a AWS Pricing Plan Manager. | 18 novembre 2025 |
| [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access): aggiornamento a policy esistente | CloudFront ha aggiunto una nuova autorizzazione per creare una risorsa AWS WAF ACL e ha aggiunto le autorizzazioni di creazione, aggiornamento, eliminazione e lettura a AWS Pricing Plan Manager. | 18 novembre 2025 |
| [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only): aggiornamento a policy esistente | CloudFront ha aggiunto nuove autorizzazioni per l'accesso in sola lettura a AWS Pricing Plan Manager. | 18 novembre 2025 |
| [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only): aggiornamento a policy esistente | CloudFront ha aggiunto nuove autorizzazioni per l'accesso in sola lettura a AWS Pricing Plan Manager. | 18 novembre 2025 |
| [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only): aggiornamento a policy esistente | CloudFront ha aggiunto una nuova autorizzazione per ACM. La nuova autorizzazione consente ai principali di ottenere i dettagli su un certificato ACM. | 28 aprile 2025 |
| [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access): aggiornamento a policy esistente | CloudFront ha aggiunto nuove autorizzazioni per ACM. Le nuove autorizzazioni consentono ai principali di ottenere dettagli su un certificato ACM e di richiedere un certificato gestito da ACM. | 28 aprile 2025 |
| [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access): aggiornamento a policy esistente | CloudFront ha aggiunto nuove autorizzazioni per Amazon EC2 ed Elastic Load Balancing. Le nuove autorizzazioni consentono di CloudFront ottenere informazioni dettagliate sui sistemi di bilanciamento del carico in Elastic Load Balancing e sulle istanze e sui gateway Internet in Amazon EC2. | 20 novembre 2024 |
| [AWSCloudParte anteriore: VPCOrigin ServiceRolePolicy nuova politica](#security-iam-awsmanpol-vpc-origin) | CloudFront ha aggiunto una nuova politica. Questa policy consente di CloudFront gestire le interfacce di rete elastiche e i gruppi di sicurezza EC2 per tuo conto. | 20 novembre 2024 |
| [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only) e [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access): aggiornamenti a due policy esistenti. | CloudFront ha aggiunto nuove autorizzazioni per gli archivi di valori chiave. Le nuove autorizzazioni consentono agli utenti di ottenere informazioni sugli archivi di valori delle chiavi e di effettuare azioni su di essi. | 19 dicembre 2023 |
| [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only): aggiornamento di una policy esistente | CloudFront ha aggiunto una nuova autorizzazione per descrivere CloudFront le funzioni. Questa autorizzazione consente all’utente, al gruppo o al ruolo di leggere informazioni e metadati su una funzione, ma non il codice della funzione. | 08 settembre 2021 |
| CloudFront ha iniziato a tenere traccia delle modifiche | CloudFront ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 08 settembre 2021 |
# Usa ruoli collegati ai servizi per CloudFront
Amazon CloudFront utilizza ruoli [collegati ai servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. CloudFront I ruoli collegati ai servizi sono predefiniti CloudFront e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione CloudFront perché non è necessario aggiungere manualmente le autorizzazioni necessarie. CloudFront definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. CloudFront Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi CloudFront le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per VPC Origins CloudFront
CloudFront VPC Origins utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForCloudFrontVPCOrigin**: consente di gestire le interfacce di rete elastiche EC2 e i gruppi di sicurezza CloudFront per tuo conto.
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio AWSServiceRoleForCloudFrontVPCOrigin considera attendibili i seguenti servizi:
+ `vpcorigin.cloudfront.amazonaws.com`
La politica di autorizzazione dei ruoli denominata AWSCloud Front VPCOrigin ServiceRolePolicy consente a CloudFront VPC Origins di completare le seguenti azioni sulle risorse specificate:
+ Operazione: `ec2:CreateNetworkInterface` su `arn:aws:ec2:*:*:network-interface/*`
+ Azione: `ec2:CreateNetworkInterface` su `arn:aws:ec2:*:*:subnet/*` e `arn:aws:ec2:*:*:security-group/*`
+ Operazione: `ec2:CreateSecurityGroup` su `arn:aws:ec2:*:*:security-group/*`
+ Operazione: `ec2:CreateSecurityGroup` su `arn:aws:ec2:*:*:vpc/*`
+ Azione: `ec2:ModifyNetworkInterfaceAttribute`, `ec2:DeleteNetworkInterface`, `ec2:DeleteSecurityGroup`, `ec2:AssignIpv6Addresses` e `ec2:UnassignIpv6Addresses` su `supported AWS resources that have the aws:ResourceTag/aws.cloudfront.vpcorigin tag enabled`
+ Azione: `ec2:DescribeNetworkInterfaces`, `ec2:DescribeSecurityGroups`, `ec2:DescribeInstances`, `ec2:DescribeInternetGateways`, `ec2:DescribeSubnets`, `ec2:DescribeRegions` e `ec2:DescribeAddresses` su `all AWS resources that the actions support`
+ Azione: `ec2:CreateTags` su `arn:aws:ec2:*:*:security-group/*` e `arn:aws:ec2:*:*:network-interface/*`
+ Azione: `elasticloadbalancing:DescribeLoadBalancers`, `elasticloadbalancing:DescribeListeners` e `elasticloadbalancing:DescribeTargetGroups` su `all AWS resources that the actions support`
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Crea un ruolo collegato ai servizi per VPC Origins CloudFront
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un'origine VPC nella Console di gestione AWS, o nell' AWS API AWS CLI, CloudFront VPC Origins crea automaticamente il ruolo collegato al servizio.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei un'origine VPC, VPC Origins crea CloudFront nuovamente il ruolo collegato al servizio per te.
## Modifica un ruolo collegato al servizio per VPC Origins CloudFront
CloudFront VPC Origins non consente di modificare il ruolo collegato al AWSServiceRoleForCloudFrontVPCOrigin servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminare un ruolo collegato al servizio per VPC Origins CloudFront
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il CloudFront servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare le risorse CloudFront VPC Origins utilizzate da AWSServiceRoleForCloudFrontVPCOrigin**
+ Elimina le risorse di origine VPC nell’account.
+ Il completamento dell'eliminazione delle risorse dal tuo account potrebbe richiedere del tempo. CloudFront Se non riesci a eliminare immediatamente il ruolo collegato al servizio, attendi e riprova.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al AWSServiceRoleForCloudFrontVPCOrigin servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i CloudFront ruoli collegati ai servizi VPC Origins
CloudFront VPC Origins non supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Il ruolo AWSServiceRoleForCloudFrontVPCOrigin può essere utilizzato nelle regioni seguenti.
| Nome della Regione | Identità della Regione | Support in CloudFront |
| --- | --- | --- |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | Sì |
| Stati Uniti orientali (Ohio) | us-east-2 | Sì |
| Stati Uniti occidentali (California settentrionale) | us-west-1 (eccetto AZ usw1-az2) | Sì |
| Stati Uniti occidentali (Oregon) | us-west-2 | Sì |
| Africa (Città del Capo) | af-south-1 | Sì |
| Asia Pacific (Hong Kong) | ap-east-1 | Sì |
| Asia Pacifico (Giacarta) | ap-southeast-3 | Sì |
| Asia Pacifico (Melbourne) | ap-southeast-4 | Sì |
| Asia Pacifico (Mumbai) | ap-south-1 | Sì |
| Asia Pacifico (Hyderabad) | ap-south-2 | Sì |
| Asia Pacifico (Osaka) | ap-northeast-3 | Sì |
| Asia Pacifico (Seoul) | ap-northeast-2 | Sì |
| Asia Pacifico (Singapore) | ap-southeast-1 | Sì |
| Asia Pacifico (Sydney) | ap-southeast-2 | Sì |
| Asia Pacifico (Tokyo) | ap-northeast-1 (eccetto AZ apne1-az3) | Sì |
| Canada (Centrale) | ca-central-1 (eccetto AZ cac1-az3) | Sì |
| Canada occidentale (Calgary) | ca-west-1 | Sì |
| Europa (Francoforte) | eu-central-1 | Sì |
| Europa (Irlanda) | eu-west-1 | Sì |
| Europa (Londra) | eu-west-2 | Sì |
| Europe (Milan) | eu-south-1 | Sì |
| Europa (Parigi) | eu-west-3 | Sì |
| Europa (Spagna) | eu-south-2 | Sì |
| Europa (Stoccolma) | eu-north-1 | Sì |
| Europa (Zurigo) | eu-central-2 | Sì |
| Israele (Tel Aviv) | il-central-1 | Sì |
| Medio Oriente (Bahrein) | me-south-1 | Sì |
| Medio Oriente (Emirati Arabi Uniti) | me-central-1 | Sì |
| Sud America (San Paolo) | sa-east-1 | Sì |
# Risolvi i problemi relativi all' CloudFront identità e all'accesso ad Amazon
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con CloudFront un IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in CloudFront](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie CloudFront risorse](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in CloudFront
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `cloudfront:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudfront:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `cloudfront:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione `iam:PassRole`, le tue policy devono essere aggiornate per poter passare un ruolo a CloudFront.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` cerca di utilizzare la console per eseguire un'operazione in CloudFront. Tuttavia, l'operazione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie CloudFront risorse
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se CloudFront supporta queste funzionalità, consulta. [Come CloudFront funziona Amazon con IAM](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
# Registrazione e monitoraggio in Amazon CloudFront
Il monitoraggio è un elemento importante per mantenere la disponibilità e le prestazioni delle CloudFront tue AWS soluzioni. È necessario raccogliere i dati di monitoraggio da tutte le parti della AWS soluzione in modo da poter eseguire più facilmente il debug di un errore multipunto, se si verifica. AWS fornisce diversi strumenti per monitorare le CloudFront risorse e le attività e rispondere a potenziali incidenti:
** CloudWatch Allarmi Amazon**
Utilizzando gli CloudWatch allarmi, controlli una singola metrica per un periodo di tempo specificato. Se la metrica supera una determinata soglia, viene inviata una notifica a un argomento o una policy di Amazon SNS. AWS Auto Scaling CloudWatch gli allarmi non richiamano azioni quando una metrica si trova in uno stato particolare. È necessario invece cambiare lo stato e mantenerlo per un numero di periodi specificato.
Per ulteriori informazioni, consulta [Monitora le CloudFront metriche con Amazon CloudWatch](monitoring-using-cloudwatch.md).
**AWS CloudTrail registri**
CloudTrail fornisce un registro delle azioni API eseguite da un utente, un ruolo o un AWS servizio in CloudFront. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta API a cui è stata effettuata CloudFront, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi.
Per ulteriori informazioni, consulta [Registrazione delle chiamate CloudFront API Amazon tramite AWS CloudTrail](logging_using_cloudtrail.md).
**CloudFront registri standard e registri di accesso in tempo reale**
CloudFront i registri forniscono registrazioni dettagliate sulle richieste inviate a una distribuzione. Questi log sono utili per molte applicazioni. Ad esempio, le informazioni del log di accesso possono essere utili nei controlli di accesso e di sicurezza.
Per ulteriori informazioni, consultare [Registri di accesso (registri standard)](AccessLogs.md) e [Crea e utilizza configurazioni dei registri di accesso in tempo reale](real-time-logs.md#create-real-time-log-config).
**Registri delle funzioni Edge**
I log generati dalle funzioni edge, sia CloudFront Functions che Lambda @Edge, vengono inviati direttamente ad CloudWatch Amazon Logs e non vengono archiviati da nessuna parte. CloudFront CloudFront Functions utilizza un [ruolo collegato al servizio AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM) per inviare i log generati dal cliente direttamente ai registri del tuo account. CloudWatch
Per ulteriori informazioni, consulta [Registri delle funzioni Edge](edge-functions-logs.md).
**CloudFront report della console**
La CloudFront console include una varietà di report, tra cui il rapporto sulle statistiche sulla cache, il report sugli oggetti più diffusi e il rapporto sui principali referrer. La maggior parte dei report della CloudFront console si basa sui dati contenuti nei log di CloudFront accesso, che contengono informazioni dettagliate su ogni richiesta utente ricevuta. CloudFront Tuttavia, non è necessario attivare i log di accesso per visualizzare i report.
Per ulteriori informazioni, consulta [Visualizza CloudFront i report nella console](reports.md).
# Convalida della conformità per Amazon CloudFront
I revisori di terze parti valutano la sicurezza e la conformità di Amazon nell' CloudFront ambito di diversi programmi di AWS conformità. Sono inclusi SOC, PCI e HIPAA.
Per un elenco dei AWS servizi che rientrano nell'ambito di specifici programmi di conformità, consulta [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/). Per informazioni generali, consulta [Programmi di conformità di AWS](https://aws.amazon.com/compliance/programs/).
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
La vostra responsabilità di conformità durante l'utilizzo CloudFront è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. AWS fornisce le seguenti risorse per contribuire alla conformità:
+ [Guide introduttive su sicurezza e conformità](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): queste guide all'implementazione illustrano considerazioni sull'architettura e forniscono i passaggi per implementare ambienti di base incentrati sulla sicurezza e la conformità. AWS
+ [Architecting for HIPAA Security and Compliance on AWS](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html): questo white paper descrive in che modo le aziende possono utilizzare per creare applicazioni conformi allo standard HIPAA. AWS
Il programma di conformità AWS HIPAA include CloudFront (esclusa la distribuzione di contenuti tramite Embedded) come servizio idoneo allo standard HIPAA. CloudFront POPs Se disponi di un Business Associate Addendum (BAA) eseguito con AWS, puoi utilizzare CloudFront (esclusa la distribuzione di contenuti tramite CloudFront Embedded POPs) per fornire contenuti che contengono informazioni sanitarie protette (PHI). Per ulteriori informazioni, consulta [Compliance HIPAA](https://aws.amazon.com/compliance/hipaa-compliance/).
+ [AWS Risorse per la conformità](https://aws.amazon.com/compliance/resources/): questa raccolta di cartelle di lavoro e guide potrebbe riguardare il settore e la località in cui operi.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Questo AWS servizio valuta la conformità delle configurazioni delle risorse alle pratiche interne, alle linee guida del settore e alle normative.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Questo AWS servizio utilizza controlli di sicurezza per valutare le configurazioni delle risorse e gli standard di sicurezza per aiutarvi a rispettare vari quadri di conformità. Per ulteriori informazioni sull'utilizzo di Security Hub CSPM per valutare CloudFront le risorse, consulta [ CloudFront i controlli di Amazon nella Guida](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html) per l'*AWS Security Hub CSPM utente*.
## CloudFront migliori pratiche di conformità
Questa sezione fornisce le migliori pratiche e consigli per la conformità quando usi Amazon CloudFront per pubblicare i tuoi contenuti.
Se esegui carichi di lavoro conformi a PCI o HIPAA basati sul [modello di responsabilitàAWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/), ti consigliamo di registrare i CloudFront dati di utilizzo degli ultimi 365 giorni per scopi di controllo futuri. Per registrare dati di utilizzo, puoi procedere come segue:
+ Abilita i log di accesso. CloudFront Per ulteriori informazioni, consulta [Registri di accesso (registri standard)](AccessLogs.md).
+ Acquisisci le richieste inviate all' CloudFront API. Per ulteriori informazioni, consulta [Registrazione delle chiamate CloudFront API Amazon tramite AWS CloudTrail](logging_using_cloudtrail.md).
Inoltre, consulta quanto segue per i dettagli sulla conformità agli standard PCI DSS e SOC. CloudFront
### Payment Card Industry Data Security Standard (PCI DSS)
CloudFront (esclusa la distribuzione di contenuti tramite CloudFront Embedded POPs) supporta l'elaborazione, l'archiviazione e la trasmissione dei dati delle carte di credito da parte di un commerciante o di un fornitore di servizi ed è stato convalidato come conforme al Payment Card Industry (PCI) Data Security Standard (DSS). Per ulteriori informazioni su PCI DSS, incluso come richiedere una copia del PCI AWS Compliance Package, vedere [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS Level 1.
Come best practice di sicurezza, ti consigliamo di non memorizzare nella cache edge i dati delle carte di credito. CloudFront Ad esempio, puoi configurare la tua origine per includere un'`Cache-Control:no-cache="`*field-name*`"`intestazione nelle risposte che contengono i dati della carta di credito, come le ultime quattro cifre del numero di carta di credito e le informazioni di contatto del proprietario della carta.
### System and Organization Controls (SOC)
CloudFront (esclusa la distribuzione di contenuti tramite CloudFront Embedded POPs) è conforme alle misure SOC (System and Organization Controls), tra cui SOC 1, SOC 2 e SOC 3. I report SOC sono rapporti di esame indipendenti e di terze parti che dimostrano come AWS raggiungere i controlli e gli obiettivi chiave di conformità. Questi audit assicurano che vengano attuate le adeguate procedure e tutele per proteggersi dai rischi che possono minare sicurezza, riservatezza e disponibilità dei dati di clienti e aziende. I risultati di questi audit di terze parti sono disponibili sul [sito Web AWS SOC Compliance](https://aws.amazon.com/compliance/soc-faqs/), dove è possibile visualizzare i report pubblicati per ottenere maggiori informazioni sui controlli a supporto AWS delle operazioni e della conformità.
# Resilienza in Amazon CloudFront
L'infrastruttura globale di AWS è basata su Regioni e zone di disponibilità AWS. Le Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate che sono connesse tramite reti altamente ridondanti, a bassa latenza e con throughput elevato. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture tradizionali a data center singolo o multiplo.
Per ulteriori informazioni su Regioni e zone di disponibilità AWS, consulta [Infrastruttura globale di AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
## Failover di origine CloudFront
Oltre al supporto dell’infrastruttura globale AWS, Amazon CloudFront offre una funzionalità di *failover di origine* per supportare le esigenze di resilienza dei dati. CloudFront è un servizio globale che fornisce i tuoi contenuti attraverso una rete mondiale di data center denominati *edge location* o *point of presence* (POP). Se i contenuti non sono già memorizzati nella cache in una edge location, vengono recuperati da CloudFront da un server di origine che hai identificato come l'origine per la versione definitiva dei contenuti.
Puoi migliorare la resilienza e aumentare la disponibilità per scenari specifici impostando CloudFront con il failover di origine. Per iniziare, crei un gruppo di origine in cui designi un'origine primaria per CloudFront più una seconda origine. CloudFront passa automaticamente alla seconda origine quando l'origine primaria restituisce risposte negative specifiche per il codice di stato HTTP. Per ulteriori informazioni, consulta [Ottimizza l'alta disponibilità con il failover di CloudFront origine](high_availability_origin_failover.md).
# Sicurezza dell'infrastruttura in Amazon CloudFront
In qualità di servizio gestito, Amazon CloudFront è protetto dalla sicurezza della rete globale AWS. Per informazioni sui servizi di sicurezza AWSe su come AWSprotegge l'infrastruttura, consulta la pagina [Sicurezza del cloud AWS](https://aws.amazon.com/security/). Per progettare l'ambiente AWSutilizzando le best practice per la sicurezza dell'infrastruttura, consulta la pagina [Protezione dell'infrastruttura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) nel *Pilastro della sicurezza di AWSWell‐Architected Framework*.
Utilizza le chiamate API pubblicate da AWS per accedere a CloudFront tramite la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Funzioni CloudFront utilizza una barriera di isolamento altamente sicura tra account AWS, garantendo che gli ambienti dei clienti siano protetti contro attacchi laterali come Spectre e Meltdown. Functions non può accedere a dati che appartengono ad altri clienti o modificarli. Functions viene eseguito in un processo dedicato a thread singolo su una CPU dedicata senza hyperthreading. In un dato POP (point of presence) della edge location CloudFront, CloudFront Functions serve solo un cliente alla volta e tutti i dati specifici del cliente vengono cancellati tra le esecuzioni delle funzioni.