Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in AWS App Studio
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. L'efficacia della nostra sicurezza è regolarmente testata e verificata da revisori di terze parti come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per ulteriori informazioni sui programmi di conformità che si applicano ad App Studio, consulta [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L'utente è anche responsabile per altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda e leggi e normative applicabili.
Questa documentazione ti aiuterà a capire come applicare il modello di responsabilità condivisa quando usi App Studio. I seguenti argomenti mostrano come configurare App Studio per soddisfare i tuoi obiettivi di sicurezza e conformità. Imparerai anche come utilizzare altri AWS servizi che possono aiutarti a monitorare e proteggere le tue risorse di App Studio.
**Topics**
+ [Considerazioni e mitigazioni sulla sicurezza](security-considerations-and-mitigations.md)
+ [Protezione dei dati in AWS App Studio](data-protection.md)
+ [AWS App Studio e AWS Identity and Access Management (IAM)](security-iam.md)
+ [Convalida della conformità per App Studio AWS](compliance-validation.md)
+ [Resilienza in AWS App Studio](disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in AWS App Studio](infrastructure-security.md)
+ [Configurazione e analisi delle vulnerabilità in App Studio AWS](vulnerability-analysis-and-management.md)
+ [Prevenzione del confused deputy tra servizi](cross-service-confused-deputy-prevention.md)
+ [Trasferimento di dati tra regioni diverse in AWS App Studio](cross-region-data-transfer.md)
# Considerazioni e mitigazioni sulla sicurezza
## Considerazioni relative alla sicurezza
Quando si ha a che fare con connettori dati, modelli di dati e applicazioni pubblicate, sorgono diversi problemi di sicurezza legati all'esposizione dei dati, al controllo degli accessi e alle potenziali vulnerabilità. L'elenco seguente include i principali problemi di sicurezza.
### Configurazione errata dei ruoli IAM
Una configurazione errata dei ruoli IAM per i connettori dati può portare ad accessi non autorizzati e fughe di dati. La concessione di un accesso eccessivamente permissivo al ruolo IAM di un connettore di dati può consentire agli utenti non autorizzati di accedere e modificare dati sensibili.
### Utilizzo dei ruoli IAM per eseguire operazioni sui dati
Poiché gli utenti finali di un'app App Studio assumono il ruolo IAM fornito nella configurazione del connettore per eseguire le azioni, tali utenti finali potrebbero avere accesso a dati a cui in genere non hanno accesso.
### Eliminazione dei connettori dati delle applicazioni pubblicate
Quando un connettore dati viene eliminato, le credenziali segrete associate non vengono rimosse automaticamente dalle applicazioni pubblicate che già utilizzano quel connettore. In questo scenario, se un'applicazione è stata pubblicata con determinati connettori e uno di tali connettori viene eliminato da App Studio, l'applicazione pubblicata continuerà a funzionare utilizzando le credenziali del connettore precedentemente archiviate. È importante notare che l'app pubblicata rimarrà inalterata e operativa nonostante l'eliminazione del connettore.
### Modifica dei connettori dati nelle applicazioni pubblicate
Quando un connettore dati viene modificato, le modifiche non si riflettono automaticamente nelle applicazioni pubblicate che utilizzano quel connettore. Se un'applicazione è stata pubblicata con determinati connettori e uno di tali connettori viene modificato in App Studio, l'applicazione pubblicata continuerà a utilizzare la configurazione e le credenziali del connettore precedentemente archiviate. Per incorporare le modifiche aggiornate ai connettori, l'applicazione deve essere ripubblicata. Fino a quando l'app non verrà ripubblicata, rimarrà errata e non operativa oppure inalterata e operativa, ma non rifletterà le ultime modifiche al connettore.
## Consigli per la mitigazione dei rischi di sicurezza
Questa sezione elenca i consigli di mitigazione per evitare i rischi per la sicurezza descritti nella sezione precedente sulle considerazioni sulla sicurezza.
1. **Configurazione corretta dei ruoli IAM:** assicurati che i ruoli IAM per i connettori di dati siano configurati correttamente secondo il principio del privilegio minimo per prevenire accessi non autorizzati e fughe di dati.
1. **Accesso limitato alle app:** condividi le tue app solo con utenti autorizzati a visualizzare o eseguire azioni sui dati dell'applicazione.
1. **Pubblicazione di app:** assicurati che le app vengano ripubblicate ogni volta che un connettore viene aggiornato o eliminato.
# Protezione dei dati in AWS App Studio
Il modello di [responsabilità AWS](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati in AWS App Studio. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutto il Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con AWS App Studio o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
## Crittografia dei dati
App Studio archivia e trasferisce i dati in modo sicuro crittografando i dati a riposo e in transito.
### Crittografia dei dati a riposo
La crittografia dei dati inattivi si riferisce alla protezione dei dati da accessi non autorizzati crittografando i dati durante l'archiviazione. Per impostazione predefinita, App Studio fornisce la crittografia a riposo tramite AWS KMS chiavi e non è necessario eseguire alcuna configurazione aggiuntiva per la crittografia dei dati inattivi.
App Studio archivia in modo sicuro i seguenti dati per le tue applicazioni: codice sorgente, artefatti di build, metadati e informazioni sulle autorizzazioni.
Quando si utilizzano fonti di dati crittografate con una chiave gestita AWS KMS dal cliente (CMK), le risorse di App Studio continuano a essere crittografate utilizzando una chiave AWS gestita, mentre i dati nelle fonti di dati crittografate vengono crittografati dalla CMK. Per ulteriori informazioni sull'utilizzo di fonti di dati crittografate nelle app App Studio, consulta. [Usa fonti di dati crittografate con CMKs](encrypted-data-cmk.md)
App Studio utilizza Amazon CloudFront per offrire la tua app ai tuoi utenti. CloudFront utilizza SSDs che sono crittografati per i punti di presenza di edge location (POPs) e volumi EBS crittografati per le cache Edge regionali ()RECs. Il codice e la configurazione della funzione in CloudFront Functions sono sempre archiviati in un formato crittografato SSDs sulla posizione POPs periferica crittografata e in altre posizioni di archiviazione utilizzate da. CloudFront
## Crittografia dei dati in transito
La crittografia in transito si riferisce alla protezione dei dati da qualsiasi intercettazione mentre si spostano tra gli endpoint di comunicazione. Per impostazione predefinita, App Studio fornisce la crittografia per i dati in transito. Tutte le comunicazioni tra i clienti e App Studio e tra App Studio e le sue dipendenze a valle sono protette tramite connessioni TLS firmate utilizzando il processo di firma Signature versione 4. Tutti gli endpoint di App Studio utilizzano certificati SHA-256 gestiti da Private Certificate Authority. AWS Certificate Manager
## Gestione delle chiavi
App Studio non supporta la gestione delle chiavi di crittografia.
## Riservatezza del traffico inter-rete
Quando crei un'istanza in App Studio, scegli la AWS regione in cui verranno archiviati i dati e le risorse per quell'istanza. Gli artefatti e i metadati di compilazione dell'applicazione non escono mai da quella regione. AWS
Tuttavia, tenete presente le seguenti informazioni:
+ Poiché App Studio utilizza Amazon CloudFront per servire l'applicazione e utilizza Lambda @Edge per gestire l'autenticazione dell'applicazione, è possibile accedere a un set limitato di dati di autenticazione, dati di autorizzazione e metadati dell'applicazione da CloudFront edge location, che potrebbero trovarsi in una regione diversa.
+ AWS App Studio trasferisce i dati tra AWS le regioni per abilitare determinate funzionalità di intelligenza artificiale generativa nel servizio. Per ulteriori informazioni sulle funzionalità abilitate dai trasferimenti di dati tra regioni, sul tipo di dati che vengono trasferiti tra le regioni e su come disattivarli, consulta. [Trasferimento di dati tra regioni diverse in AWS App Studio](cross-region-data-transfer.md)
# AWS App Studio e AWS Identity and Access Management (IAM)
In AWS App Studio, gestisci l'accesso e le autorizzazioni nel servizio assegnando ai gruppi in IAM Identity Center il ruolo appropriato in App Studio. Le autorizzazioni dei membri del gruppo sono determinate dal ruolo assegnato e non dalla configurazione di utenti, ruoli o autorizzazioni direttamente in (IAM). AWS Identity and Access Management Per ulteriori informazioni sulla gestione degli accessi e delle autorizzazioni in App Studio, consulta. [Gestione dell'accesso e dei ruoli in App Studio](managing-access-and-roles.md)
App Studio si integra con IAM durante la verifica di un'istanza ai fini della fatturazione e quando è connessa a un AWS account per creare e utilizzare le risorse in quell'account. AWS Per informazioni sulla connessione di App Studio ad altri AWS servizi da utilizzare nelle tue applicazioni, consulta. [Connect ai AWS servizi](add-connector-services.md)
Quando crei un'istanza in App Studio, devi collegare un AWS account come account di fatturazione e gestione dell'istanza. Per abilitare le funzionalità principali, App Studio crea anche [ruoli di servizio IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) per fornire al servizio le autorizzazioni necessarie per svolgere attività per tuo conto.
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse di App Studio. IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Politiche basate sull'identità per App Studio](#security_iam_service-with-iam-id-based-policies)
+ [Politiche basate sulle risorse all'interno di App Studio](#security_iam_service-with-iam-resource-based-policies)
+ [Azioni politiche per App Studio](#security_iam_service-with-iam-id-based-policies-actions)
+ [Risorse relative alle policy per App Studio](#security_iam_service-with-iam-id-based-policies-resources)
+ [Chiavi relative alle condizioni della policy per App Studio](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [ACLs in App Studio](#security_iam_service-with-iam-acls)
+ [ABAC con App Studio](#security_iam_service-with-iam-tags)
+ [Utilizzo di credenziali temporanee con App Studio](#security_iam_service-with-iam-roles-tempcreds)
+ [Autorizzazioni principali multiservizio per App Studio](#security_iam_service-with-iam-principal-permissions)
+ [Ruoli di servizio per App Studio](#security_iam_service-with-iam-roles-service)
+ [Ruoli collegati ai servizi per App Studio](#security_iam_service-with-iam-roles-service-linked)
+ [AWS politiche gestite per App Studio AWS](security-iam-awsmanpol.md)
+ [Ruoli collegati ai servizi per App Studio](appstudio-service-linked-roles.md)
+ [Esempi di policy basate sull'identità per App Studio AWS](security_iam_id-based-policy-examples.md)
Prima di utilizzare IAM per gestire l'accesso ad App Studio, scopri quali funzionalità IAM sono disponibili per l'uso con App Studio.
**Funzionalità IAM che puoi utilizzare con AWS App Studio**
| Funzionalità IAM | Supporto per App Studio |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione delle policy](#security_iam_service-with-iam-id-based-policies-conditionkeys) | No |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | No |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | Sì |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una visione di alto livello di come App Studio e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per App Studio
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di policy basate sull'identità per App Studio
Per visualizzare esempi di politiche basate sull'identità di App Studio, consulta. [Esempi di policy basate sull'identità per App Studio AWS](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno di App Studio
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per App Studio
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l’accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni di eseguire l’operazione associata.
Per visualizzare un elenco di azioni di App Studio, consulta [Azioni definite da AWS App Studio](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappstudio.html#awsappstudio-actions-as-permissions) nel *Service Authorization* Reference.
Le azioni politiche in App Studio utilizzano il seguente prefisso prima dell'azione:
```
appstudio
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"appstudio:action1",
"appstudio:action2"
]
```
L'istruzione seguente elenca tutte le azioni in App Studio:
## Risorse relative alle policy per App Studio
**Supporta le risorse relative alle policy:** sì
Le autorizzazioni di App Studio supportano solo un carattere jolly (`*`) nell'`Resource`elemento di una policy.
## Chiavi relative alle condizioni della policy per App Studio
**Supporta le chiavi di condizione delle policy specifiche del servizio:** No
App Studio non supporta i codici delle condizioni delle policy.
## ACLs in App Studio
**Supporti ACLs:** no
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con App Studio
**Supporta ABAC (tag nelle policy):** No
App Studio non supporta il controllo degli accessi basato sugli attributi (ABAC).
## Utilizzo di credenziali temporanee con App Studio
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali multiservizio per App Studio
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso diretto (FAS) utilizzano le autorizzazioni del principale chiamante an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per App Studio
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta la sezione [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
AWS App Studio utilizza i [ruoli di servizio IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) per alcune funzionalità per autorizzare App Studio a svolgere attività per tuo conto. La console crea automaticamente i ruoli di servizio per le funzionalità supportate quando configuri App Studio.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità di App Studio. Modifica i ruoli di servizio solo quando App Studio fornisce indicazioni in tal senso.
## Ruoli collegati ai servizi per App Studio
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# AWS politiche gestite per App Studio AWS
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le policy AWS gestite che scriverle da soli. La [creazione di policy gestite dai clienti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) che forniscono al team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste policy coprono i casi d’uso comuni e sono disponibili nell’account Account AWS. Per ulteriori informazioni sulle policy AWS gestite, consulta le [policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *IAM User Guide*.
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi occasionalmente aggiungono altre autorizzazioni a una policy gestita da AWS per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una policy gestita da AWS quando viene avviata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy **ReadOnlyAccess** AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l’elenco e la descrizione delle policy di funzione dei processi, consultare la sezione [Policy gestite da AWS per funzioni di processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
## AWS politica gestita: AppStudioServiceRolePolicy
Non è possibile collegare `AppStudioServiceRolePolicy`alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente ad App Studio di eseguire azioni per conto dell'utente. Per ulteriori informazioni, consulta [Ruoli collegati ai servizi per App Studio](appstudio-service-linked-roles.md).
Questa politica concede autorizzazioni che consentono al ruolo collegato al servizio di gestire le risorse. AWS
### Dettagli delle autorizzazioni
Questa policy include le autorizzazioni per eseguire le seguenti operazioni:
+ `logs`- Crea gruppi di log e flussi di CloudWatch log. Fornisce inoltre il permesso di creare eventi di registro in tali gruppi e flussi di log.
+ `secretsmanager`- Crea, leggi, aggiorna ed elimina i segreti gestiti da App Studio.
+ `sso`- Recupera le istanze dell'applicazione.
+ `sso-directory`- Recupera informazioni sugli utenti e recupera l'elenco dei membri dei gruppi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AppStudioResourcePermissionsForCloudWatch",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/appstudio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AppStudioResourcePermissionsForSecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DeleteSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecret",
"secretsmanager:TagResource"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:appstudio-*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"IsAppStudioSecret"
]
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}",
"aws:ResourceTag/IsAppStudioSecret": "true"
}
}
},
{
"Sid": "AppStudioResourcePermissionsForManagedSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:DeleteSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecret"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:appstudio!*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}",
"secretsmanager:ResourceTag/aws:secretsmanager:owningService": "appstudio"
}
}
},
{
"Sid": "AppStudioResourceWritePermissionsForManagedSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:appstudio!*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AppStudioResourcePermissionsForSSO",
"Effect": "Allow",
"Action": [
"sso:GetManagedApplicationInstance",
"sso-directory:DescribeUsers",
"sso-directory:ListMembersInGroup"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## App Studio - Aggiornamenti alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per App Studio da quando questo servizio ha iniziato a tenere traccia di queste modifiche.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AppStudioServiceRolePolicy](#security-iam-awsmanpol-appstudioservicerolepolicy): aggiornamento a una policy esistente | App Studio ha aggiunto nuove autorizzazioni per consentire la gestione dei segreti gestiti da App Studio in Gestione dei segreti AWS. | 14 marzo 2025 |
| App Studio ha iniziato a tracciare le modifiche | App Studio ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 28 giugno 2024 |
# Ruoli collegati ai servizi per App Studio
App Studio utilizza ruoli collegati ai [servizi AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html). Un ruolo collegato al servizio è un tipo unico di ruolo IAM collegato direttamente ad App Studio. I ruoli collegati ai servizi sono predefiniti da App Studio e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato ai servizi semplifica la configurazione di App Studio perché non è necessario aggiungere manualmente le autorizzazioni necessarie. App Studio definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo App Studio può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi le tue risorse di App Studio perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Topics**
+ [Autorizzazioni di ruolo collegate al servizio per App Studio](#slr-permissions)
+ [Creazione di un ruolo collegato al servizio per App Studio](#create-slr)
+ [Modifica di un ruolo collegato al servizio per App Studio](#edit-slr)
+ [Eliminazione di un ruolo collegato al servizio per App Studio](#delete-slr)
## Autorizzazioni di ruolo collegate al servizio per App Studio
App Studio utilizza il ruolo collegato al servizio denominato. `AWSServiceRoleForAppStudio` È un ruolo collegato ai servizi necessario ad App Studio per gestire in modo persistente i AWS servizi e mantenere l'esperienza di creazione delle applicazioni.
Il ruolo `AWSServiceRoleForAppStudio` collegato al servizio utilizza la seguente politica di fiducia, che considera attendibile solo il servizio: `appstudio-service.amazonaws.com`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstudio-service.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Per quanto riguarda le autorizzazioni, il ruolo `AWSServiceRoleForAppStudio` collegato al servizio fornisce le autorizzazioni per i seguenti servizi:
+ Amazon CloudWatch: per inviare log e metriche per l'utilizzo di App Studio.
+ Gestione dei segreti AWS: Per gestire le credenziali per i connettori in App Studio, utilizzati per connettere le app ad altri servizi.
+ IAM Identity Center: per l'accesso in sola lettura per gestire l'accesso degli utenti.
In particolare, le autorizzazioni concesse `AWSServiceRoleForAppStudio` sono definite dalla policy gestita `AppStudioServiceRolePolicy` allegata. Per ulteriori informazioni sulla politica gestita, incluse le autorizzazioni incluse, vedere. [AWS politica gestita: AppStudioServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-appstudioservicerolepolicy)
## Creazione di un ruolo collegato al servizio per App Studio
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un'istanza di App Studio, App Studio crea automaticamente il ruolo collegato al servizio.
Se elimini questo ruolo collegato al servizio, ti consigliamo di creare un'istanza di App Studio per crearne un'altra automaticamente.
Sebbene non sia necessario, puoi anche utilizzare la console IAM o creare ruoli collegati ai servizi creando un ruolo collegato AWS CLI al servizio con il nome del `appstudio-service.amazonaws.com` servizio, come nello snippet di policy di fiducia mostrato in precedenza. Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) nella *Guida per l'utente IAM*.
## Modifica di un ruolo collegato al servizio per App Studio
App Studio non consente di modificare il ruolo collegato al `AWSServiceRoleForAppStudio` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per App Studio
Non è necessario eliminare il ruolo. `AWSServiceRoleForAppStudio` Quando elimini l'istanza di App Studio, App Studio pulisce le risorse ed elimina automaticamente il ruolo collegato al servizio.
Sebbene non sia consigliato, puoi utilizzare la console IAM o eliminare il ruolo collegato AWS CLI al servizio. Per fare ciò, devi prima ripulire le risorse per il tuo ruolo collegato al servizio e poi eliminarlo.
**Nota**
Se App Studio utilizza il ruolo quando tenti di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
1. Elimina le applicazioni e i connettori dall'istanza di App Studio.
1. Usa la console IAM, la CLI IAM oppure l’API IAM per eliminare il ruolo collegato al servizio `AWSServiceRoleForAppStudio`. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
# Esempi di policy basate sull'identità per App Studio AWS
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse di App Studio. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da App Studio, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per AWS App Studio](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappstudio.html) nel *Service Authorization Reference*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console App Studio](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Esempio 1: consenti agli utenti di configurare un'istanza di App Studio](#security_iam_id-based-policy-examples-set-up-appstudio-instance)
+ [Esempio 2: Impedire agli utenti di configurare un'istanza di App Studio](#security_iam_id-based-policy-examples-deny-set-up-appstudio-instance)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse di App Studio nel tuo account. Queste operazioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console App Studio
Per accedere alla console AWS App Studio, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse di App Studio presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano continuare a utilizzare la console App Studio, collega anche App Studio `ConsoleAccess` o la policy `ReadOnly` AWS gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Esempio 1: consenti agli utenti di configurare un'istanza di App Studio
L'esempio seguente mostra una politica basata sull'identità per consentire a un ruolo di configurare un'istanza di App Studio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"appstudio:GetAccountStatus",
"appstudio:GetEnablementJobStatus",
"appstudio:StartEnablementJob",
"appstudio:StartRollbackEnablementJob",
"appstudio:StartTeamDeployment"
],
"Resource": "*"
}]
}
```
------
## Esempio 2: Impedire agli utenti di configurare un'istanza di App Studio
L'esempio seguente mostra una politica basata sull'identità per negare a un ruolo la configurazione di un'istanza di App Studio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": [
"appstudio:*"
],
"Resource": "*"
}]
}
```
------
# Convalida della conformità per App Studio AWS
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta [AWS la documentazione sulla sicurezza](https://docs.aws.amazon.com/security/).
# Resilienza in AWS App Studio
L'infrastruttura AWS globale è costruita attorno a Regioni AWS zone di disponibilità. Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità è possibile progettare e gestire applicazioni e database che eseguono automaticamente il failover tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
[Per ulteriori informazioni sulle zone di disponibilità, vedere Global Regioni AWS Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
Oltre all'infrastruttura AWS globale, AWS App Studio offre diverse funzionalità per supportare le esigenze di resilienza e backup dei dati.
# Sicurezza dell'infrastruttura in AWS App Studio
In quanto servizio gestito, AWS App Studio è protetto dalle procedure di sicurezza di rete AWS globali descritte nel white paper [Amazon Web Services: Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Utilizzi chiamate API AWS pubblicate per accedere ad App Studio tramite la rete. I client devono supportare almeno Transport Layer Security (TLS) 1.2, ma TLS 1.3 è consigliato. I client devono, inoltre, supportare le suite di cifratura con PFS (Perfect Forward Secrecy), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. In alternativa è possibile utilizzare [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.
# Configurazione e analisi delle vulnerabilità in App Studio AWS
La configurazione e i controlli IT sono una responsabilità condivisa tra te AWS e te, nostro cliente. Per ulteriori informazioni, consulta il [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/).
# Prevenzione del confused deputy tra servizi
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse del tuo account.
Si consiglia di utilizzare [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)le chiavi di contesto della condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale nelle politiche delle risorse per limitare le autorizzazioni che forniscono un altro servizio alla risorsa. Utilizzare `aws:SourceArn` se si desidera consentire l’associazione di una sola risorsa all’accesso tra servizi. Utilizzare `aws:SourceAccount` se si desidera consentire l’associazione di qualsiasi risorsa in tale account all’uso tra servizi.
Il modo più efficace per proteggersi dal problema “confused deputy” è quello di utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio, `arn:aws:servicename:*:123456789012:*`.
Se il valore `aws:SourceArn` non contiene l’ID account, ad esempio un ARN di un bucket Amazon S3, è necessario utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni.
Il valore di `aws:SourceArn` deve essere ResourceDescription.
L'esempio seguente mostra come utilizzare le chiavi di contesto `aws:SourceArn` e `aws:SourceAccount` global condition per evitare il confuso problema del vice.
# Trasferimento di dati tra regioni diverse in AWS App Studio
AWS App Studio trasferisce i dati tra AWS le regioni per abilitare determinate funzionalità di intelligenza artificiale generativa nel servizio. Questo argomento contiene informazioni sulle funzionalità abilitate dai trasferimenti di dati tra regioni, sul tipo di dati che vengono trasferiti tra le regioni e su come disattivarli.
Le seguenti funzionalità sono abilitate dal trasferimento di dati tra aree geografiche e non saranno accessibili nel tuo caso se disattivi:
1. Creazione di un'app con intelligenza artificiale, utilizzata per dare il via alla creazione di app descrivendola con un linguaggio naturale e creando risorse per te.
1. La chat basata sull'intelligenza artificiale nello studio dell'applicazione, utilizzata per porre domande sulla creazione, la pubblicazione e la condivisione di app.
I seguenti dati vengono trasferiti tra le regioni:
1. Le istruzioni o gli input dell'utente derivanti dalle funzionalità descritte in precedenza.
Per disattivare il trasferimento di dati tra regioni e le funzionalità da esso abilitate, utilizza la seguente procedura per compilare il modulo di richiesta di annullamento dalla console:
1. Apri la console App Studio all'indirizzo. [https://console.aws.amazon.com/appstudio/](https://console.aws.amazon.com/appstudio/)
1. **Scegli Disattiva il trasferimento dei dati**.
1. Inserisci l'ID AWS del tuo account e fornisci il tuo indirizzo email.
1. Seleziona **Invia**.
1. Una volta inviata, la richiesta di rinuncia al trasferimento di dati tra regioni verrà elaborata, l'operazione può richiedere fino a 60 giorni.