

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Identità affidabili
<a name="trusted-identities"></a><a name="account-identity"></a>

Con Console di gestione AWS Private Access, puoi limitare quali identità Account AWS e organizzazioni possono utilizzarlo Console di gestione AWS dall'interno del tuo VPC. Ciò impedisce l'accesso da account personali e da account esterni all'organizzazione.

Gli endpoint Accedi ad AWS VPC Console di gestione AWS e VPC supportano ciascuno una policy per gli endpoint VPC che controlla l'identità dell'account che ha effettuato l'accesso. Le policy vengono valutate al momento dell'accesso e periodicamente rivalutate per le sessioni esistenti.
+ **Console di gestione AWSPolicy degli endpoint VPC**: limita le identità che hanno effettuato l'accesso tramite questo endpoint. Console di gestione AWS Usa `Action: *` e, con o condiziona le chiavi. `Principal: *` `aws:PrincipalOrgId` `aws:PrincipalAccount`
+ **Accedi ad AWSPolicy degli endpoint VPC (flusso di accesso)**: limita chi può accedere Console di gestione AWS tramite questo endpoint, con una valutazione separata prima e dopo la convalida delle credenziali. **Pre-authentication**blocca i tentativi di accesso prima dell'immissione delle credenziali, utilizzando. `signin:Authenticate` **Post-authentication**convalida la sessione dopo l'accettazione delle credenziali e durante lo scambio di token OAuth, utilizzando e. `signin:AuthorizeOAuth2Access` `signin:CreateOAuth2Token`
+ **Accedi ad AWSPolicy degli endpoint VPC (flusso di registrazione): controlla se il flusso** di registrazione dell'AWSaccount è accessibile dall'interno della tua rete privata. Supporta l'azione con `signin:CreateAccount` negazione implicita.

Gli esempi seguenti mostrano come limitare l'accesso per account o organizzazione. Applica restrizioni equivalenti sia ai tuoi Console di gestione AWS endpoint che a quelli Accedi ad AWS VPC, utilizzando il formato di policy appropriato per ogni endpoint.

**Topics**
+ [Console di gestione AWSEsempi di endpoint VPC](#console-vpc-endpoint-examples)
+ [Accedi ad AWSEsempi di endpoint VPC](#signin-vpc-endpoint-examples)
+ [Pagina di errore di accesso negato](#access-denied-error)
+ [Consentire l'accesso nelle politiche di controllo del servizio](#private-access-with-SCPs)

**Nota**  
Gli esempi seguenti sono politiche di riferimento solo a scopo illustrativo. [Per gli ambienti di produzione, utilizza gli esempi completi di policy perimetrali dei dati nel repository [aws- samples/data -perimeter-policy-examples, come il SCP perimetrale](https://github.com/aws-samples/data-perimeter-policy-examples) di rete.](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_control_policies/network_perimeter_sourcevpc_scp.json)

## Console di gestione AWSEsempi di endpoint VPC
<a name="console-vpc-endpoint-examples"></a>

**Esempio: consenti solo gli account della tua organizzazione**  
Questa politica degli endpoint Console di gestione AWS VPC consente l'accesso Account AWS all'AWSorganizzazione specificata e blocca qualsiasi altro account.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}
```

------

**Esempio: consenti solo account specifici**  
Questa policy sugli endpoint Console di gestione AWS VPC limita l'accesso a un elenco di account specifici Account AWS e blocca qualsiasi altro account.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}
```

------

## Accedi ad AWSEsempi di endpoint VPC
<a name="signin-vpc-endpoint-examples"></a>

L'endpoint Accedi ad AWS VPC richiede politiche con Sign-In azioni e chiavi di condizione specifiche appropriate a ciascuna fase di autenticazione:
+ **Pre-authentication fase**: valutata prima che venga stabilita l'identità dell'utente. Sono disponibili solo chiavi di condizione basate sulle risorse, poiché le informazioni principali non sono ancora note.
  + Azione supportata: `signin:Authenticate`
  + Chiavi di condizione supportate: `aws:ResourceOrgId` o `aws:ResourceAccount`
+ **Post-authentication fase**: valutata dopo l'autenticazione quando il servizio di accesso emette le credenziali di sessione. Sono disponibili tutte le informazioni principali.
  + Azioni supportate: `signin:AuthorizeOAuth2Access` `signin:CreateOAuth2Token`
  + Chiavi di condizione supportate: `aws:PrincipalOrgId` oppure `aws:PrincipalAccount``aws:ResourceOrgId`, `aws:ResourceAccount`

**Esempio: consenti l'accesso solo agli account della tua organizzazione**  
Questa policy sugli endpoint Accedi ad AWS VPC utilizza istruzioni specifiche per l'azione per consentire l'accesso all'AWSorganizzazione specificata sia nella fase di pre-autenticazione che Account AWS in quella successiva all'autenticazione.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreAuthOrgRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "signin:Authenticate",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceOrgID": "o-xxxxxxxxxxx"
        }
      }
    },
    {
      "Sid": "PostAuthOrgRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "signin:AuthorizeOAuth2Access",
        "signin:CreateOAuth2Token"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}
```

------

**Esempio: consenti l'accesso solo per account specifici**  
Questa policy sugli endpoint Accedi ad AWS VPC utilizza istruzioni specifiche per l'azione per limitare l'accesso a un elenco di elementi specifici sia nella Account AWS fase di pre-autenticazione che in quella successiva.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreAuthAccountRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "signin:Authenticate",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": [ "123456789012", "210987654321" ]
        }
      }
    },
    {
      "Sid": "PostAuthAccountRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "signin:AuthorizeOAuth2Access",
        "signin:CreateOAuth2Token"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "123456789012", "210987654321" ]
        }
      }
    }
  ]
}
```

------

**Controllo dei flussi di registrazione degli account**  
L'`signin:CreateAccount`azione controlla se il flusso di registrazione AWS dell'account è accessibile dall'interno della tua rete privata. Questa azione utilizza un principio anonimo (non esiste alcun account durante la registrazione) e non supporta le chiavi condizionali.

Quando si utilizza il formato di policy degli endpoint Accedi ad AWS VPC, il flusso di registrazione viene bloccato mediante negazione implicita, a meno che tu non lo consenta esplicitamente. Se la tua organizzazione richiede la registrazione dell'account dall'interno della rete privata, aggiungi la seguente dichiarazione alla tua politica sugli Accedi ad AWS endpoint VPC:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccountSignup",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "signin:CreateAccount",
      "Resource": "*"
    }
  ]
}
```

------

## Pagina di errore di accesso negato
<a name="access-denied-error"></a>

Se ti connetti con un'identità che non appartiene al tuo account, viene visualizzato l'errore «Il tuo account non ha l'autorizzazione per utilizzare AWS Management Console Private Access». La schermata seguente mostra la pagina di errore di accesso negato.

![La pagina di errore con un messaggio che indica che non sei autorizzato a utilizzare Console di gestione AWS Private Access.](http://docs.aws.amazon.com/it_it/awsconsolehelpdocs/latest/gsg/images/console-private-access-denied.png)


## Consentire l'accesso nelle politiche di controllo del servizio
<a name="private-access-with-SCPs"></a>

Se AWS l'organizzazione utilizza una policy di controllo dei servizi (SCP) che consente servizi specifici, è necessario aggiungere altre azioni `signin:*` alle azioni consentite. Questa autorizzazione è necessaria perché l'accesso all'Console di gestione AWSendpoint VPC ad accesso privato esegue un'autorizzazione IAM che SCP blocca senza l'autorizzazione. Ad esempio, la seguente politica di controllo dei servizi consente di utilizzare Amazon EC2 e CloudWatch i servizi nell'organizzazione, anche quando vi si accede tramite un endpoint di accesso Console di gestione AWS privato.

```
{
  "Effect": "Allow",
  "Action": [
    "signin:*",
    "ec2:*",
    "cloudwatch:*",
    ... Other services allowed
  },
  "Resource": "*"
}
```

Per ulteriori informazioni sulle SCP, consulta [Policy di controllo dei servizi (Service Control Policies, SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l'utente di AWS Organizations*.