**Questa documentazione è valida AWS CLI solo per la versione 1.**
Abbiamo annunciato l' end-of-supportimminente rilascio della AWS CLI versione 1. Ti consigliamo di migrare alla AWS CLI versione 2. [Per date, dettagli aggiuntivi e informazioni su come effettuare la migrazione, consulta l'annuncio.](https://aws.amazon.com/blogs/developer/cli-v1-maintenance-mode-announcement/) Per la documentazione relativa alla versione 2 di AWS CLI, consulta la [Guida per l'utente della versione 2](https://docs.aws.amazon.com/cli/latest/userguide/).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di un ruolo IAM in AWS CLI
Un [ruolo AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è uno strumento di autorizzazione che consente a un utente di ottenere autorizzazioni aggiuntive (o diverse) o di ottenere le autorizzazioni per eseguire azioni in un account diverso AWS .
**Topics**
+ [Prerequisiti](#cli-role-prereqs)
+ [Panoramica sull’utilizzo dei ruoli IAM](#cli-role-overview)
+ [Configurazione e utilizzo di un ruolo](#cli-role-prepare)
+ [Utilizzo dell'autenticazione a più fattori](#cli-configure-role-mfa)
+ [Ruoli per più account e ID esterno](#cli-configure-role-xaccount)
+ [Specifica di un nome di sessione del ruolo per semplificare l'audit](#cli-configure-role-session-name)
+ [Assunzione di un ruolo con un'identità Web](#cli-configure-role-oidc)
+ [Cancellazione delle credenziali nella cache](#cli-configure-role-cache)
## Prerequisiti
Per eseguire i comandi `iam`, è necessario installare e configurare la AWS CLI. Questo include l’impostazione di un profilo configurato, ad esempio presupponendo che un ruolo sia associato a un altro metodo di credenziali. Per ulteriori informazioni, consulta [Installazione, aggiornamento e disinstallazione della AWS CLI](cli-chap-install.md).
## Panoramica sull’utilizzo dei ruoli IAM
Puoi configurare AWS Command Line Interface (AWS CLI) per utilizzare un ruolo IAM definendo un profilo per il ruolo nel file. `~/.aws/config`
L'esempio seguente mostra un profilo del ruolo denominato `marketingadmin`. Se esegui comandi con `--profile marketingadmin` (o li specifichi con la [variabile di AWS\$1PROFILE ambiente](cli-configure-envvars.md)), AWS CLI utilizza le credenziali definite in un profilo separato `user1` per assumere il ruolo con Amazon Resource Name (`arn:aws:iam::123456789012:role/marketingadminrole`ARN). Puoi eseguire tutte le operazioni consentite dalle autorizzazioni assegnate a tale ruolo.
```
[profile marketingadmin]
role_arn = arn:aws:iam::123456789012:role/marketingadminrole
source_profile = user1
```
Puoi specificare un elemento `source_profile` che punti a un profilo denominato separato contenente le credenziali utente con l’autorizzazione per utilizzare il ruolo. Nell'esempio precedente il profilo `marketingadmin` utilizza le credenziali del profilo `user1`. Quando specifichi che un AWS CLI comando deve utilizzare il profilo`marketingadmin`, cerca AWS CLI automaticamente le credenziali per il `user1` profilo collegato e le usa per richiedere credenziali temporanee per il ruolo IAM specificato. La CLI utilizza l'AssumeRoleoperazione [sts:](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) in background per eseguire questa operazione. Tali credenziali temporanee vengono quindi utilizzate per eseguire il comando AWS CLI richiesto. Al ruolo specificato devono essere associate politiche di autorizzazione IAM che consentano l'esecuzione del AWS CLI comando richiesto.
Per eseguire un AWS CLI comando dall'interno di un'istanza Amazon Elastic Compute Cloud (Amazon EC2) o da un contenitore Amazon Elastic Container Service (Amazon ECS), puoi utilizzare un ruolo IAM collegato al profilo dell'istanza o al contenitore. Se non specifichi alcun profilo o non imposti variabili di ambiente, tale ruolo viene utilizzato direttamente. In questo modo, potrai evitare di archiviare chiavi di accesso di lunga durata nelle istanze. Puoi anche utilizzare i ruoli dell'istanza o del container solo per ottenere le credenziali per un altro ruolo. A tale scopo, usa `credential_source` (anziché `source_profile`) per specificare come trovare le credenziali. L'attributo `credential_source` supporta i seguenti valori:
+ `Environment`: recupera le credenziali di origine dalle variabili di ambiente.
+ `Ec2InstanceMetadata`: utilizza il ruolo IAM collegato al profilo dell’istanza Amazon EC2.
+ `EcsContainer`: utilizza il ruolo IAM collegato al container Amazon ECS.
Nell’esempio seguente viene mostrato lo stesso ruolo `marketingadminrole` utilizzato facendo riferimento a un profilo dell’istanza Amazon EC2.
```
[profile marketingadmin]
role_arn = arn:aws:iam::123456789012:role/marketingadminrole
credential_source = Ec2InstanceMetadata
```
Quando si richiama un ruolo, sono disponibili opzioni aggiuntive che è possibile richiedere, ad esempio l'utilizzo dell'autenticazione a più fattori e di un ID esterno (utilizzato da società terze per accedere alle risorse dei client). Puoi anche specificare nomi di sessione di ruolo univoci che possono essere controllati più facilmente nei log. AWS CloudTrail
## Configurazione e utilizzo di un ruolo
Quando esegui comandi utilizzando un profilo che specifica un ruolo IAM, AWS CLI utilizza le credenziali del profilo di origine per chiamare AWS Security Token Service (AWS STS) e richiedere credenziali temporanee per il ruolo specificato. L'utente nel profilo di origine deve disporre dell'autorizzazione per chiamare `sts:assume-role` per il ruolo nel profilo specificato. Il ruolo deve disporre di una relazione di trust che consente all'utente nel profilo di origine di usare il ruolo. Il processo di recupero e quindi di utilizzo delle credenziali temporanee per un ruolo è spesso definito come *assunzione del ruolo*.
Puoi creare un ruolo in IAM con le autorizzazioni che gli utenti devono assumere seguendo la procedura descritta in [Creating a Role to Delegate Permissions to an IAM user](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) nella *Guida per l’utente di AWS Identity and Access Management *. Se il ruolo e l'utente del profilo di origine appartengono allo stesso account, puoi immettere il tuo ID account durante la configurazione della relazione di trust del ruolo.
Dopo aver creato il ruolo, modifica la relazione di fiducia per consentire all'utente di assumerlo.
L'esempio seguente mostra una policy di trust che può essere collegata a un ruolo. La policy fa in modo che il ruolo possa essere assunto da qualsiasi utente nell’account 123456789012, ***se*** l’amministratore di tale account concede esplicitamente l’autorizzazione `sts:AssumeRole` all’utente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
La policy di trust non concede attualmente autorizzazioni. L'amministratore dell'account deve delegare l'autorizzazione per assumere il ruolo a singoli utenti collegando una policy con le autorizzazioni appropriate. Nell’esempio seguente viene illustrata una policy che puoi collegare a un utente e che permette a tale utente di assumere solo il ruolo `marketingadminrole`. Per ulteriori informazioni su come concedere a un utente l’accesso per assumere un ruolo, consulta [Concessione di autorizzazioni agli utenti per il cambio di ruoli](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html) nella *Guida per l’utente di IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::123456789012:role/marketingadminrole"
}
]
}
```
------
L'utente non deve disporre di autorizzazioni aggiuntive per eseguire AWS CLI i comandi utilizzando il profilo del ruolo. Al contrario, le autorizzazioni per eseguire il comando provengono da quelle associate al *ruolo*. Si allegano politiche di autorizzazione al ruolo per specificare quali azioni possono essere eseguite su quali AWS risorse. Per ulteriori informazioni su come collegare le autorizzazioni a un ruolo, il cui funzionamento è del tutto identico a quello di un utente, consulta [Modifica delle autorizzazioni per un utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) nella *Guida per l’utente di IAM*.
Ora che il profilo del ruolo, le autorizzazioni del ruolo, la relazione di trust del ruolo e le autorizzazioni utente sono configurate correttamente, puoi utilizzare il ruolo nella riga di comando richiamando l'opzione `--profile`. Ad esempio, il comando seguente chiama il comando `ls` di Amazon S3 utilizzando le autorizzazioni collegate al ruolo `marketingadmin`, come definito dall’esempio all’inizio di questo argomento.
```
$ aws s3 ls --profile marketingadmin
```
Per utilizzare il ruolo per diverse chiamate, puoi impostare la variabile di ambiente `AWS_PROFILE` per la sessione corrente dalla riga di comando. Sebbene la variabile di ambiente sia definita, non è necessario specificare l'opzione `--profile` su ogni comando.
**Linux o macOS**
```
$ export AWS_PROFILE=marketingadmin
```
**Windows**
```
C:\> setx AWS_PROFILE marketingadmin
```
Per ulteriori informazioni sulla configurazione di utenti e ruoli, consulta [Identità IAM (utenti, gruppi e ruoli)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) e [Ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id-roles.html) nella *Guida per l’utente di IAM*.
## Utilizzo dell'autenticazione a più fattori
Per una maggiore sicurezza, puoi richiedere agli utenti di fornire una chiave monouso generata da un dispositivo di autenticazione a più fattori (MFA), da un dispositivo U2F o da un'app per dispositivi mobili durante il tentativo di effettuare una chiamata utilizzando il profilo del ruolo.
In primo luogo, puoi scegliere di modificare la relazione di trust sul ruolo IAM per richiedere la MFA. Ciò impedisce a chiunque di utilizzare il ruolo senza prima autenticarsi utilizzando MFA. Per un esempio, consulta la riga `Condition` nel seguente esempio. Questa policy consente all’utente denominato `anika` di assumere il ruolo collegato alla policy, ma solo se esegue l’autenticazione utilizzando MFA.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": { "AWS": "arn:aws:iam::123456789012:user/anika" },
"Action": "sts:AssumeRole",
"Condition": { "Bool": { "aws:multifactorAuthPresent": true } }
}
]
}
```
------
Quindi, aggiungi una riga al profilo del ruolo che specifica l'ARN del dispositivo MFA dell'utente. Le seguenti voci del file `config` di esempio illustrano due profili di ruolo che utilizzano le chiavi di accesso per l’utente `anika` per richiedere le credenziali provvisorie per il ruolo `cli-role`. L'utente `anika` ha le autorizzazioni per assumere quel ruolo concesse dalla policy di trust del ruolo.
```
[profile role-without-mfa]
region = us-west-2
role_arn= arn:aws:iam::128716708097:role/cli-role
source_profile=cli-user
[profile role-with-mfa]
region = us-west-2
role_arn= arn:aws:iam::128716708097:role/cli-role
source_profile = cli-user
mfa_serial = arn:aws:iam::128716708097:mfa/cli-user
[profile cli-user]
region = us-west-2
output = json
```
L'impostazione `mfa_serial` può richiedere un ARN, come illustrato, o il numero di serie di un token hardware MFA.
Il primo profilo, `role-without-mfa`, non richiede MFA. Tuttavia, poiché la precedente policy di trust di esempio associata al ruolo richiede MFA, qualsiasi tentativo di eseguire un comando con questo profilo non riesce.
```
$ aws iam list-users --profile role-without-mfa
An error occurred (AccessDenied) when calling the AssumeRole operation: Access denied
```
Il secondo profilo `role-with-mfa`, identifica un dispositivo MFA da utilizzare. Quando l'utente tenta di eseguire un AWS CLI comando con questo profilo, AWS CLI richiede all'utente di inserire la password monouso (OTP) fornita dal dispositivo MFA. Se l'autenticazione MFA ha esito positivo, il comando esegue l'operazione richiesta. La password monouso non viene visualizzata sullo schermo.
```
$ aws iam list-users --profile role-with-mfa
Enter MFA code for arn:aws:iam::123456789012:mfa/cli-user:
{
"Users": [
{
...
```
## Ruoli per più account e ID esterno
Puoi abilitare gli utenti in modo che assumano ruoli appartenenti ad account diversi configurando il ruolo come ruolo per più account. Durante la creazione del ruolo, imposta il tipo di ruolo su **Another AWS account**, come descritto in [Creating a Role to Delegate Permissions to an IAM user](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html). Facoltativamente, seleziona **Require MFA (Richiedi MFA)**. **Require MFA (Richiedi MFA)** configura la condizione appropriata nella relazione di trust, come descritto in [Utilizzo dell'autenticazione a più fattori](#cli-configure-role-mfa).
Se utilizzi un [ID esterno](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) per fornire ulteriore controllo su chi può usare un ruolo per diversi account, devi aggiungere il parametro `external_id` al profilo del ruolo. Ciò viene utilizzato in genere solo quando l'altro account è controllato da qualcuno esterno all'azienda o organizzazione.
```
[profile crossaccountrole]
role_arn = arn:aws:iam::234567890123:role/SomeRole
source_profile = default
mfa_serial = arn:aws:iam::123456789012:mfa/saanvi
external_id = 123456
```
## Specifica di un nome di sessione del ruolo per semplificare l'audit
Quando molti individui condividono un ruolo, l'audit diventa più difficile. Si supponga che tu voglia associare ogni operazione richiamata alla persona che ha richiamato l'operazione. Tuttavia, quando la persona utilizza un ruolo, l'assunzione del ruolo da parte dell'individuo è un'operazione distinta rispetto alla chiamata di un'operazione ed è pertanto necessario correlare manualmente le due cose.
Puoi semplificare questa operazione specificando nomi univoci delle sessioni del ruolo quando gli utenti assumono un ruolo. A tale scopo, aggiungi un parametro `role_session_name` a ogni profilo denominato nel file `config` che specifica un ruolo. Il valore `role_session_name` viene passato all'operazione `AssumeRole` e diventa parte dell'ARN della sessione del ruolo. È inoltre inclusa nei AWS CloudTrail registri di tutte le operazioni registrate.
Ad esempio, puoi creare un profilo basato su ruoli come segue.
```
[profile namedsessionrole]
role_arn = arn:aws:iam::234567890123:role/SomeRole
source_profile = default
role_session_name = Session_Maria_Garcia
```
Di conseguenza, la sessione del ruolo ha il seguente ARN.
```
arn:aws:iam::234567890123:assumed-role/SomeRole/Session_Maria_Garcia
```
Inoltre, tutti i AWS CloudTrail registri includono il nome della sessione di ruolo nelle informazioni acquisite per ogni operazione.
## Assunzione di un ruolo con un'identità Web
È possibile configurare un profilo per indicare che AWS CLI devono assumere un ruolo utilizzando la [federazione delle identità Web e Open ID Connect (OIDC](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html)). Quando lo specificate in un profilo, effettua AWS CLI automaticamente la AWS STS `AssumeRoleWithWebIdentity` chiamata corrispondente per voi.
**Nota**
Quando specificate un profilo che utilizza un ruolo IAM, AWS CLI effettua le chiamate appropriate per recuperare le credenziali temporanee. Queste credenziali sono archiviate in `~/.aws/cli/cache`. AWS CLI I comandi successivi che specificano lo stesso profilo utilizzano le credenziali temporanee memorizzate nella cache fino alla scadenza. A quel punto, aggiorna AWS CLI automaticamente le credenziali.
Per recuperare e utilizzare le credenziali temporanee utilizzando la federazione delle identità Web, puoi specificare i seguenti valori di configurazione in un profilo condiviso.
[role\$1arn](#cli-configure-role)
Specificare l'ARN del ruolo da assumere.
web\$1identity\$1token\$1file
Speciifica il percorso di un file che contiene un token di accesso OAuth 2.0 o un token OpenID Connect ID fornito dal provider di identità. L' AWS CLI carica questo file e passa il relativo contenuto come argomento `WebIdentityToken` all'operazione `AssumeRoleWithWebIdentity`.
[role\$1session\$1name](#cli-configure-role-session-name)
Specifica un nome facoltativo applicato a questa sessione assume-role.
Di seguito è riportato un esempio di configurazione per la quantità minima di configurazione necessaria per configurare un profilo del ruolo assunto con un'identità Web:
```
# In ~/.aws/config
[profile web-identity]
role_arn=arn:aws:iam:123456789012:role/RoleNameToAssume
web_identity_token_file=/path/to/a/token
```
Puoi anche fornire questa configurazione utilizzando [variabili di ambiente](cli-configure-envvars.md):
AWS\$1ROLE\$1ARN
L'ARN del ruolo da assumere.
AWS\$1WEBFILE\$1TOKEN DI \$1IDENTITÀ
Il percorso del file del token dell'identità Web.
AWS\$1ROLE\$1NOME\$1SESSIONE
Il nome applicato a questa sessione assume-role.
**Nota**
Queste variabili di ambiente attualmente si applicano solo al ruolo assumere con provider di identità Web. Non si applicano alla configurazione generale del provider dell'assunzione di ruoli.
## Cancellazione delle credenziali nella cache
Quando si utilizza un ruolo, memorizza nella AWS CLI cache locale le credenziali temporanee fino alla loro scadenza. La prossima volta che provi a utilizzarle, AWS CLI tenta di rinnovarle per tuo conto.
Se le credenziali temporanee del ruolo vengono [revocate](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html), non vengono rinnovate automaticamente e i tentativi di utilizzarle non vanno a buon fine. Tuttavia, puoi eliminare la cache per AWS CLI forzare il recupero di nuove credenziali.
**Linux o macOS**
```
$ rm -r ~/.aws/cli/cache
```
**Windows**
```
C:\> del /s /q %UserProfile%\.aws\cli\cache
```