Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in AWS Config
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di data center e architetture di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra te e te. AWS Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per informazioni sui programmi di conformità applicabili AWS Config, consulta i servizi in Scope [by Compliance Program (AWSAWS servizi in Scope](https://aws.amazon.com/compliance/services-in-scope/) ).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa durante l'utilizzo AWS Config. I seguenti argomenti mostrano come eseguire la configurazione AWS Config per soddisfare gli obiettivi di sicurezza e conformità.
**Topics**
+ [
# Protezione dei dati in AWS Config
](data-protection.md)
+ [
# Identity and Access Management per AWS Config
](security-iam.md)
+ [
# Risposta agli incidenti in AWS Config
](incident-response.md)
+ [
# Convalida della conformità per AWS Config
](config-compliance.md)
+ [
# Resilienza in AWS Config
](disaster-recovery-resiliency.md)
+ [
# Sicurezza dell'infrastruttura in AWS Config
](infrastructure-security.md)
+ [
# Prevenzione del problema "confused deputy" tra servizi
](cross-service-confused-deputy-prevention.md)
+ [
# Best practice di sicurezza per AWS Config
](security-best-practices.md)
# Protezione dei dati in AWS Config
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati in. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori o Servizi AWS utilizzi la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
## Crittografia dei dati a riposo
I dati vengono crittografati a riposo utilizzando la crittografia lato server trasparente. Questo consente di ridurre gli oneri operativi e la complessità associati alla protezione dei dati sensibili. La crittografia dei dati inattivi consente di creare applicazioni sicure che rispettano rigorosi requisiti normativi e di conformità per la crittografia.
## Crittografia dei dati in transito
I dati raccolti e a cui accede AWS Config avvengono esclusivamente su un canale protetto Transport Layer Security (TLS).
# Identity and Access Management per AWS Config
AWS Identity and Access Management (IAM) è un programma Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse. AWS Config IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [
## Destinatari
](#security_iam_audience)
+ [
## Autenticazione con identità
](#security_iam_authentication)
+ [
## Gestione dell’accesso tramite policy
](#security_iam_access-manage)
+ [
# Come AWS Config funziona con IAM
](security_iam_service-with-iam.md)
+ [Esempi di policy basate su identità](security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite](security-iam-awsmanpol.md)
+ [Autorizzazioni per il ruolo IAM](iamrole-permissions.md)
+ [Aggiornamento del ruolo IAM](update-iam-role.md)
+ [Autorizzazioni per il bucket Amazon S3](s3-bucket-policy.md)
+ [Autorizzazioni per la chiave KMS](s3-kms-key-policy.md)
+ [Autorizzazioni per l'argomento Amazon SNS](sns-topic-policy.md)
+ [Risoluzione dei problemi](security_iam_troubleshoot.md)
+ [Utilizzo di ruoli collegati ai servizi](using-service-linked-roles.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi AWS Config di identità e accesso](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come AWS Config funziona con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per AWS Config](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come AWS Config funziona con IAM
Prima di utilizzare IAM per gestire l'accesso a AWS Config, scopri con quali funzionalità IAM è possibile utilizzare AWS Config.
**Funzionalità IAM che puoi utilizzare con AWS Config**
| Funzionalità IAM | AWS Config supporto |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Inoltro delle sessioni di accesso (FAS)](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | Sì |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una panoramica di alto livello su come AWS Config e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per AWS Config
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di politiche basate sull'identità per AWS Config
Per visualizzare esempi di politiche basate sull' AWS Config identità, vedere. [Esempi di policy basate sull'identità per AWS Config](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno AWS Config
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per AWS Config
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco di AWS Config azioni, vedere [Azioni definite da AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions) nel *Service Authorization* Reference.
Le azioni politiche in AWS Config uso utilizzano il seguente prefisso prima dell'azione:
```
config
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"config:action1",
"config:action2"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "config:Describe*"
```
Per visualizzare esempi di politiche AWS Config basate sull'identità, vedere. [Esempi di policy basate sull'identità per AWS Config](security_iam_id-based-policy-examples.md)
## Risorse politiche per AWS Config
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di AWS Config risorse e relativi ARNs, vedere [Resources defined by AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-resources-for-iam-policies) nel *Service Authorization* Reference. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta la sezione [Operazioni definite da AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions).
Per visualizzare esempi di politiche AWS Config basate sull'identità, vedere. [Esempi di policy basate sull'identità per AWS Config](security_iam_id-based-policy-examples.md)
## Chiavi relative alle condizioni delle politiche per AWS Config
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco di chiavi di AWS Config condizione, consulta [Condition keys for AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-policy-keys) nel *Service Authorization Reference*. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, vedi [Azioni definite da AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions).
Per visualizzare esempi di politiche AWS Config basate sull'identità, vedere. [Esempi di policy basate sull'identità per AWS Config](security_iam_id-based-policy-examples.md)
## ACLs in AWS Config
**Supporti: No ACLs**
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con AWS Config
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
Per ulteriori informazioni sull'etichettatura AWS Config delle risorse, consulta. [Taggare le tue risorse AWS Config](tagging.md)
## Utilizzo di credenziali temporanee con AWS Config
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Sessioni di accesso diretto per AWS Config
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per AWS Config
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta la sezione [Creazione di un ruolo per delegare le autorizzazioni a un Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente di IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe compromettere la funzionalità di AWS Config . Modifica i ruoli di servizio solo quando viene AWS Config fornita una guida in tal senso.
## Ruoli collegati ai servizi per AWS Config
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per informazioni dettagliate sulla creazione o la gestione di ruoli AWS Config collegati ai servizi, consulta. [Utilizzo dei ruoli collegati ai servizi per AWS Config](using-service-linked-roles.md)
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Esempi di policy basate sull'identità per AWS Config
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse AWS Config . Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da AWS Config, incluso il formato di ARNs per ogni tipo di risorsa, vedere [Azioni, risorse e chiavi di condizione AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html) nel *Service Authorization Reference*.
**Topics**
+ [
## Best practice per le policy
](#security_iam_service-with-iam-policy-best-practices)
+ [
## Registrati per un Account AWS
](#sign-up-for-aws)
+ [
## Crea un utente con accesso amministrativo
](#create-an-admin)
+ [Utilizzo della console](#security_iam_id-based-policy-examples-console)
+ [
## Consentire agli utenti di visualizzare le loro autorizzazioni
](#security_iam_id-based-policy-examples-view-own-permissions)
+ [
## Accesso in sola lettura a AWS Config
](#read-only-config-permission)
+ [
## Accesso completo a AWS Config
](#full-config-permission)
+ [Controllo dell'accesso AWS Config alle regole](#supported-resource-level-permissions)
+ [Controllo dell'accesso ai dati aggregati](#resource-level-permission)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare AWS Config risorse nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Registrati per un Account AWS
Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.
**Per iscriverti a un Account AWS**
1. Apri la [https://portal.aws.amazon.com/billing/registrazione.](https://portal.aws.amazon.com/billing/signup)
1. Segui le istruzioni online.
Nel corso della procedura di registrazione riceverai una telefonata o un messaggio di testo e ti verrà chiesto di inserire un codice di verifica attraverso la tastiera del telefono.
Quando ti iscrivi a un Account AWS, *Utente root dell'account AWS*viene creato un. L’utente root dispone dell’accesso a tutte le risorse e tutti i Servizi AWS nell’account. Come best practice di sicurezza, assegna l’accesso amministrativo a un utente e utilizza solo l’utente root per eseguire [attività che richiedono l’accesso di un utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS ti invia un'email di conferma dopo il completamento della procedura di registrazione. In qualsiasi momento, puoi visualizzare l'attività corrente del tuo account e gestirlo accedendo a [https://aws.amazon.com/](https://aws.amazon.com/)e scegliendo **Il mio account**.
## Crea un utente con accesso amministrativo
Dopo esserti registrato Account AWS, proteggi Utente root dell'account AWS AWS IAM Identity Center, abilita e crea un utente amministrativo in modo da non utilizzare l'utente root per le attività quotidiane.
**Proteggi i tuoi Utente root dell'account AWS**
1. Accedi [Console di gestione AWS](https://console.aws.amazon.com/)come proprietario dell'account scegliendo **Utente root** e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.
Per informazioni sull’accesso utilizzando un utente root, consulta la pagina [Accedere come utente root](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) nella *Guida per l’utente di Accedi ad AWS *.
1. Abilita l’autenticazione a più fattori (MFA) per l’utente root.
Per istruzioni, consulta [Abilitare un dispositivo MFA virtuale per l'utente Account AWS root (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) nella Guida per l'*utente IAM*.
**Crea un utente con accesso amministrativo**
1. Abilita il Centro identità IAM.
Per istruzioni, consulta [Abilitazione del AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) nella *Guida per l’utente di AWS IAM Identity Center *.
1. Nel Centro identità IAM, assegna l’accesso amministrativo a un utente.
Per un tutorial sull'utilizzo di IAM Identity Center directory come fonte di identità, consulta [Configurare l'accesso utente con l'impostazione predefinita IAM Identity Center directory](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) nella *Guida per l'AWS IAM Identity Center utente*.
**Accesso come utente amministratore**
+ Per accedere come utente del Centro identità IAM, utilizza l’URL di accesso che è stato inviato al tuo indirizzo e-mail quando hai creato l’utente del Centro identità IAM.
Per informazioni sull'accesso utilizzando un utente IAM Identity Center, consulta [AWS Accedere al portale di accesso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) nella *Guida per l'Accedi ad AWS utente*.
**Assegnazione dell’accesso ad altri utenti**
1. Nel Centro identità IAM, crea un set di autorizzazioni conforme alla best practice per l’applicazione di autorizzazioni con il privilegio minimo.
Segui le istruzioni riportate nella pagina [Creazione di un set di autorizzazioni](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) nella *Guida per l’utente di AWS IAM Identity Center *.
1. Assegna al gruppo prima gli utenti e poi l’accesso con autenticazione unica (Single Sign-On).
Per istruzioni, consulta [Aggiungere gruppi](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) nella *Guida per l’utente di AWS IAM Identity Center *.
## Utilizzo della AWS Config console
Per accedere alla AWS Config console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle AWS Config risorse del tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano ancora utilizzare la AWS Config console, allega anche la policy AWS Config `AWSConfigUserAccess` AWS gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
È necessario concedere agli utenti le autorizzazioni con AWS Config cui interagire. Per gli utenti che necessitano dell'accesso completo a AWS Config, utilizza la policy [Accesso completo alla](https://docs.aws.amazon.com/config/latest/developerguide/security_iam_id-based-policy-examples.html#full-config-permission) politica AWS Config gestita.
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Accesso in sola lettura a AWS Config
L'esempio seguente mostra una policy AWS gestita, `AWSConfigUserAccess` che concede l'accesso in sola lettura a. AWS Config
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:Deliver*",
"config:List*",
"config:Select*",
"tag:GetResources",
"tag:GetTagKeys",
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
}
]
}
```
------
Nelle istruzioni della policy, l'elemento `Effect` specifica se le operazioni sono consentite o negate. L'elemento `Action` elenca le operazioni specifiche che l'utente è autorizzato a eseguire. L'`Resource`elemento elenca le AWS risorse su cui l'utente è autorizzato a eseguire tali azioni. Per le politiche che controllano l'accesso alle AWS Config azioni, l'`Resource`elemento è sempre impostato su`*`, un carattere jolly che significa «tutte le risorse».
I valori nell'`Action`elemento corrispondono a quelli APIs supportati dai servizi. Le azioni sono precedute dall'`config:`indicazione che si riferiscono alle AWS Config azioni. Puoi utilizzare il carattere jolly `*` nell'elemento `Action`, come negli esempi seguenti:
+ `"Action": ["config:*ConfigurationRecorder"]`
Ciò consente tutte le AWS Config azioni che terminano con "ConfigurationRecorder" (`StartConfigurationRecorder`,`StopConfigurationRecorder`).
+ `"Action": ["config:*"]`
Ciò consente tutte le AWS Config azioni, ma non le azioni per altri AWS servizi.
+ `"Action": ["*"]`
Ciò consente tutte le AWS azioni. Questa autorizzazione è adatta per un utente che funge da AWS amministratore del tuo account.
La policy di sola lettura non concede autorizzazioni all'utente per operazioni come `StartConfigurationRecorder`, `StopConfigurationRecorder` e `DeleteConfigurationRecorder`. Gli utenti con questa policy non possono avviare, arrestare o cancellare la registrazione della configurazione. Per l'elenco delle AWS Config azioni, consulta l'[AWS Config API Reference](https://docs.aws.amazon.com/config/latest/APIReference/).
## Accesso completo a AWS Config
L'esempio seguente mostra una politica che garantisce l'accesso completo a AWS Config. Concede agli utenti il permesso di eseguire tutte le AWS Config azioni. Consente inoltre agli utenti di gestire i file nei bucket Amazon S3 e gli argomenti Amazon SNS nell'account a cui è associato l'utente.
**Importante**
Questa policy concede autorizzazioni ampie. Prima di concedere l'accesso completo, prendi in considerazione l'idea di iniziare con un set di autorizzazioni minimo e concedere le autorizzazioni aggiuntive quando necessario. Questa è una best practice preferibile ad iniziare con autorizzazioni che siano troppo permissive e cercare di limitarle in un secondo momento.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:AddPermission",
"sns:CreateTopic",
"sns:DeleteTopic",
"sns:GetTopicAttributes",
"sns:ListPlatformApplications",
"sns:ListTopics",
"sns:SetTopicAttributes"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketNotification",
"s3:GetBucketPolicy",
"s3:GetBucketRequestPayment",
"s3:GetBucketVersioning",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListBucketVersions",
"s3:PutBucketPolicy"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:PutRolePolicy",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:CreateServiceLinkedRole"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"config.amazonaws.com",
"ssm.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"config:*",
"tag:Get*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListDocuments",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## Autorizzazioni supportate a livello di risorsa per le azioni dell'API Rule AWS Config
Le autorizzazioni a livello di risorsa si riferiscono alla capacità di specificare su quali risorse gli utenti possono eseguire azioni. AWS Config supporta le autorizzazioni a livello di risorsa per determinate azioni dell'API delle regole. AWS Config Ciò significa che per determinate azioni delle AWS Config regole, è possibile controllare le condizioni in base alle quali gli utenti sono autorizzati a utilizzare tali azioni. Queste condizioni possono essere azioni da eseguire o specifiche risorse che gli utenti sono autorizzati a utilizzare.
La tabella seguente descrive le azioni dell'API delle AWS Config regole che attualmente supportano le autorizzazioni a livello di risorsa. Descrive inoltre le risorse supportate e le relative risorse per ogni azione. ARNs Quando si specifica un ARN, è possibile utilizzare il carattere jolly \$1 nei percorsi; ad esempio, quando non è possibile o non si desidera specificare la risorsa esatta. IDs
**Importante**
Se un'azione API della AWS Config regola non è elencata in questa tabella, significa che non supporta le autorizzazioni a livello di risorsa. Se un'azione della AWS Config regola non supporta le autorizzazioni a livello di risorsa, è possibile concedere agli utenti le autorizzazioni per utilizzare l'azione, ma è necessario specificare un\$1 per l'elemento risorsa della dichiarazione politica.
****
| Operazione API | Resources |
| --- | --- |
| DeleteConfigRule | Regola di configurazione *region:accountID*arn:aws:config :config-rule/config-rule- *ID* |
| DeleteEvaluationResults | Regola di configurazione arn:aws:config ::config-rule/config-rule *region:accountID* - *ID* |
| DescribeComplianceByConfigRule | Regola di configurazione arn:aws:config ::config-rule/config-rule *region:accountID* - *ID* |
| DescribeConfigRuleEvaluationStatus | Regola di configurazione arn:aws:config ::config-rule/config-rule *region:accountID* - *ID* |
| GetComplianceDetailsByConfigRule | Regola di configurazione arn:aws:config ::config-rule/config-rule *region:accountID* - *ID* |
| PutConfigRule | Regola di configurazione arn:aws:config ::config-rule/config-rule *region:accountID* - *ID* |
| StartConfigRulesEvaluation | Regola di configurazione arn:aws:config ::config-rule/config-rule *region:accountID* - *ID* |
| PutRemediationConfigurations | Configurazione di correzione arn:aws:config ::configurazione-riparazione/ *region:accountId* *config rule name/remediation configuration id* |
| DescribeRemediationConfigurations | Configurazione di correzione arn:aws:config ::configurazione-riparazione/ *region:accountId* *config rule name/remediation configuration id* |
| DeleteRemediationConfiguration | Configurazione di correzione arn:aws:config ::configurazione-riparazione/ *region:accountId* *config rule name/remediation configuration id* |
| PutRemediationExceptions | Configurazione di correzione arn:aws:config ::configurazione-riparazione/ *region:accountId* *config rule name/remediation configuration id* |
| DescribeRemediationExceptions | Configurazione di correzione arn:aws:config ::configurazione-riparazione/ *region:accountId* *config rule name/remediation configuration id* |
| DeleteRemediationExceptions | Configurazione di correzione arn:aws:config ::configurazione-riparazione/ *region:accountId* *config rule name/remediation configuration id* |
Se, ad esempio, si desidera consentire l'accesso in lettura e negare l'accesso in scrittura a regole specifiche a utenti specifici.
Nella prima policy, consenti alla regola di leggere le azioni, ad esempio sulle regole specificate. AWS Config `DescribeConfigRuleEvaluationStatus`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"config:StartConfigRulesEvaluation",
"config:DescribeComplianceByConfigRule",
"config:DescribeConfigRuleEvaluationStatus",
"config:GetComplianceDetailsByConfigRule"
],
"Resource": [
"arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID",
"arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID"
]
}
]
}
```
------
Nella seconda politica, neghi alla AWS Config regola le azioni di scrittura sulla regola specifica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"config:PutConfigRule",
"config:DeleteConfigRule",
"config:DeleteEvaluationResults"
],
"Resource": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID"
}
]
}
```
------
Con le autorizzazioni a livello di risorsa, puoi consentire l'accesso in lettura e negare l'accesso in scrittura per eseguire azioni specifiche sulle azioni dell'API delle regole. AWS Config
## Autorizzazioni a livello di risorsa supportate per l'aggregazione dei dati multi-regione multi-account
Puoi utilizzare le autorizzazioni a livello di risorsa per controllare la capacità di un utente di eseguire azioni specifiche sull'aggregazione dei dati multi-regione multi-account. Le seguenti autorizzazioni a livello di risorsa supportano: AWS Config `Aggregator` APIs
+ [BatchGetAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_BatchGetAggregateResourceConfig.html)
+ [DeleteConfigurationAggregator](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteConfigurationAggregator.html)
+ [DescribeAggregateComplianceByConfigRules](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeAggregateComplianceByConfigRules.html)
+ [DescribeAggregateComplianceByConformancePacks](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeAggregateComplianceByConformancePacks.html)
+ [DescribeConfigurationAggregatorSourcesStatus](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigurationAggregatorSourcesStatus.html)
+ [GetAggregateComplianceDetailsByConfigRule](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateComplianceDetailsByConfigRule.html)
+ [GetAggregateConfigRuleComplianceSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateConfigRuleComplianceSummary.html)
+ [GetAggregateConformancePackComplianceSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateConformancePackComplianceSummary.html)
+ [GetAggregateDiscoveredResourceCounts](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateDiscoveredResourceCounts.html)
+ [GetAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateResourceConfig.html)
+ [ListAggregateDiscoveredResources](https://docs.aws.amazon.com/config/latest/APIReference/API_ListAggregateDiscoveredResources.html)
+ [PutConfigurationAggregator](https://docs.aws.amazon.com/config/latest/APIReference/API_PutConfigurationAggregator.html)
+ [SelectAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_SelectAggregateResourceConfig.html)
Ad esempio, puoi limitare l'accesso ai dati delle risorse da parte di utenti specifici creando due aggregatori `AccessibleAggregator` e `InAccessibleAggregator` e allegando una policy IAM che consente l'accesso a `AccessibleAggregator`, ma lo nega a `InAccessibleAggregator`.
**Policy IAM per AccessibleAggregator**
Tramite questa policy, puoi consentire l'accesso alle azioni dell'aggregatore supportate per il nome della risorsa Amazon (ARN) AWS Config specificato. In questo esempio, l' AWS Config ARN è. `arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigAllow",
"Effect": "Allow",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-mocpsqhs"
}
]
}
```
------
**Politica IAM per InAccessibleAggregator**
Tramite questa policy, puoi negare l'accesso alle azioni dell'aggregatore supportate per l'ARN AWS Config specificato. In questo esempio, l' AWS Config ARN è. `arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigDeny",
"Effect": "Deny",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-pokxzldx"
}
]
}
```
------
Se un utente del gruppo di sviluppatori tenta di eseguire una di queste azioni sull'ARN AWS Config specificato, quell'utente riceverà un'eccezione di accesso negato.
**Verifica delle autorizzazioni di accesso degli utenti**
Per mostrare gli aggregatori creati, esegui il comando AWS CLI seguente:
```
aws configservice describe-configuration-aggregators
```
Quando il comando è completato correttamente, potrai vedere i dettagli di tutti gli aggregatori associati all'account. In questo esempio, sono `AccessibleAggregator` e `InAccessibleAggregator`:
```
{
"ConfigurationAggregators": [
{
"ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "AccessibleAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
},
{
"ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "InAccessibleAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
}
]
}
```
**Nota**
Per `account-aggregation-sources` inserire un elenco di AWS account separati da virgole IDs per i quali si desidera aggregare i dati. Raccogli l'account IDs tra parentesi quadre e assicurati di evitare le virgolette (ad esempio,). `"[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"`
Collega la seguente policy IAM per negare l'accesso a `InAccessibleAggregator` o l'aggregatore a cui desideri negare l'accesso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigDeny",
"Effect": "Deny",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-pokxzldx"
}
]
}
```
------
Quindi, puoi confermare che la policy IAM funge da limitazione dell'accesso a un aggregatore specifico:
```
aws configservice get-aggregate-compliance-details-by-config-rule --configuration-aggregator-name InAccessibleAggregator --config-rule-name rule name --account-id AccountID --aws-region AwsRegion
```
Il comando deve restituire un'eccezione di accesso negato:
```
An error occurred (AccessDeniedException) when calling the GetAggregateComplianceDetailsByConfigRule operation: User: arn:aws:iam::AccountID:user/ is not
authorized to perform: config:GetAggregateComplianceDetailsByConfigRule on resource: arn:aws:config:AwsRegion-1:AccountID:config-aggregator/config-aggregator-pokxzldx
```
# AWS politiche gestite per AWS Config
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AWSConfigServiceRolePolicy
AWS Config utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForConfig**per chiamare altri AWS servizi per conto dell'utente. Quando si utilizza il Console di gestione AWS per configurare AWS Config, questa reflex viene creata automaticamente AWS Config se si seleziona l'opzione per utilizzare la AWS Config reflex anziché il proprio ruolo di servizio AWS Identity and Access Management (IAM).
L'SLR **AWSServiceRoleForConfig** contiene la policy gestita `AWSConfigServiceRolePolicy`. Questa policy gestita contiene autorizzazioni di sola lettura e di sola scrittura per le risorse e autorizzazioni di sola lettura per AWS Config le risorse di altri servizi che le supportano. AWS Config La policy fornisce un accesso completo per monitorare e registrare le modifiche alla configurazione nell' AWS infrastruttura, incluse le autorizzazioni per oltre 100 AWS servizi come servizi di elaborazione, archiviazione, rete, sicurezza, analisi e apprendimento automatico.
La politica include le autorizzazioni per le seguenti categorie di servizi:
+ `access-analyzer`— Consente ai responsabili di analizzare i modelli di accesso e recuperare i risultati di sicurezza.
+ `account`— Consente ai responsabili di recuperare le informazioni di contatto dell'account.
+ `acm`e `acm-pca` — Consente ai responsabili di gestire i SSL/TLS certificati e le autorità di certificazione private.
+ `airflow`— Consente ai responsabili di monitorare gli ambienti Apache Airflow gestiti.
+ `amplify`e `amplifyuibuilder` — Consente ai responsabili di monitorare le applicazioni Web e i componenti dell'interfaccia utente.
+ `aoss`— Consente ai responsabili di monitorare le raccolte OpenSearch Serverless e le configurazioni di sicurezza.
+ `app-integrations`— Consente ai responsabili di monitorare le configurazioni di integrazione delle applicazioni.
+ `appconfig`— Consente ai responsabili di monitorare le implementazioni di configurazione delle applicazioni.
+ `appflow`— Consente ai responsabili di monitorare le configurazioni del flusso di dati tra le applicazioni.
+ `application-autoscaling`e `application-signals` — Consente ai responsabili di monitorare le politiche di auto-scaling e le metriche delle prestazioni delle applicazioni.
+ `appmesh`— Consente ai responsabili di monitorare le configurazioni della service mesh.
+ `apprunner`— Consente ai responsabili di monitorare applicazioni e servizi Web containerizzati.
+ `appstream`— Consente ai responsabili di monitorare le configurazioni di streaming delle applicazioni.
+ `appsync`— Consente ai responsabili di monitorare le configurazioni dell'API GraphQL.
+ `aps`— Consente ai mandanti di monitorare le configurazioni di monitoraggio di Prometheus.
+ `apptest`— Consente ai responsabili di monitorare le configurazioni di test delle applicazioni.
+ `arc-zonal-shift`— Consente ai dirigenti di monitorare la disponibilità delle configurazioni dei turni zonali.
+ `athena`— Consente ai responsabili di monitorare le configurazioni dei motori di interrogazione e i cataloghi di dati.
+ `auditmanager`— Consente ai dirigenti di monitorare le valutazioni di audit e conformità.
+ `autoscaling`e`autoscaling-plans`: consente ai responsabili di monitorare i gruppi e i piani di ridimensionamento con auto-scaling.
+ `b2bi`— Consente ai responsabili di monitorare le configurazioni di integrazione. business-to-business
+ `backup`e `backup-gateway` — Consente ai responsabili di monitorare le policy di backup e le configurazioni dei gateway.
+ `batch`— Consente ai responsabili di monitorare gli ambienti di elaborazione in batch e le code di lavoro.
+ `bcm-data-exports`— Consente ai dirigenti di monitorare le esportazioni dei dati di fatturazione e gestione dei costi.
+ `bedrock`e `bedrock-agentcore` — Consente ai dirigenti di monitorare i modelli di base e le configurazioni degli agenti AI.
+ `billingconductor`— Consente ai responsabili di monitorare le configurazioni dei gruppi di fatturazione.
+ `budgets`— Consente ai dirigenti di monitorare le configurazioni e le azioni del budget.
+ `cassandra`— Consente ai responsabili di interrogare le configurazioni gestite del database Cassandra.
+ `ce`— Consente ai responsabili di monitorare le configurazioni dei report sui costi e sull'utilizzo.
+ `cleanrooms`e `cleanrooms-ml` — Consente ai dirigenti di monitorare la collaborazione sui dati e le configurazioni di machine learning.
+ `cloud9`— Consente ai dirigenti di monitorare le configurazioni degli ambienti di sviluppo cloud.
+ `cloudformation`— Consente ai responsabili di monitorare l'infrastruttura come configurazioni dello stack di codice.
+ `cloudfront`— Consente ai responsabili di monitorare le configurazioni della rete di distribuzione dei contenuti.
+ `cloudtrail`— Consente ai responsabili di monitorare la registrazione delle API e le configurazioni degli audit trail.
+ `cloudwatch`— Consente ai responsabili di monitorare metriche, allarmi e configurazioni del dashboard.
+ `codeartifact`— Consente ai responsabili di monitorare le configurazioni dei repository dei pacchetti software.
+ `codebuild`— Consente ai mandanti di monitorare le configurazioni dei progetti di build.
+ `codecommit`— Consente ai responsabili di monitorare le configurazioni del repository del codice sorgente.
+ `codeconnections`— Consente ai mandanti di monitorare le connessioni di origine di terze parti.
+ `codedeploy`— Consente ai responsabili di monitorare le configurazioni di distribuzione delle applicazioni.
+ `codeguru-profiler`e `codeguru-reviewer` — Consente ai responsabili di monitorare l'analisi del codice e le configurazioni di profilazione.
+ `codepipeline`— Consente ai responsabili di monitorare in modo continuo le configurazioni delle pipeline di integrazione e distribuzione.
+ `codestar-connections`— Consente ai responsabili di monitorare le connessioni agli strumenti di sviluppo.
+ `cognito-identity`e `cognito-idp` — Consente ai responsabili di monitorare le identità e le configurazioni del pool di utenti.
+ `comprehend`— Consente ai dirigenti di monitorare le configurazioni di elaborazione del linguaggio naturale.
+ `config`— Consente ai responsabili di gestire la registrazione della configurazione e il monitoraggio della conformità.
+ `connect`— Consente ai responsabili di monitorare le configurazioni dei contact center.
Per ulteriori informazioni sui tipi di risorse supportati, vedere [Tipi di risorse supportati per AWS Config](resource-config-reference.md) e. [Utilizzo dei ruoli collegati ai servizi per AWS Config](using-service-linked-roles.md)
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSConfigServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigServiceRolePolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
**Consigliato: utilizza il ruolo collegato al servizio**
Si consiglia di utilizzare il ruolo collegato al servizio a meno che non si abbia un caso d'uso particolare. Un ruolo collegato al servizio aggiunge tutte le autorizzazioni necessarie per AWS Config l'esecuzione prevista. Alcune funzionalità, come i registratori di configurazione collegati al servizio, richiedono l'utilizzo del ruolo collegato al servizio.
## AWS politica gestita: AWS\$1ConfigRole
Per registrare le configurazioni AWS delle risorse, sono AWS Config necessarie le autorizzazioni IAM per ottenere i dettagli di configurazione delle risorse. Se desideri creare un ruolo IAM per AWS Config, puoi utilizzare la policy gestita `AWS_ConfigRole` e collegarla al ruolo IAM.
Questa policy IAM viene aggiornata ogni volta che viene AWS Config aggiunto il supporto per un tipo di AWS risorsa. Ciò significa che AWS Config continuerà ad avere le autorizzazioni necessarie per registrare i dati di configurazione dei tipi di risorse supportati purché al **AWS\$1Cruolo OnfiGrole** sia associata questa policy gestita. La policy fornisce un accesso completo per monitorare e registrare le modifiche alla configurazione nell'intera AWS infrastruttura, comprese le autorizzazioni per oltre 100 AWS servizi come servizi di elaborazione, archiviazione, rete, sicurezza, analisi e apprendimento automatico. Per ulteriori informazioni, consultare [Tipi di risorse supportati per AWS Config](resource-config-reference.md) e [Autorizzazioni per il ruolo IAM assegnato a AWS Config](iamrole-permissions.md).
*Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta [AWS\$1ConfiGROLE nella Managed Policy Reference](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS_ConfigRole.html) Guide.AWS *
## AWS politica gestita: AWSConfigUserAccess
Questa policy IAM fornisce l'accesso all'uso AWS Config, inclusa la ricerca per tag sulle risorse e la lettura di tutti i tag. Ciò non fornisce l'autorizzazione alla configurazione AWS Config, che richiede privilegi amministrativi.
Visualizza la politica: [AWSConfigUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigUserAccess.html).
## AWS politica gestita: ConfigConformsServiceRolePolicy
Per distribuire e gestire i pacchetti di conformità, sono AWS Config necessarie le autorizzazioni IAM e alcune autorizzazioni di altri servizi. AWS Questi consentono di distribuire e gestire pacchetti di conformità con funzionalità complete e vengono aggiornati ogni volta che vengono aggiunte nuove funzionalità per i pacchetti di conformità. AWS Config Per ulteriori informazioni sui pacchetti di conformità, consulta [Pacchetti di conformità](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html).
Visualizza la politica:. [ConfigConformsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ConfigConformsServiceRolePolicy.html)
## AWS politica gestita: AWSConfigRulesExecutionRole
Per implementare regole Lambda AWS personalizzate AWS Config , sono necessarie le autorizzazioni IAM e alcune autorizzazioni di altri servizi. AWS Questi consentono alle AWS Lambda funzioni di accedere all' AWS Config API e agli snapshot di configurazione che vengono AWS Config distribuiti periodicamente ad Amazon S3. Questo accesso è richiesto dalle funzioni che valutano le modifiche alla configurazione per le regole Lambda AWS personalizzate e viene aggiornato ogni volta che vengono AWS Config aggiunte nuove funzionalità. Per ulteriori informazioni sulle regole Lambda AWS personalizzate, vedere [Creazione di regole AWS Config Lambda](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_lambda-functions.html) personalizzate. Per ulteriori informazioni sugli snapshot di configurazione, consulta [Concetti \$1 Snapshot di configurazione](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#config-snapshot). Per ulteriori informazioni sulla distribuzione degli snapshot di configurazione, consulta [Gestione del canale di distribuzione](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html).
Visualizza la politica:. [AWSConfigRulesExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRulesExecutionRole.html)
## AWS politica gestita: AWSConfigMultiAccountSetupPolicy
Per distribuire, aggiornare ed eliminare centralmente AWS Config regole e pacchetti di conformità tra gli account dei membri di un'organizzazione in AWS Organizations, sono AWS Config necessarie le autorizzazioni IAM e determinate autorizzazioni di altri servizi. AWS Questa policy gestita viene aggiornata ogni volta che AWS Config aggiunge nuove funzionalità per la configurazione di più account. Per ulteriori informazioni, consulta [Gestione delle AWS Config regole per tutti gli account dell'organizzazione](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) e [Gestione dei pacchetti di conformità](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-organization-apis.html) per tutti gli account dell'organizzazione.
Visualizza la politica:. [AWSConfigMultiAccountSetupPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigMultiAccountSetupPolicy.html)
## AWS politica gestita: AWSConfigRoleForOrganizations
Per consentire di AWS Config effettuare chiamate in sola lettura AWS Organizations APIs, sono AWS Config necessarie le autorizzazioni IAM e alcune autorizzazioni di altri servizi. AWS Questa policy gestita viene aggiornata ogni volta che AWS Config aggiunge nuove funzionalità per la configurazione di più account. Per ulteriori informazioni, consulta [Gestione delle AWS Config regole per tutti gli account dell'organizzazione](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) e [Gestione dei pacchetti di conformità per tutti gli account dell'organizzazione](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-organization-apis.html).
Visualizza la politica:. [AWSConfigRoleForOrganizations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRoleForOrganizations.html)
## AWS politica gestita: AWSConfigRemediationServiceRolePolicy
AWS Config Per consentire la riparazione `NON_COMPLIANT` delle risorse per tuo conto, AWS Config richiede le autorizzazioni IAM e alcune autorizzazioni di altri servizi. AWS Questa policy gestita viene aggiornata ogni volta che vengono AWS Config aggiunte nuove funzionalità per la correzione. Per ulteriori informazioni sulla riparazione, vedere Riparazione di risorse [non conformi con](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html) regole. AWS Config [Per ulteriori informazioni sulle condizioni che determinano i possibili risultati della AWS Config valutazione, vedere Concetti \$1 Regole. AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#aws-config-rules)
Visualizza la politica: [AWSConfigRemediationServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRemediationServiceRolePolicy.html).
## AWS Config aggiornamenti alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS Config da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia dei AWS Config documenti](https://docs.aws.amazon.com/config/latest/developerguide/DocumentHistory.html).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Autorizzazioni aggiunte: application-autoscaling:DescribeScheduledActions, appsync:, cloudformation:GetApiAssociation, cloudformation:DescribeStacks, cloudformation:, cloudfront:GetStackPolicy, cloudfront:GetTemplate, cloudfront:GetKeyGroup, connect:, cur:GetMonitoringSubscription, cur:, datazone:ListKeyGroups, datazone:ListEvaluationFormVersions, datazone:DescribeReportDefinitions, datazone:ListTagsForResource, datazone:GetDomainUnit, datazone:GetEnvironmentAction, datazone:, datazone:GetEnvironmentBlueprintConfiguration, datazone:GetEnvironmentProfile, zona dati:, zona dati:GetGroupProfile, zona dati:GetSubscriptionTarget, zona dati: GetUserProfile ListDomainUnitsForParent ListEntityOwners ListEnvironmentActions ListEnvironmentBlueprintConfigurations, datazone:, datazone:ListEnvironmentProfiles, datazone:ListPolicyGrants, datazone:, datazone:ListProjectMemberships, docdb-elastico:, docdb-elastic:ListSubscriptionTargets, docdb-elastic:SearchGroupProfiles, ec2:, ec2:, ec2:SearchUserProfiles, fis:, rilevatore di frodi:GetCluster, guardduty:, guardduty:ListClusters, guardduty:, guardduty:, guardduty:ListTagsForResource, guardduty:, guardduty:GetRouteServerAssociations, guardduty:, guardduty:GetRouteServerPropagations, guardduty:SearchTransitGatewayRoutes, guardduty:, guardduty:ListTagsForResource, guardduty:, guardduty:GetListElements, guardduty:, guardduty:, guardduty:GetListsMetadata, guardduty:GetThreatEntitySet, guardduty:, guardduty:GetTrustedEntitySet, guardduty:, guardduty:ListThreatEntitySets, guardduty:, guardduty:ListTrustedEntitySets, guardduty:, guardduty:, guardduty:GetCampaign, guardduty:, guardduty:, guardduty:ListCampaigns, guardduty: wise:, iotfleetwise:DescribeComputationModel, iotsitewise:, iotsitewise:DescribeDataset, iotsitewise:ListComputationModels, iotsitewise: ListDatasetsGetWirelessDeviceImportTask, iotwireless:ListWirelessDeviceImportTasks, kendra:ListDataSources, registri:DescribeQueryDefinitions, registri:GetIntegration, registri:ListIntegrations, mediaconnect:ListRouterOutputs, medialive:DescribeMultiplex, medialive:DescribeSdiSource, medialive:GetCloudWatchAlarmTemplate, medialive:GetCloudWatchAlarmTemplateGroup, medialive: GetEventBridgeRuleTemplateGetEventBridgeRuleTemplateGroup, medialive:ListCloudWatchAlarmTemplateGroups, medialive:ListCloudWatchAlarmTemplates, medialive:ListEventBridgeRuleTemplateGroups, medialive:ListEventBridgeRuleTemplates, medialive:ListSdiSources, gestore di rete:GetConnectAttachment, gestore di rete:GetCoreNetwork, gestore di rete: ListSignalMaps GetCoreNetworkPolicy, gestore di rete:GetDirectConnectGatewayAttachment, gestore di rete:GetSiteToSiteVpnAttachment, gestore di rete:ListAttachments, notifiche:, notifiche:ListCoreNetworks, notifiche:GetEventRule, notifiche:ListEventRules, notifiche:ListManagedNotificationChannelAssociations, notifiche:ListNotificationHubs, refactor-spaces:ListOrganizationalUnits, refactor-spaces:GetApplication, refactor-spaces: GetRouteListRoutes, resource-explorer-2:GetDefaultView, route53resolver:GetOutpostResolver, route53resolver:, securityhub:ListOutpostResolvers, securityhub:DescribeOrganizationConfiguration, securityhub: GetAggregator V2, securityhub: GetAutomationRule V2, hub di sicurezza:GetConfigurationPolicyAssociation, securityhub:GetFindingAggregator, securityhub: ListAggregators V2, securityhub: ListAutomationRules V2, securityhub:ListConfigurationPolicyAssociations, securityhub:ListFindingAggregators, sms-voice:DescribeConfigurationSets, sms-voice:DescribeKeywords, sms-voice:DescribeProtectConfigurations, sms-voice:GetProtectConfigurationCountryRuleSet, sms-voice:ListPoolOriginationIdentities, sms-voice:ListTagsForResource, sms-voice:GetTrustStore, workspaces-web:GetTrustStoreCertificate, workspaces-web:GetUserAccessLoggingSettings, workspaces-web:ListTagsForResource. | Questa politica ora supporta autorizzazioni aggiuntive per la registrazione delle modifiche alla configurazione su numerosi AWS servizi. | 17 febbraio 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Autorizzazioni aggiunte: application-autoscaling:DescribeScheduledActions, appsync:, cloudformation:, cloudformation:GetApiAssociation, cloudformation:DescribeStacks, cloudfront:, cloudfront:GetStackPolicy, cloudfront:, connect:GetTemplate, cur:, cur:GetKeyGroup, datazone:, datazone:GetMonitoringSubscription, datazone:ListKeyGroups, datazone:, datazone:ListEvaluationFormVersions, datazone:DescribeReportDefinitions, datazone:ListTagsForResource, datazone:GetDomainUnit, datazone:, zona dati:, zona dati:GetEnvironmentAction, zona dati:GetEnvironmentBlueprintConfiguration, zona dati: GetEnvironmentProfile GetGroupProfile GetSubscriptionTarget GetUserProfile ListDomainUnitsForParent ListEntityOwners ListEnvironmentActions ListEnvironmentBlueprintConfigurations, datazone:, datazone:ListEnvironmentProfiles, datazone:ListPolicyGrants, datazone:, datazone:ListProjectMemberships, docdb-elastico:, docdb-elastic:ListSubscriptionTargets, docdb-elastic:SearchGroupProfiles, ec2:, ec2:, ec2:SearchUserProfiles, fis:, rilevatore di frodi:GetCluster, guardduty:, guardduty:ListClusters, guardduty:, guardduty:, guardduty:ListTagsForResource, guardduty:, guardduty:GetRouteServerAssociations, guardduty:, guardduty:GetRouteServerPropagations, guardduty:SearchTransitGatewayRoutes, guardduty:, guardduty:ListTagsForResource, guardduty:, guardduty:GetListElements, guardduty:, guardduty:, guardduty:GetListsMetadata, guardduty:GetThreatEntitySet, guardduty:, guardduty:GetTrustedEntitySet, guardduty:, guardduty:ListThreatEntitySets, guardduty:, guardduty:ListTrustedEntitySets, guardduty:, guardduty:, guardduty:GetCampaign, guardduty:, guardduty:, guardduty:ListCampaigns, guardduty: wise:, iotfleetwise:DescribeComputationModel, iotsitewise:, iotsitewise:DescribeDataset, iotsitewise:ListComputationModels, iotsitewise: ListDatasetsGetWirelessDeviceImportTask, iotwireless:ListWirelessDeviceImportTasks, kendra:ListDataSources, registri:DescribeQueryDefinitions, registri:GetIntegration, registri:ListIntegrations, mediaconnect:ListRouterOutputs, medialive:DescribeMultiplex, medialive:DescribeSdiSource, medialive:GetCloudWatchAlarmTemplate, medialive:GetCloudWatchAlarmTemplateGroup, medialive: GetEventBridgeRuleTemplateGetEventBridgeRuleTemplateGroup, medialive:ListCloudWatchAlarmTemplateGroups, medialive:ListCloudWatchAlarmTemplates, medialive:ListEventBridgeRuleTemplateGroups, medialive:ListEventBridgeRuleTemplates, medialive:ListSdiSources, gestore di rete:GetConnectAttachment, gestore di rete:GetCoreNetwork, gestore di rete: ListSignalMaps GetCoreNetworkPolicy, gestore di rete:GetDirectConnectGatewayAttachment, gestore di rete:GetSiteToSiteVpnAttachment, gestore di rete:ListAttachments, notifiche:, notifiche:ListCoreNetworks, notifiche:GetEventRule, notifiche:ListEventRules, notifiche:ListManagedNotificationChannelAssociations, notifiche:ListNotificationHubs, refactor-spaces:ListOrganizationalUnits, refactor-spaces:GetApplication, refactor-spaces: GetRouteListRoutes, resource-explorer-2:GetDefaultView, route53resolver:GetOutpostResolver, route53resolver:, securityhub:ListOutpostResolvers, securityhub:DescribeOrganizationConfiguration, securityhub: GetAggregator V2, securityhub: GetAutomationRule V2, hub di sicurezza:GetConfigurationPolicyAssociation, securityhub:GetFindingAggregator, securityhub: ListAggregators V2, securityhub: ListAutomationRules V2, securityhub:ListConfigurationPolicyAssociations, securityhub:ListFindingAggregators, sms-voice:DescribeConfigurationSets, sms-voice:DescribeKeywords, sms-voice:DescribeProtectConfigurations, sms-voice:GetProtectConfigurationCountryRuleSet, sms-voice:ListPoolOriginationIdentities, sms-voice:ListTagsForResource, sms-voice:GetTrustStore, workspaces-web:GetTrustStoreCertificate, workspaces-web:GetUserAccessLoggingSettings, workspaces-web:ListTagsForResource. | Questa politica ora supporta autorizzazioni aggiuntive per la registrazione delle modifiche alla configurazione su numerosi AWS servizi. | 17 febbraio 2026 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Politica gestita aggiornata con autorizzazioni complete per la registrazione della configurazione AWS delle risorse su oltre 100 AWS servizi tra cui servizi di elaborazione, archiviazione, rete, sicurezza, analisi e apprendimento automatico. | Questa politica ora fornisce una documentazione avanzata delle autorizzazioni di servizio e supporta il monitoraggio completo di tutti i AWS servizi che AWS Config supportano la registrazione della configurazione. | 27 gennaio 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Politica gestita aggiornata con autorizzazioni complete per la registrazione della configurazione AWS delle risorse su oltre 100 AWS servizi tra cui servizi di elaborazione, archiviazione, rete, sicurezza, analisi e apprendimento automatico. | Questa politica ora fornisce una documentazione avanzata delle autorizzazioni di servizio e supporta il monitoraggio completo di tutti i AWS servizi che AWS Config supportano la registrazione della configurazione. | 27 gennaio 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— aggiungi «s3tables: «, ListTagsForResource «s3tables: «, «s3tables:GetTableBucketMetricsConfiguration» GetTableBucketStorageClass | Questa politica ora supporta autorizzazioni aggiuntive per S3Tables.. | 09 gennaio 2026 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— aggiungi «s3tables: «, ListTagsForResource «s3tables: «, «s3tables:GetTableBucketMetricsConfiguration» GetTableBucketStorageClass | Questa politica ora supporta autorizzazioni aggiuntive per S3Tables. | 09 gennaio 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— aggiungi «lightsail:GetActiveNames" «lightsail:" «s3:GetOperations» GetBucketAbac | Questa politica ora supporta autorizzazioni aggiuntive per Amazon Lightsail e Amazon Simple Storage Service (Amazon S3). | 20 novembre 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— aggiungi «lightsail:GetActiveNames" «lightsail:" «s3:GetOperations» GetBucketAbac | Questa politica ora supporta autorizzazioni aggiuntive per Amazon Lightsail e Amazon Simple Storage Service (Amazon S3). | 20 novembre 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Politica gestita aggiornata con autorizzazioni complete per la registrazione della configurazione AWS delle risorse su oltre 100 AWS servizi tra cui servizi di elaborazione, archiviazione, rete, sicurezza, analisi e apprendimento automatico. | Questa politica ora fornisce una documentazione avanzata delle autorizzazioni di servizio e supporta il monitoraggio completo di tutti i AWS servizi che AWS Config supportano la registrazione della configurazione. | 11 novembre 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Policy gestita aggiornata con autorizzazioni complete per la registrazione della configurazione AWS delle risorse su più servizi AWS Identity and Access Management, tra cui Amazon Elastic Compute Cloud, Amazon Simple Storage Service AWS Lambda, Amazon Relational Database Service e molti altri. | Questa policy ora supporta autorizzazioni aggiuntive per la registrazione e il monitoraggio completi della configurazione AWS delle risorse su tutti i servizi supportati. AWS | 10 novembre 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— aggiungi «amplify:GetDomainAssociation" «amplify:" «amplify:" «appsync:" «bedrock:ListDomainAssociations" «bedrock:" «bedrock:" «bedrock:ListTagsForResource" «cloudTrail:" «cloudformation:GetSourceApiAssociation" «codeartifact:ListSourceApiAssociations" «codepipeline:" «codepipeline:GetFlow" «codepipeline:" «codepipeline:ListAgentCollaborators" «codepipeline:" «codepipeline:ListFlows" «codepipeline:" «codepipeline:ListPrompts" «codepipeline:" «codepipeline:GetResourcePolicy" «codepipeline:" «codepipeline:DescribePublisher" «codepipeline:" «codepipeline:" «codepipeline:DescribePackageGroup" «codepipeline:" «codepipeline:" «codepipeline:ListAllowedRepositoriesForGroup" «codepipeline:" «codepipeline:ListPackageGroups" «codepipeline:" «codepipeline:ListActionTypes" «connect:" «connect:" «scadenza:" «ec2:ListTagsForResource" «ec2:" «ec2: ListWebhooks DescribeTrafficDistributionGroup ListTrafficDistributionGroups ListFarms GetTransitGatewayRouteTablePropagations SearchLocalGatewayRoutes SearchTransitGatewayMulticastGroups"«entityresolution:GetMatchingWorkflow" «entityresolution:ListMatchingWorkflows" «iotsitewise:ListAssetModelCompositeModels" «iotsitewise:ListAssetModelProperties" «iotsitewise:ListAssetProperties" «iotsitewise:ListAssociatedAssets" «ivs:ListPublicKeys" «lambda:GetProvisionedConcurrencyConfig" «lambda:GetRuntimeManagementConfig" «lambda:ListFunctionEventInvokeConfigs" «lambda:" «pipe:ListFunctionUrlConfigs" «quicksight:ListPipes" «quicksight:DescribeRefreshSchedule" «redshift-serverless:ListRefreshSchedules" «redshift-serverless:ListSnapshotCopyConfigurations» "«redshift:GetResourcePolicy" «rolesanywhere:GetCrl" «rolesanywhere:ListCrls" «sagemaker:DescribeApp" «sagemaker:DescribeUserProfile" «sagemaker: DescribePipe ListApps"«sagemaker:ListModelPackages" «sagemaker:" «secretsmanager:ListUserProfiles" «securitylake:" «securitylake:GetResourcePolicy" «servicecatalog:ListSubscribers" «servicecatalog:ListTagsForResource" «servicecatalog:" «shield:" «ssm-incidents:DescribeServiceAction" «ssm-incidents:ListApplications" «ssm:" «ssm:" «ssm:ListAssociatedResources" «ssm:ListProtectionGroups" «ssm:ListTagsForResource" «ssm:" «ssm:" «ssm:GetReplicationSet" «ssm:" «ssm:" «ssm:ListReplicationSets" «ssm:DescribeAssociation" «ssm:" «ssm:DescribePatchBaselines" «ssm:GetDefaultPatchBaseline" «ssm:" «ssm:GetPatchBaseline" «ssm:" «ssm:GetResourcePolicies" «ssm:ListAssociations" «ssm:" «ssm:ListResourceDataSync" «ssm:" «ssm:ListLoggingConfigurations" «ssm:" «ssm:" «wafv2:ListCodeInterpreters" «bedrock-agentcore:GetCodeInterpreter" «bedrock-agentcore:" «base -agentcore: ListBrowsers "«bedrock-agentcore:GetBrowser" «bedrock-agentcore: ListAgentRuntimesGetAgentRuntime" «bedrock-agentcore:ListAgentRuntimeEndpoints" «bedrock-agentcore:GetAgentRuntimeEndpoint» | Questa policy ora supporta autorizzazioni aggiuntive per AWS Amplify AWS AppSync, Amazon Bedrock,, AWS CloudTrail, CloudFormation AWS CodeArtifact, Amazon Connect AWS CodePipeline, Amazon EC2 AWS Deadline Cloud,,, Amazon IVS AWS Entity Resolution AWS IoT SiteWise, Amazon Quick AWS Lambda, EventBridge Amazon Redshift, Amazon Redshift Serverless, Amazon,, Amazon Security Lake AWS Identity and Access Management Roles Anywhere, AWS Service Catalog, SageMaker Gestione dei segreti AWS AWS Shield Amazon EC2 Systems Manager e. AWS WAFV2 | 1° ottobre 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— aggiungi «amplify:GetDomainAssociation" «amplify:" «amplify:ListDomainAssociations" «appsync:" «bedrock:" «bedrock:ListTagsForResource" «bedrock:" «bedrock:GetSourceApiAssociation" «cloudTrail:ListSourceApiAssociations" «cloudformation:GetFlow" «codeartifact:" «codepipeline:ListAgentCollaborators" «codepipeline:ListFlows" «codepipeline:" «codepipeline:ListPrompts" «codepipeline:GetResourcePolicy" «codepipeline:" «codepipeline:DescribePublisher" «codepipeline:" «codepipeline:DescribePackageGroup" «codepipeline:" «codepipeline:ListAllowedRepositoriesForGroup" «codepipeline:" «codepipeline:ListPackageGroups" «codepipeline:" «codepipeline:ListActionTypes" «codepipeline:ListTagsForResource" «codepipeline:" «codepipeline:ListWebhooks" «codepipeline:" «codepipeline:DescribeTrafficDistributionGroup" «codepipeline:ListTrafficDistributionGroups" «codepipeline:ListFarms" «connect:" «connect:GetTransitGatewayRouteTablePropagations" «scadenza:" «ec2:SearchLocalGatewayRoutes" «ec2:" «ec2: SearchTransitGatewayMulticastGroups"«entityresolution:GetMatchingWorkflow" «entityresolution:ListMatchingWorkflows" «iotsitewise:ListAssetModelCompositeModels" «iotsitewise:ListAssetModelProperties" «iotsitewise:ListAssetProperties" «iotsitewise:ListAssociatedAssets" «ivs:ListPublicKeys" «lambda:GetProvisionedConcurrencyConfig" «lambda:GetRuntimeManagementConfig" «lambda:ListFunctionEventInvokeConfigs" «lambda:" «pipe:ListFunctionUrlConfigs" «quicksight:ListPipes" «quicksight:DescribeRefreshSchedule" «redshift-serverless:ListRefreshSchedules" «redshift-serverless:ListSnapshotCopyConfigurations» "«redshift:GetResourcePolicy" «rolesanywhere:GetCrl" «rolesanywhere:ListCrls" «sagemaker:DescribeApp" «sagemaker:DescribeUserProfile" «sagemaker: DescribePipe ListApps"«sagemaker:ListModelPackages" «sagemaker:" «secretsmanager:ListUserProfiles" «securitylake:" «securitylake:GetResourcePolicy" «servicecatalog:ListSubscribers" «servicecatalog:ListTagsForResource" «servicecatalog:" «shield:" «ssm-incidents:DescribeServiceAction" «ssm-incidents:ListApplications" «ssm:" «ssm:" «ssm:ListAssociatedResources" «ssm:ListProtectionGroups" «ssm:ListTagsForResource" «ssm:" «ssm:" «ssm:GetReplicationSet" «ssm:" «ssm:" «ssm:ListReplicationSets" «ssm:DescribeAssociation" «ssm:" «ssm:DescribePatchBaselines" «ssm:GetDefaultPatchBaseline" «ssm:" «ssm:GetPatchBaseline" «ssm:" «ssm:GetResourcePolicies" «ssm:ListAssociations" «ssm:" «ssm:ListResourceDataSync" «ssm:" «ssm:ListLoggingConfigurations" «ssm:" «ssm:" «wafv2:ListCodeInterpreters" «bedrock-agentcore:GetCodeInterpreter" «bedrock-agentcore:" «base -agentcore: ListBrowsers "«bedrock-agentcore:GetBrowser" «bedrock-agentcore: ListAgentRuntimesGetAgentRuntime" «bedrock-agentcore:ListAgentRuntimeEndpoints" «bedrock-agentcore:GetAgentRuntimeEndpoint» | Questa policy ora supporta autorizzazioni aggiuntive per AWS Amplify AWS AppSync, Amazon Bedrock,, AWS CloudTrail, CloudFormation AWS CodeArtifact, Amazon Connect AWS CodePipeline, Amazon EC2 AWS Deadline Cloud,,, Amazon IVS AWS Entity Resolution AWS IoT SiteWise, Amazon Quick AWS Lambda, EventBridge Amazon Redshift, Amazon Redshift Serverless, Amazon,, Amazon Security Lake AWS Identity and Access Management Roles Anywhere, AWS Service Catalog, SageMaker Gestione dei segreti AWS AWS Shield Amazon EC2 Systems Manager e. AWS WAFV2 | 1° ottobre 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Aggiungi "arc-zonal-shift: GetAutoshiftObserverNotificationStatus «, «bedrock: «, «cloudtrail: GetModelInvocationLoggingConfiguration «, «codeartifact: GetEventConfiguration «, «codeartifact: «, «scadenza: DescribeDomain «, «scadenza: «, «scadenza: «, «scadenza: GetDomainPermissionsPolicy «, «scadenza: GetFleet «, «dms: «, «dms: GetQueueFleetAssociation «, «glue: «, ListFleets «kafkaconnect: ListQueueFleetAssociations «, «kafkaconnect: ListTagsForResource «, «kafkaconnect: DescribeDataMigrations «, «kafkaconnect: ListMigrationProjects «, «kafkaconnect: GetDataCatalogEncryptionSettings «, «kafkaconnect: DescribeCustomPlugin «, «kafkaconnect: DescribeWorkerConfiguration «, «kafkaconnect: «, «kafkaconnect: ListCustomPlugins «, «kafkaconnect: «, «kafkafkaconnect: ListTagsForResource «, «kafkaconnect: ListWorkerConfigurations «, «kafkaconnect: DescribeLakeFormationIdentityCenterConfiguration «, «lakeformation: «, DescribeMultiplexProgram «medialive: «, «medialive: ListMultiplexPrograms«, «mediapackagev2: GetChannelGroup «, «mediapackagev2: ListChannelGroups «, «rds: DescribeEngineDefaultParameters «, «rolesanywhere: GetProfile «, «rolesanywhere: GetTrustAnchor «, «rolesanywhere: «, ListProfiles «rolesanywhere: «, ListTagsForResource «rolesanywhere: «, ListTrustAnchors «s3: «, «s3: GetAccessGrant «, «secretsmanager: ListAccessGrants «, «securitylake: DescribeSecret «, «securitylake: ListDataLakeExceptions «, «securitylake: ListDataLakes «, «securitylake: ListLogSources «, «securitylake: GetAttributeGroup «, «servicecatalog: ListAttributeGroups «, «servicecatalog: ListServiceActions «, «servicecatalog: ListServiceActionsForProvisioningArtifact «, «servicecatalog: GetTrafficPolicy «, «ses: ListTagsForResource «,» se: ListTrafficPolicies «, «xray: GetGroup «, «xray: GetGroups «, «xray: GetSamplingRules «, «xray: ListResourcePolicies «, «xray:ListTagsForResource» | Questa politica ora supporta autorizzazioni aggiuntive per Amazon Bedrock AWS ARC - Zonal Shift,,,, AWS CloudTrail, AWS CodeArtifact AWS Deadline Cloud AWS Database Migration Service AWS Glue, AWS Identity and Access Management Amazon Managed Streaming for AWS Lake Formation Apache Kafka CloudWatch , Amazon Logs,, AWS Elemental MediaLive Amazon Relational Database Service, AWS Elemental MediaPackage Amazon Simple Storage Service, Amazon Security Lake, Gestione dei segreti AWS Amazon Simple AWS Service Catalog Email Service e. AWS X-Ray | 28 luglio 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Aggiungi "arc-zonal-shift: GetAutoshiftObserverNotificationStatus «, «bedrock: «, GetModelInvocationLoggingConfiguration «cloudtrail: «, «codeartifact: GetEventConfiguration «, «codeartifact: DescribeDomain «, «scadenza: «, «scadenza: GetDomainPermissionsPolicy «, «scadenza: «, «scadenza: GetFleet «, «scadenza: GetQueueFleetAssociation «, «dms: «, ListFleets «dms: «, «dms: ListQueueFleetAssociations «, «glue: ListTagsForResource «, «iam: DescribeDataMigrations «, «kafkaconnect: ListMigrationProjects «, «kafkaconnect: GetDataCatalogEncryptionSettings «, «kafkaconnect: ListPolicies «, «kafkaconnect: DescribeCustomPlugin «, «lakeformation: «, «logs: DescribeWorkerConfiguration «, «logs: «, «medialive: ListCustomPlugins ListTagsForResource ListWorkerConfigurations DescribeLakeFormationIdentityCenterConfiguration DescribeIndexPolicies ListTagsForResource DescribeMultiplexProgram«, «medialive: ListMultiplexPrograms «, «mediapackagev2: GetChannelGroup «, «mediapackagev2: ListChannelGroups «, «rds: DescribeEngineDefaultParameters «, «rolesanywhere: GetProfile «, «rolesanywhere: GetTrustAnchor «, «rolesanywhere: ListProfiles «, «rolesanywhere: ListTagsForResource «, «rolesanywhere: ListTrustAnchors «, «s3: GetAccessGrant «, «s3: ListAccessGrants «, «secretsmanager: DescribeSecret «, «securitylake: ListDataLakeExceptions «, «securitylake: ListDataLakes «, «securitylake: ListLogSources «, «servicecatalog: GetAttributeGroup «, «servicecatalog: ListAttributeGroups «, «servicecatalog: ListServiceActions «, «servicecatalog: ListServiceActionsForProvisioningArtifact «, «se: GetTrafficPolicy «, «ses: ListTagsForResource «, «ses: ListTrafficPolicies «, «xray: GetGroup «, «xray: GetGroups «, «xray: GetSamplingRules «, «xray: ListResourcePolicies «, «xray: ListTagsForResource «, «arn:aws:apigateway: ::/account», «arn:aws:apigateway: ::/usageplans», «arn:aws:apigateway: ::/usageplans/». | Questa politica ora supporta autorizzazioni aggiuntive per Amazon Bedrock AWS ARC - Zonal Shift,,,, AWS CloudTrail, AWS CodeArtifact AWS Deadline Cloud AWS Database Migration Service AWS Glue, AWS Identity and Access Management Amazon Managed Streaming for AWS Lake Formation Apache Kafka CloudWatch , Amazon Logs,, AWS Elemental MediaLive Amazon Relational Database Service, AWS Elemental MediaPackage Amazon Simple Storage Service, Amazon Security Lake, Gestione dei segreti AWS Amazon Simple AWS X-Ray Email Service e AWS Service Catalog Amazon API Gateway. | 28 luglio 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Aggiungi «backup-gateway: GetHypervisor «, «backup-gateway: ListHypervisors «,"bcm-data-exports: GetExport «,"bcm-data-exports: ListExports «, ListTagsForResource «bedrockbcm-data-exports: «, GetAgent «bedrock: «, GetAgentActionGroup «bedrock: «, GetAgentKnowledgeBase «bedrock: «, GetDataSource «bedrock: «, GetFlowAlias «bedrock: GetFlowVersion «, «bedrock: ListAgentActionGroups «, «bedrock: ListAgentKnowledgeBases «, «bedrock: ListDataSources «, «bedrock: ListFlowAliases «, «bedrock: ListFlowVersions «, «cloudformation: BatchDescribeTypeConfigurations «, «cloudformation: DescribeStackInstance «, «cloudformation: DescribeStackSet «, «cloudformation: ListStackInstances «,» cloudformation: ListStackSets «, «cloudfront: GetPublicKey «, «cloudfront: GetRealtimeLogConfig «, «cloudfront: ListPublicKeys «, «cloudfront: «, ListRealtimeLogConfigs «entityresolution: «, GetIdMappingWorkflow «entityresolution: «, GetSchemaMapping «entityresolution: «, «entityresolution: ListIdMappingWorkflows «, «entityresolution: ListSchemaMappings «, «entityresolution: ListTagsForResource «, «iotdeviceadvisor: GetSuiteDefinition «, «iotdeviceadvisor: ListSuiteDefinitions «, «lambda: GetEventSourceMapping «, «lambda: «, ListEventSourceMappings «iotdeviceadvisor da: GetChannel «, «mediapackagev2: ListChannels «, «mediapackagev2: GetTransitGatewayPeering «, «gestore di rete: ListPeerings «, «gestore di retepca-connector-ad: GetDirectoryRegistration «,» pca-connector-ad: ListDirectoryRegistrations «,"pca-connector-ad: ListTagsForResource «, «rds:describe DBShard Groups», «rds: DescribeIntegrations «, «redshift: DescribeIntegrations «, «s3tables: GetTableBucket «, «s3tables: GetTableBucketEncryption «, «s3tables: GetTableBucketMaintenanceConfiguration «, «s3tables: ListTableBuckets «, «ssm-quicksetup: GetConfigurationManager «, «ssm-quicksetup:ListConfigurationManagers» | Questa politica ora supporta autorizzazioni aggiuntive per AWS Backup gateway, Amazon Bedrock Gestione dei costi e fatturazione AWS,,,,, CloudFront, AWS Entity Resolution AWS IoT Core Device Advisor AWS Lambda, AWS CloudFormation Amazon Relational Database Service AWS Network Manager AWS Autorità di certificazione privata, Amazon Redshift, Amazon S3 Tables,. AWS Configurazione rapida di Systems Manager | 18 giugno 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Aggiungi «backup-gateway: GetHypervisor «, «backup-gateway: ListHypervisors «,"bcm-data-exports: GetExport «,"bcm-data-exports: ListExports «, ListTagsForResource «bedrockbcm-data-exports: «, GetAgent «bedrock: «, GetAgentActionGroup «bedrock: «, GetAgentKnowledgeBase «bedrock: «, GetDataSource «bedrock: «, GetFlowAlias «bedrock: GetFlowVersion «, «bedrock: ListAgentActionGroups «, «bedrock: ListAgentKnowledgeBases «, «bedrock: ListDataSources «, «bedrock: ListFlowAliases «, «bedrock: ListFlowVersions «, «cloudformation: BatchDescribeTypeConfigurations «, «cloudformation: DescribeStackInstance «, «cloudformation: DescribeStackSet «, «cloudformation: ListStackInstances «,» cloudformation: ListStackSets «, «cloudfront: GetPublicKey «, «cloudfront: GetRealtimeLogConfig «, «cloudfront: ListPublicKeys «, «cloudfront: «, ListRealtimeLogConfigs «entityresolution: «, GetIdMappingWorkflow «entityresolution: «, «entityresolution: GetSchemaMapping «, «entityresolution: ListIdMappingWorkflows «, «entityresolution: ListSchemaMappings «, «entityresolution: ListTagsForResource «, «iotdeviceadvisor: GetSuiteDefinition «, «iotdeviceadvisor: ListSuiteDefinitions «, «lambda: «, GetEventSourceMapping «lambda: «, ListEventSourceMappings «iotdeviceadvisor da: GetTransitGatewayPeering «, «gestore di rete: ListPeerings «, «gestore di retepca-connector-ad: GetDirectoryRegistration «,"pca-connector-ad: ListDirectoryRegistrations «,"pca-connector-ad: ListTagsForResource «, «rds: Descrivi i DBShard gruppi», DescribeIntegrations «rds: «, DescribeIntegrations «redshift: «, GetTableBucket «s3tables: «, «s3tables: GetTableBucketEncryption «, «s3tables: GetTableBucketMaintenanceConfiguration «, «s3tables: ListTableBuckets «, «ssm-quicksetup: GetConfigurationManager «, «ssm-quicksetup:ListConfigurationManagers» | Questa politica ora supporta autorizzazioni aggiuntive per AWS Backup gateway, Amazon Bedrock Gestione dei costi e fatturazione AWS,,,,, CloudFront, AWS Entity Resolution AWS IoT Core Device Advisor AWS Lambda, AWS CloudFormation Amazon Relational Database Service AWS Network Manager AWS Autorità di certificazione privata, Amazon Redshift, Amazon S3 Tables,. AWS Configurazione rapida di Systems Manager | 18 giugno 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di "bedrock:GetGuardrail", "bedrock:GetInferenceProfile", "bedrock:GetKnowledgeBase", "bedrock:ListGuardrails", "bedrock:ListInferenceProfiles", "bedrock:ListKnowledgeBases", "bedrock:ListTagsForResource" | Questa politica ora supporta autorizzazioni aggiuntive per Amazon Bedrock. | 27 maggio 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di "bedrock:GetGuardrail", "bedrock:GetInferenceProfile", "bedrock:GetKnowledgeBase", "bedrock:ListGuardrails", "bedrock:ListInferenceProfiles", "bedrock:ListKnowledgeBases", "bedrock:ListTagsForResource" | Questa politica ora supporta autorizzazioni aggiuntive per Amazon Bedrock. | 27 maggio 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di "b2bi:GetPartnership", "b2bi:GetProfile", "b2bi:ListPartnerships", "b2bi:ListProfiles", "bedrock:ListAgents", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetMembership", "cleanrooms:GetPrivacyBudgetTemplate", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMemberships", "cleanrooms:ListPrivacyBudgetTemplates", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListTagsForResource", "directconnect:DescribeConnections", "dms:DescribeReplicationConfigs", "logs:DescribeAccountPolicies", "logs:DescribeResourcePolicies", "macie2:ListAutomatedDiscoveryAccounts", "managedblockchain:GetAccessor", "managedblockchain:ListAccessors", "qbusiness:GetApplication", "qbusiness:ListApplications", "qbusiness:ListTagsForResource", "route53profiles:GetProfile", "route53profiles:GetProfileAssociation", "route53profiles:ListProfileAssociations", "route53profiles:ListProfiles", "route53profiles:ListTagsForResource", "s3:GetAccessGrantsInstance", "s3:GetAccessGrantsLocation", "s3:ListAccessGrantsInstances", "s3:ListAccessGrantsLocations", "sagemaker:DescribeCluster", "sagemaker:DescribeMlflowTrackingServer", "sagemaker:DescribeStudioLifecycleConfig", "sagemaker:ListClusters", "sagemaker:ListMlflowTrackingServers", "sagemaker:ListStudioLifecycleConfigs", "securityhub:DescribeStandardsControls", "securityhub:GetEnabledStandards", "ssm-contacts:GetContact", "ssm-contacts:GetContactChannel", "ssm-contacts:ListContactChannels", "ssm-contacts:ListContacts", "ssm-incidents:GetResponsePlan", "ssm-incidents:ListResponsePlans", "ssm-incidents:ListTagsForResource", "ssm:DescribeInstanceInformation" | Questa politica ora supporta autorizzazioni aggiuntive per AWS B2B Data Interchange Amazon Bedrock,, AWS Clean Rooms, AWS Database Migration Service (AWS DMS) AWS CodeConnections AWS Direct Connect, Amazon CloudWatch Logs, Amazon Macie, Amazon Managed Blockchain, Amazon Q Business, Route 53 Profiles, Amazon Simple Storage Service (Amazon S3), SageMaker Amazon AI e Contacts e. AWS Security Hub CSPM Strumento di gestione degli incidenti AWS Systems Manager Strumento di gestione degli incidenti AWS Systems Manager AWS Systems Manager | 8 aprile 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di "b2bi:GetPartnership", "b2bi:GetProfile", "b2bi:ListPartnerships", "b2bi:ListProfiles", "bedrock:ListAgents", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetMembership", "cleanrooms:GetPrivacyBudgetTemplate", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMemberships", "cleanrooms:ListPrivacyBudgetTemplates", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListTagsForResource", "directconnect:DescribeConnections", "dms:DescribeReplicationConfigs", "logs:DescribeAccountPolicies", "logs:DescribeResourcePolicies", "macie2:ListAutomatedDiscoveryAccounts", "managedblockchain:GetAccessor", "managedblockchain:ListAccessors", "qbusiness:GetApplication", "qbusiness:ListApplications", "qbusiness:ListTagsForResource", "route53profiles:GetProfile", "route53profiles:GetProfileAssociation", "route53profiles:ListProfileAssociations", "route53profiles:ListProfiles", "route53profiles:ListTagsForResource", "s3:GetAccessGrantsInstance", "s3:GetAccessGrantsLocation", "s3:ListAccessGrantsInstances", "s3:ListAccessGrantsLocations", "sagemaker:DescribeCluster", "sagemaker:DescribeMlflowTrackingServer", "sagemaker:DescribeStudioLifecycleConfig", "sagemaker:ListClusters", "sagemaker:ListMlflowTrackingServers", "sagemaker:ListStudioLifecycleConfigs", "securityhub:DescribeStandardsControls", "securityhub:GetEnabledStandards", "ssm-contacts:GetContact", "ssm-contacts:GetContactChannel", "ssm-contacts:ListContactChannels", "ssm-contacts:ListContacts", "ssm-incidents:GetResponsePlan", "ssm-incidents:ListResponsePlans", "ssm-incidents:ListTagsForResource", "ssm:DescribeInstanceInformation" | Questa politica ora supporta autorizzazioni aggiuntive per AWS B2B Data Interchange Amazon Bedrock,, AWS Clean Rooms, AWS Database Migration Service (AWS DMS) AWS CodeConnections AWS Direct Connect, Amazon CloudWatch Logs, Amazon Macie, Amazon Managed Blockchain, Amazon Q Business, Route 53 Profiles, Amazon Simple Storage Service (Amazon S3), SageMaker Amazon AI e Contacts e. AWS Security Hub CSPM Strumento di gestione degli incidenti AWS Systems Manager Strumento di gestione degli incidenti AWS Systems Manager AWS Systems Manager Questa policy ora supporta anche l'autorizzazione ad accedere a tutti i nomi di dominio Amazon API Gateway includendo il pattern di risorse "`arn:aws:apigateway:::/domainnames/`». | 8 aprile 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di "ec2:GetAllowedImagesSettings" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Elastic Compute Cloud (Amazon EC2). | 4 marzo 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di "ec2:GetAllowedImagesSettings" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Elastic Compute Cloud (Amazon EC2). | 4 marzo 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di "cleanrooms-ml:GetTrainingDataset", "cleanrooms-ml:ListTrainingDatasets", "comprehend:DescribeFlywheel", "comprehend:ListFlywheels", "comprehend:ListTagsForResource", "ec2:GetSnapshotBlockPublicAccessState", "omics:GetAnnotationStore", "omics:GetRunGroup", "omics:GetSequenceStore", "omics:GetVariantStore", "omics:ListAnnotationStores", "omics:ListRunGroups", "omics:ListSequenceStores", "omics:ListTagsForResource", "omics:ListVariantStores", "s3express:GetEncryptionConfiguration", "s3express:GetLifecycleConfiguration", "ses:GetDedicatedIpPool", "ses:GetDedicatedIps", and "ses:ListDedicatedIpPools" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Comprehend AWS Clean Rooms, Amazon Elastic Compute Cloud (Amazon EC2) AWS HealthOmics, Amazon Simple Storage Service (Amazon S3) e Amazon Simple Email Service (Amazon SES). | 16 gennaio 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di "cleanrooms-ml:GetTrainingDataset", "cleanrooms-ml:ListTrainingDatasets", "comprehend:DescribeFlywheel", "comprehend:ListFlywheels", "comprehend:ListTagsForResource", "ec2:GetSnapshotBlockPublicAccessState", "omics:GetAnnotationStore", "omics:GetRunGroup", "omics:GetSequenceStore", "omics:GetVariantStore", "omics:ListAnnotationStores", "omics:ListRunGroups", "omics:ListSequenceStores", "omics:ListTagsForResource", "omics:ListVariantStores", "s3express:GetEncryptionConfiguration", "s3express:GetLifecycleConfiguration", "ses:GetDedicatedIpPool", "ses:GetDedicatedIps", and "ses:ListDedicatedIpPools" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Comprehend AWS Clean Rooms, Amazon Elastic Compute Cloud (Amazon EC2) AWS HealthOmics, Amazon Simple Storage Service (Amazon S3) e Amazon Simple Email Service (Amazon SES). | 16 gennaio 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di "organizations:ListAWSServiceAccessForOrganization" | Questa politica ora supporta autorizzazioni aggiuntive per. AWS Organizations | 18 dicembre 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di "app-integrations:GetApplication", "app-integrations:ListApplications", "app-integrations:ListTagsForResource", "appconfig:GetExtension", "appconfig:ListExtensions", "cloudtrail:GetInsightSelectors", "connect:DescribeQueue", "connect:DescribeRoutingProfile", "connect:DescribeSecurityProfile", "connect:ListQueueQuickConnects", "connect:ListQueues", "connect:ListRoutingProfileQueues", "connect:ListRoutingProfiles", "connect:ListSecurityProfileApplications", "connect:ListSecurityProfilePermissions", "connect:ListSecurityProfiles", "datazone:GetDomain", "datazone:ListDomains", "devops-guru:ListNotificationChannels", "glue:GetRegistry", "glue:ListRegistries", "identitystore:DescribeGroup", "identitystore:DescribeGroupMembership" "identitystore:ListGroupMemberships", "identitystore:ListGroups", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:ListThingGroups", "iot:ListThingTypes", "iotfleetwise:GetDecoderManifest", "iotfleetwise:GetFleet", "iotfleetwise:GetModelManifest", "iotfleetwise:GetSignalCatalog", "iotfleetwise:GetVehicle", "iotfleetwise:ListDecoderManifestNetworkInterfaces", "iotfleetwise:ListDecoderManifests", "iotfleetwise:ListDecoderManifestSignals", "iotfleetwise:ListFleets", "iotfleetwise:ListModelManifestNodes", "iotfleetwise:ListModelManifests", "iotfleetwise:ListSignalCatalogNodes", "iotfleetwise:ListSignalCatalogs", "iotfleetwise:ListTagsForResource", "iotfleetwise:ListVehicles", "iotwireless:GetDestination", "iotwireless:GetDeviceProfile", "iotwireless:GetWirelessGateway", "iotwireless:ListDestinations", "iotwireless:ListDeviceProfiles", "iotwireless:ListWirelessGateways", "ivschat:GetLoggingConfiguration", "ivschat:GetRoom" "ivschat:ListLoggingConfigurations", "ivschat:ListRooms", "ivschat:ListTagsForResource", "logs:GetLogAnomalyDetector", "logs:ListLogAnomalyDetectors", "oam:GetSink" "oam:GetSinkPolicy", "oam:ListSinks", "payment-cryptography:GetAlias", "payment-cryptography:GetKey", "payment-cryptography:ListAliases", "payment-cryptography:ListKeys", "payment-cryptography:ListTagsForResource", "rds:DescribeDBProxyTargetGroups", "rds:DescribeDBProxyTargets", "rekognition:DescribeProjects", "s3:GetStorageLensGroup", "s3:ListStorageLensGroups", "s3:ListTagsForResource", "scheduler:GetScheduleGroup", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "ssm:GetServiceSetting", "vpc-lattice:GetAccessLogSubscription", "vpc-lattice:GetService", "vpc-lattice:GetServiceNetwork", "vpc-lattice:GetTargetGroup", "vpc-lattice:ListAccessLogSubscriptions", "vpc-lattice:ListServiceNetworks", "vpc-lattice:ListServices", "vpc-lattice:ListTagsForResource", "vpc-lattice:ListTargetGroups", and "vpc-lattice:ListTargets" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Connect AWS AppConfig, Amazon AWS CloudTrail, Amazon DevOps Guru DataZone, Identity Store,,, AWS Glue, Amazon Interactive Video Service (Amazon IVS) AWS IoT FleetWise Wireless AWS IoT, Amazon CloudWatch Logs, Amazon Observability Access Manager, Amazon Relational Database AWS Payment Cryptography Service ( CloudWatch Amazon RDS), Amazon Rekognition, Amazon Simple Storage Service (Amazon S3), Amazon Scheduler e Amazon VPC Lattice. AWS IoT EventBridge AWS Systems Manager | 7 novembre 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di "app-integrations:GetApplication", "app-integrations:ListApplications", "app-integrations:ListTagsForResource", "appconfig:GetExtension", "appconfig:ListExtensions", "cloudtrail:GetInsightSelectors", "connect:DescribeQueue", "connect:DescribeRoutingProfile", "connect:DescribeSecurityProfile", "connect:ListQueueQuickConnects", "connect:ListQueues", "connect:ListRoutingProfileQueues", "connect:ListRoutingProfiles", "connect:ListSecurityProfileApplications", "connect:ListSecurityProfilePermissions", "connect:ListSecurityProfiles", "datazone:GetDomain", "datazone:ListDomains", "devops-guru:ListNotificationChannels", "glue:GetRegistry", "glue:ListRegistries", "identitystore:DescribeGroup", "identitystore:DescribeGroupMembership" "identitystore:ListGroupMemberships", "identitystore:ListGroups", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:ListThingGroups", "iot:ListThingTypes", "iotfleetwise:GetDecoderManifest", "iotfleetwise:GetFleet", "iotfleetwise:GetModelManifest", "iotfleetwise:GetSignalCatalog", "iotfleetwise:GetVehicle", "iotfleetwise:ListDecoderManifestNetworkInterfaces", "iotfleetwise:ListDecoderManifests", "iotfleetwise:ListDecoderManifestSignals", "iotfleetwise:ListFleets", "iotfleetwise:ListModelManifestNodes", "iotfleetwise:ListModelManifests", "iotfleetwise:ListSignalCatalogNodes", "iotfleetwise:ListSignalCatalogs", "iotfleetwise:ListTagsForResource", "iotfleetwise:ListVehicles", "iotwireless:GetDestination", "iotwireless:GetDeviceProfile", "iotwireless:GetWirelessGateway", "iotwireless:ListDestinations", "iotwireless:ListDeviceProfiles", "iotwireless:ListWirelessGateways", "ivschat:GetLoggingConfiguration", "ivschat:GetRoom" "ivschat:ListLoggingConfigurations", "ivschat:ListRooms", "ivschat:ListTagsForResource", "logs:GetLogAnomalyDetector", "logs:ListLogAnomalyDetectors", "oam:GetSink" "oam:GetSinkPolicy", "oam:ListSinks", "payment-cryptography:GetAlias", "payment-cryptography:GetKey", "payment-cryptography:ListAliases", "payment-cryptography:ListKeys", "payment-cryptography:ListTagsForResource", "rds:DescribeDBProxyTargetGroups", "rds:DescribeDBProxyTargets", "rekognition:DescribeProjects", "s3:GetStorageLensGroup", "s3:ListStorageLensGroups", "s3:ListTagsForResource", "scheduler:GetScheduleGroup", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "ssm:GetServiceSetting", "vpc-lattice:GetAccessLogSubscription", "vpc-lattice:GetService", "vpc-lattice:GetServiceNetwork", "vpc-lattice:GetTargetGroup", "vpc-lattice:ListAccessLogSubscriptions", "vpc-lattice:ListServiceNetworks", "vpc-lattice:ListServices", "vpc-lattice:ListTagsForResource", "vpc-lattice:ListTargetGroups", and "vpc-lattice:ListTargets" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Connect AWS AppConfig, Amazon AWS CloudTrail, Amazon DevOps Guru DataZone, Identity Store,,, AWS Glue, Amazon Interactive Video Service (Amazon IVS) AWS IoT FleetWise Wireless AWS IoT, Amazon CloudWatch Logs, Amazon Observability Access Manager, Amazon Relational Database AWS Payment Cryptography Service ( CloudWatch Amazon RDS), Amazon Rekognition, Amazon Simple Storage Service (Amazon S3), Amazon Scheduler e Amazon VPC Lattice. AWS IoT EventBridge AWS Systems Manager | 7 novembre 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di "aoss:BatchGetCollection," "aoss:BatchGetLifecyclePolicy," "aoss:BatchGetVpcEndpoint," "aoss:GetAccessPolicy," "aoss:GetSecurityConfig," "aoss:GetSecurityPolicy," "aoss:ListAccessPolicies," "aoss:ListCollections," "aoss:ListLifecyclePolicies," "aoss:ListSecurityConfigs," "aoss:ListSecurityPolicies," "aoss:ListVpcEndpoints," "appstream:DescribeAppBlockBuilders," "backup:GetRestoreTestingPlan," "backup:GetRestoreTestingSelection", "backup:ListRestoreTestingPlans," "backup:ListRestoreTestingSelections," "cloudTrail:GetChannel, "cloudTrail:ListChannels," "glue:GetTrigger," "glue:ListTriggers, "imagebuilder:GetLifecyclePolicy," "imagebuilder:ListLifecyclePolicies," "iot:DescribeBillingGroup," "iot:ListBillingGroups," "ivs:GetEncoderConfiguration," "ivs:GetPlaybackRestrictionPolicy," "ivs:GetStage," "ivs:GetStorageConfiguration," "ivs:ListEncoderConfigurations," "ivs:ListPlaybackRestrictionPolicies," "ivs:ListStages," "ivs:ListStorageConfigurations," "mediaconnect:DescribeBridge", "mediaconnect:DescribeGatewa," "mediaconnect:ListBridges," "mediaconnect:ListGateways", "mediatailor:DescribeChannel," "mediatailor:DescribeLiveSource," "mediatailor:DescribeSourceLocation," "mediatailor:DescribeVodSource", "mediatailor:ListChannels," "mediatailor:ListLiveSources", "mediatailor:ListSourceLocations," "mediatailor:ListVodSources," "omics:GetWorkflow," "omics:ListWorkflows," "scheduler:GetSchedule," and "scheduler:ListSchedules" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon OpenSearch Service Severless AppStream, Amazon,, AWS Backup AWS CloudTrail AWS Glue, EC2 Image Builder AWS IoT, Amazon Interactive Video Service (Amazon IVS) e Amazon AWS Elemental MediaConnect Scheduler. AWS Elemental MediaTailor AWS HealthOmics EventBridge | 16 settembre 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di "aoss:BatchGetCollection," "aoss:BatchGetLifecyclePolicy," "aoss:BatchGetVpcEndpoint," "aoss:GetAccessPolicy," "aoss:GetSecurityConfig," "aoss:GetSecurityPolicy," "aoss:ListAccessPolicies," "aoss:ListCollections," "aoss:ListLifecyclePolicies," "aoss:ListSecurityConfigs," "aoss:ListSecurityPolicies," "aoss:ListVpcEndpoints," "appstream:DescribeAppBlockBuilders," "backup:GetRestoreTestingPlan," "backup:GetRestoreTestingSelection", "backup:ListRestoreTestingPlans," "backup:ListRestoreTestingSelections," "cloudTrail:GetChannel, "cloudTrail:ListChannels," "glue:GetTrigger," "glue:ListTriggers, "imagebuilder:GetLifecyclePolicy," "imagebuilder:ListLifecyclePolicies," "iot:DescribeBillingGroup," "iot:ListBillingGroups," "ivs:GetEncoderConfiguration," "ivs:GetPlaybackRestrictionPolicy," "ivs:GetStage," "ivs:GetStorageConfiguration," "ivs:ListEncoderConfigurations," "ivs:ListPlaybackRestrictionPolicies," "ivs:ListStages," "ivs:ListStorageConfigurations," "mediaconnect:DescribeBridge", "mediaconnect:DescribeGatewa," "mediaconnect:ListBridges," "mediaconnect:ListGateways", "mediatailor:DescribeChannel," "mediatailor:DescribeLiveSource," "mediatailor:DescribeSourceLocation," "mediatailor:DescribeVodSource", "mediatailor:ListChannels," "mediatailor:ListLiveSources", "mediatailor:ListSourceLocations," "mediatailor:ListVodSources," "omics:GetWorkflow," "omics:ListWorkflows," "scheduler:GetSchedule," and "scheduler:ListSchedules" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon OpenSearch Service Severless AppStream, Amazon,, AWS Backup AWS CloudTrail AWS Glue, EC2 Image Builder AWS IoT, Amazon Interactive Video Service (Amazon IVS) e Amazon AWS Elemental MediaConnect Scheduler. AWS Elemental MediaTailor AWS HealthOmics EventBridge | 16 settembre 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di "elasticfilesystem:DescribeTags," "redshift:DescribeTags," and "ssm-sap:ListTagsForResource" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Elastic File System (Amazon EFS), Amazon AWS Systems Manager per SAP Redshift e. | 17 giugno 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di "elasticfilesystem:DescribeTags," "redshift:DescribeTags," and "ssm-sap:ListTagsForResource" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Elastic File System (Amazon EFS), Amazon AWS Systems Manager per SAP Redshift e. | 17 giugno 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di "aps:DescribeAlertManagerDefinition," "cloudwatch:DescribeAlarmsForMetric," "cognito-identity:DescribeIdentityPool, "cognito-identity:GetPrincipalTagAttributeMap," "elasticache:DescribeCacheSecurityGroups," "elasticache:DescribeUserGroups," "elasticache:DescribeUsers," "elasticache:DescribeGlobalReplicationGroups," "fsx:DescribeDataRepositoryAssociations," "glue:GetDatabase," "glue:GetDatabases," "iam:ListUsers," "lambda:GetLayerVersion," "lambda:ListLayers," "lambda:ListLayerVersions," "ram:GetPermission," "ram:ListPermissionAssociations," "ram:ListPermissions," "ram:ListPermissionVersions," "redshift-serverless:GetNamespace," "redshift-serverless:GetWorkgroup," "redshift-serverless:ListNamespaces," "redshift-serverless:ListTagsForResource," "redshift-serverless:ListWorkgroups," "sagemaker:DescribeInferenceExperiment," "sagemaker:ListInferenceExperiments," and "sns:GetSMSSandboxAccountStatus" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Service for Prometheus, Amazon, Amazon CloudWatch Cognito, Amazon, ( AWS Identity and Access Management IAM), ElastiCache, FSx Amazon AWS Glue AWS RAM Redshift Serverless, AWS Lambda Amazon AI e Amazon SageMaker Simple Notification Service (Amazon SNS). | 22 febbraio 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di "aps:DescribeAlertManagerDefinition," "cloudwatch:DescribeAlarmsForMetric," "cognito-identity:DescribeIdentityPool, "cognito-identity:GetPrincipalTagAttributeMap," "elasticache:DescribeCacheSecurityGroups," "elasticache:DescribeUserGroups," "elasticache:DescribeUsers," "elasticache:DescribeGlobalReplicationGroups," "fsx:DescribeDataRepositoryAssociations," "glue:GetDatabase," "glue:GetDatabases," "iam:ListUsers," "lambda:GetLayerVersion," "lambda:ListLayers," "lambda:ListLayerVersions," "ram:GetPermission," "ram:ListPermissionAssociations," "ram:ListPermissions," "ram:ListPermissionVersions," "redshift-serverless:GetNamespace," "redshift-serverless:GetWorkgroup," "redshift-serverless:ListNamespaces," "redshift-serverless:ListTagsForResource," "redshift-serverless:ListWorkgroups," "sagemaker:DescribeInferenceExperiment," "sagemaker:ListInferenceExperiments," and "sns:GetSMSSandboxAccountStatus" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Service for Prometheus, Amazon, Amazon CloudWatch Cognito, Amazon, ( AWS Identity and Access Management IAM), ElastiCache, FSx Amazon AWS Glue AWS RAM Redshift Serverless, AWS Lambda Amazon AI e Amazon SageMaker Simple Notification Service (Amazon SNS). | 22 febbraio 2024 |
| [AWSConfigUserAccess](#security-iam-awsmanpol-AWSConfigUserAccess)— inizia a tenere traccia delle modifiche per questa politica gestita AWS Config AWS | Questa politica fornisce l'accesso all'uso AWS Config, inclusa la ricerca per tag sulle risorse e la lettura di tutti i tag. Ciò non fornisce l'autorizzazione alla configurazione AWS Config, che richiede privilegi amministrativi. | 22 febbraio 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di "appconfig:GetExtensionAssociation," "appconfig:ListExtensionAssociations," "aps:DescribeLoggingConfiguration," "dms:DescribeReplicationTaskAssessmentRuns," "iam:GetOpenIDConnectProvider," "iam:ListOpenIDConnectProviders," "kafka:DescribeVpcConnection," "kafka:GetClusterPolicy," "kafka:ListVpcConnections," "logs:DescribeMetricFilters," "organizations:ListDelegatedAdministrators," "s3:GetBucketPolicyStatus," "s3express:GetBucketPolicy," and "s3express:ListAllMyDirectoryBuckets" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Service for Prometheus AWS AppConfig, () AWS Database Migration Service ,AWS DMS(AWS Identity and Access Management) IAM, Amazon Managed Streaming for Apache Kafka (Amazon MSK), Amazon Logs CloudWatch e Amazon Simple Storage Service (Amazon S3). AWS Organizations | 5 dicembre 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di "appconfig:GetExtensionAssociation," "appconfig:ListExtensionAssociations," "aps:DescribeLoggingConfiguration," "dms:DescribeReplicationTaskAssessmentRuns," "iam:GetOpenIDConnectProvider," "iam:ListOpenIDConnectProviders," "kafka:DescribeVpcConnection," "kafka:GetClusterPolicy," "kafka:ListVpcConnections," "logs:DescribeMetricFilters," "organizations:ListDelegatedAdministrators," "s3:GetBucketPolicyStatus," "s3express:GetBucketPolicy," and "s3express:ListAllMyDirectoryBuckets" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Service for Prometheus AWS AppConfig, () AWS Database Migration Service ,AWS DMS(AWS Identity and Access Management) IAM, Amazon Managed Streaming for Apache Kafka (Amazon MSK), Amazon Logs CloudWatch e Amazon Simple Storage Service (Amazon S3). AWS Organizations | 5 dicembre 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di "backup:DescribeProtectedResource," "cognito-identity:GetIdentityPoolRoles," "cognito-identity:ListIdentityPools," "cognito-identity:ListTagsForResource," "cognito-idp:DescribeIdentityProvider," "cognito-idp:DescribeResourceServer," "cognito-idp:DescribeUserPool," "cognito-idp:DescribeUserPoolClient," "cognito-idp:DescribeUserPoolDomain," "cognito-idp:GetGroup," "cognito-idp:GetUserPoolMfaConfig," "cognito-idp:ListGroups," "cognito-idp:ListIdentityProviders," "cognito-idp:ListResourceServers," "cognito-idp:ListUserPoolClients," "cognito-idp:ListUserPools," "cognito-idp:ListTagsForResource," "connect:DescribeEvaluationForm," "connect:DescribeInstanceStorageConfig," "connect:DescribePrompt," "connect:DescribeRule," "connect:DescribeUser," "connect:GetTaskTemplate," "connect:ListApprovedOrigins," "connect:ListEvaluationForms," "connect:ListInstanceStorageConfigs," "connect:ListIntegrationAssociations," "connect:ListPrompts," "connect:ListRules," "connect:ListSecurityKeys," "connect:ListTagsForResource," "connect:ListTaskTemplates," "connect:ListUsers," "emr-containers:DescribeVirtualCluster," "emr-containers:ListVirtualClusters," "emr-serverless:GetApplication," "emr-serverless:ListApplications," "groundstation:GetDataflowEndpointGroup," "groundstation:ListDataflowEndpointGroups," "m2:GetEnvironment," "m2:ListEnvironments," "m2:ListTagsForResource," "memorydb:DescribeAcls," "memorydb:DescribeClusters," "memorydb:DescribeParameterGroups," "memorydb:DescribeParameters," "memorydb:DescribeSubnetGroups," "organizations:ListRoots," "quicksight:DescribeAccountSubscription," "quicksight:DescribeDataSetRefreshProperties," "rds:DescribeEngineDefaultClusterParameters," "redshift:DescribeEndpointAccess," "redshift:DescribeEndpointAuthorization," "route53:GetChange," "route53:ListCidrBlocks," "route53:ListCidrLocations," "serviceCatalog:DescribePortfolioShares," "transfer:DescribeProfile," and "transfer:ListProfiles" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Cognito, Amazon Connect, Amazon EMR,,, Amazon MemoryDB AWS Ground Station Modernizzazione del mainframe AWS, Amazon Quick AWS Organizations, Amazon Relational Database Service (Amazon RDS), Amazon Redshift, Amazon Route 53 e. AWS Service Catalog AWS Transfer Family | 17 novembre 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di "Sid": "AWSConfigServiceRolePolicyStatementID," "Sid": "AWSConfigSLRLogStatementID," "Sid": "AWSConfigSLRLogEventStatementID," and "Sid": "AWSConfigSLRApiGatewayStatementID" | Questa policy ora aggiunge identificatori di sicurezza (SID) per `AWSConfigServiceRolePolicyStatementID`, `AWSConfigSLRLogStatementID`, `AWSConfigSLRLogEventStatementID` e `AWSConfigSLRApiGatewayStatementID`. | 17 novembre 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di "backup:DescribeProtectedResource," "cognito-identity:GetIdentityPoolRoles," "cognito-identity:ListIdentityPools," "cognito-identity:ListTagsForResource," "cognito-idp:DescribeIdentityProvider," "cognito-idp:DescribeResourceServer," "cognito-idp:DescribeUserPool," "cognito-idp:DescribeUserPoolClient," "cognito-idp:DescribeUserPoolDomain," "cognito-idp:GetGroup," "cognito-idp:GetUserPoolMfaConfig," "cognito-idp:ListGroups," "cognito-idp:ListIdentityProviders," "cognito-idp:ListResourceServers," "cognito-idp:ListUserPoolClients," "cognito-idp:ListUserPools," "cognito-idp:ListTagsForResource," "connect:DescribeEvaluationForm," "connect:DescribeInstanceStorageConfig," "connect:DescribePrompt," "connect:DescribeRule," "connect:DescribeUser," "connect:GetTaskTemplate," "connect:ListApprovedOrigins," "connect:ListEvaluationForms," "connect:ListInstanceStorageConfigs," "connect:ListIntegrationAssociations," "connect:ListPrompts," "connect:ListRules," "connect:ListSecurityKeys," "connect:ListTagsForResource," "connect:ListTaskTemplates," "connect:ListUsers," "emr-containers:DescribeVirtualCluster," "emr-containers:ListVirtualClusters," "emr-serverless:GetApplication," "emr-serverless:ListApplications," "groundstation:GetDataflowEndpointGroup," "groundstation:ListDataflowEndpointGroups," "m2:GetEnvironment," "m2:ListEnvironments," "m2:ListTagsForResource," "memorydb:DescribeAcls," "memorydb:DescribeClusters," "memorydb:DescribeParameterGroups," "memorydb:DescribeParameters," "memorydb:DescribeSubnetGroups," "organizations:ListRoots," "quicksight:DescribeAccountSubscription," "quicksight:DescribeDataSetRefreshProperties," "rds:DescribeEngineDefaultClusterParameters," "redshift:DescribeEndpointAccess," "redshift:DescribeEndpointAuthorization," "route53:GetChange," "route53:ListCidrBlocks," "route53:ListCidrLocations," "serviceCatalog:DescribePortfolioShares," "transfer:DescribeProfile," and "transfer:ListProfiles" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Cognito, Amazon Connect, Amazon EMR,,, Amazon MemoryDB AWS Ground Station Modernizzazione del mainframe AWS, Amazon Quick AWS Organizations, Amazon Relational Database Service (Amazon RDS), Amazon Redshift, Amazon Route 53 e. AWS Service Catalog AWS Transfer Family | 17 novembre 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di "Sid": "AWSConfigServiceRolePolicyStatementID," "Sid": "AWSConfigSLRLogStatementID," "Sid": "AWSConfigSLRLogEventStatementID," and "Sid": "AWSConfigSLRApiGatewayStatementID" | Questa policy ora aggiunge identificatori di sicurezza (SID) per `AWSConfigServiceRolePolicyStatementID`, `AWSConfigSLRLogStatementID`, `AWSConfigSLRLogEventStatementID` e `AWSConfigSLRApiGatewayStatementID`. | 17 novembre 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di "acm-pca:GetCertificateAuthorityCertificate," "appmesh:DescribeMesh," "appmesh:ListGatewayRoutes," "connect:DescribeInstance," "connect:DescribeQuickConnect," "connect:ListQuickConnects," "ecs:DescribeCapacityProviders," "evidently:GetSegment," "evidently:ListSegments," "grafana:DescribeWorkspace," "grafana:DescribeWorkspaceAuthentication," "grafana:DescribeWorkspaceConfiguration," "grafana:DescribeWorkspaceConfiguration," "guardduty:GetMemberDetectors," "inspector2:BatchGetAccountStatus," "inspector2:GetDelegatedAdminAccount," "inspector2:ListMembers," "iot:DescribeCACertificate," "iot:ListCACertificates," "iot:ListTagsForResource," "iottwinmaker:GetSyncJob," "iottwinmaker:ListSyncJobs," "kafka:ListTagsForResource," "kafkaconnect:DescribeConnector," "kafkaconnect:ListConnectors," "lambda:GetCodeSigningConfig," "lambda:ListCodeSigningConfigs," "lambda:ListTags," "networkmanager:GetConnectPeer," "organizations:DescribeOrganization," "organizations:ListTargetsForPolicy," "sagemaker:DescribeDataQualityJob," "sagemaker:DescribeModelExplainabilityJob," "sagemaker:ListDataQualityJob," and "sagemaker:ExplainabilityJob" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Connect AWS Private CA AWS App Mesh, Amazon Elastic Container Service (Amazon ECS), Amazon CloudWatch Evidently, Amazon Managed Grafana, Amazon, Amazon Inspector GuardDuty,, Amazon AWS IoT Managed AWS IoT TwinMaker Streaming for Apache Kafka (Amazon MSK) e Amazon AI. AWS Lambda AWS Network Manager AWS Organizations SageMaker | 4 ottobre 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di "acm-pca:GetCertificateAuthorityCertificate," "appmesh:DescribeMesh," "appmesh:ListGatewayRoutes," "connect:DescribeInstance," "connect:DescribeQuickConnect," "connect:ListQuickConnects," "ecs:DescribeCapacityProviders," "evidently:GetSegment," "evidently:ListSegments," "grafana:DescribeWorkspace," "grafana:DescribeWorkspaceAuthentication," "grafana:DescribeWorkspaceConfiguration," "grafana:DescribeWorkspaceConfiguration," "guardduty:GetMemberDetectors," "inspector2:BatchGetAccountStatus," "inspector2:GetDelegatedAdminAccount," "inspector2:ListMembers," "iot:DescribeCACertificate," "iot:ListCACertificates," "iot:ListTagsForResource," "iottwinmaker:GetSyncJob," "iottwinmaker:ListSyncJobs," "kafka:ListTagsForResource," "kafkaconnect:DescribeConnector," "kafkaconnect:ListConnectors," "lambda:GetCodeSigningConfig," "lambda:ListCodeSigningConfigs," "lambda:ListTags," "networkmanager:GetConnectPeer," "organizations:DescribeOrganization," "organizations:ListTargetsForPolicy," "sagemaker:DescribeDataQualityJob," "sagemaker:DescribeModelExplainabilityJob," "sagemaker:ListDataQualityJob," and "sagemaker:ExplainabilityJob" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Connect AWS Private CA AWS App Mesh, Amazon Elastic Container Service (Amazon ECS), Amazon CloudWatch Evidently, Amazon Managed Grafana, Amazon, Amazon Inspector GuardDuty,, Amazon AWS IoT Managed AWS IoT TwinMaker Streaming for Apache Kafka (Amazon MSK) e Amazon AI. AWS Lambda AWS Network Manager AWS Organizations SageMaker | 4 ottobre 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Rimuovi "ssm:GetParameter" | Questa politica ora rimuove le autorizzazioni per AWS Systems Manager (Systems Manager). | 6 settembre 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di "appmesh:DescribeGatewayRoute","appstream:DescribeStacks", "aps:ListTagsForResource", "cloudfront:GetFunction", "cloudfront:GetOriginAccessControl", "cloudfront:ListFunctions", "cloudfront:ListOriginAccessControls", "codeartifact:ListPackages", "codeartifact:ListPackageVersions", "codebuild:BatchGetReportGroups", "codebuild:ListReportGroups", "connect:ListInstanceAttributes", "connect:ListInstances", "glue:GetPartition", "glue:GetPartitions", "guardduty:GetAdministratorAccount", "iam:ListInstanceProfileTags", "inspector2:ListFilters", "iot:DescribeJobTemplate", "iot:DescribeProvisioningTemplate", "iot:ListJobTemplates", "iot:ListProvisioningTemplates", "iottwinmaker:GetComponentType", "iottwinmaker:ListComponentTypes", "iotwireless:GetFuotaTask", "iotwireless:GetMulticastGroup", "iotwireless:ListFuotaTasks", "iotwireless:ListMulticastGroups", "kafka:ListScramSecrets", "macie2:ListTagsForResource", "mediaconnect:ListTagsForResource", "networkmanager:GetConnectPeer", "networkmanager:ListConnectPeers", "organizations:DescribeEffectivePolicy", "organizations:DescribeResourcePolicy", "resource-explorer-2:GetIndex", "resource-explorer-2:ListIndexes", "resource-explorer-2:ListTagsForResource", "route53:ListCidrCollections", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", and "sns:GetDataProtectionPolicy" | Questa politica ora supporta autorizzazioni aggiuntive per AWS App Mesh, Amazon Connect, Amazon AWS CloudFormation CloudFront AWS CodeArtifact, AWS Identity and Access Management (IAM) AWS CodeBuild, Amazon Inspector AWS Glue, GuardDuty,,, Amazon Managed Streaming for Apache Kafka AWS IoT AWS IoT TwinMaker Wireless AWS IoT, Amazon AWS Network Manager Esploratore di risorse AWS Macie,,,,, Amazon Route 53, AWS Elemental MediaConnect Amazon Simple Storage Service ( AWS Organizations Amazon S3) e Amazon Simple Storage Service (Amazon S3) e Amazon Simple Servizio di notifica (Amazon SNS). | 28 luglio 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di "appmesh:DescribeGatewayRoute", "appstream:DescribeStacks", "aps:ListTagsForResource", "cloudfront:GetFunction", "cloudfront:GetOriginAccessControl", "cloudfront:ListFunctions", "cloudfront:ListOriginAccessControls", "codeartifact:ListPackages", "codeartifact:ListPackageVersions", "codebuild:BatchGetReportGroups", "codebuild:ListReportGroups", "connect:ListInstanceAttributes", "connect:ListInstances", "glue:GetPartition", "glue:GetPartitions", "guardduty:GetAdministratorAccount", "iam:ListInstanceProfileTags", "inspector2:ListFilters", "iot:DescribeJobTemplate", "iot:DescribeProvisioningTemplate", "iot:ListJobTemplates", "iot:ListProvisioningTemplates", "iottwinmaker:GetComponentType", "iottwinmaker:ListComponentTypes", "iotwireless:GetFuotaTask", "iotwireless:GetMulticastGroup", "iotwireless:ListFuotaTasks", "iotwireless:ListMulticastGroups", "kafka:ListScramSecrets", "macie2:ListTagsForResource", "mediaconnect:ListTagsForResource", "networkmanager:GetConnectPeer", "networkmanager:ListConnectPeers", "organizations:DescribeEffectivePolicy", "organizations:DescribeResourcePolicy", "resource-explorer-2:GetIndex", "resource-explorer-2:ListIndexes", "resource-explorer-2:ListTagsForResource", "route53:ListCidrCollections", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "sns:GetDataProtectionPolicy", "ssm:DescribeParameters", "ssm:GetParameter", and "ssm:ListTagsForResource" | Questa politica ora supporta autorizzazioni aggiuntive per Amazon WorkSpaces Applications AWS App Mesh, Amazon,, AWS CloudFormation, CloudFront, Amazon Connect AWS CodeArtifact AWS CodeBuild, AWS Identity and Access Management (IAM) AWS Glue, Amazon Inspector GuardDuty AWS IoT,,,, Amazon Managed Streaming for Apache Kafka AWS IoT TwinMaker Wireless AWS IoT, Amazon AWS Network Manager Esploratore di risorse AWS Macie,,,,, Amazon Route 53, AWS Elemental MediaConnect AWS Organizations Amazon Simple Storage Service (Amazon S3), Amazon Simple Notification Service (Amazon SNS) e Amazon EC2 Systems Manager (SSM). | 28 luglio 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di "amplify:GetBranch", "amplify:ListBranches", "app-integrations:GetEventIntegration", "app-integrations:ListEventIntegrationAssociations", "app-integrations:ListEventIntegrations", "appmesh:DescribeRoute", "appmesh:ListRoutes", "aps:ListRuleGroupsNamespaces", "athena:GetPreparedStatement", "athena:ListPreparedStatements", "batch:DescribeSchedulingPolicies", "batch:ListSchedulingPolicies", "cloudformation:ListTypes", "cloudtrail:ListTrails", "codeartifact:ListDomains", "codeguru-profiler:DescribeProfilingGroup", "codeguru-profiler:GetNotificationConfiguration", "codeguru-profiler:GetPolicy", "codeguru-profiler:ListProfilingGroups", "ds:DescribeDomainControllers", “dynamodb:DescribeTableReplicaAutoScaling" "dynamodb:DescribeTimeToLive", "ec2:DescribeTrafficMirrorFilters", "evidently:GetLaunch", "evidently:ListLaunches", "forecast:DescribeDatasetGroup", "forecast:ListDatasetGroups", "greengrass:DescribeComponent", "greengrass:GetComponent", "greengrass:ListComponents", "greengrass:ListComponentVersions", "groundstation:GetMissionProfile", "groundstation:ListMissionProfiles", "iam:ListGroups", "iam:ListRoles", "kafka:DescribeConfiguration", "kafka:DescribeConfigurationRevision", "kafka:ListConfigurations", "lightsail:GetRelationalDatabases" "logs:ListTagsLogGroup", "mediaconnect:DescribeFlow", "mediaconnect:ListFlows", "mediatailor:GetPlaybackConfiguration", "mediatailor:ListPlaybackConfigurations", "mobiletargeting:GetApplicationSettings", "mobiletargeting:GetEmailTemplate", "mobiletargeting:GetEventStream", "mobiletargeting:ListTemplates", "networkmanager:GetCustomerGatewayAssociations", "networkmanager:GetLinkAssociations", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "organizations:ListTagsForResource", "personalize:DescribeDataset", "personalize:DescribeDatasetGroup", "personalize:DescribeSchema", "personalize:DescribeSolution", "personalize:ListDatasetGroups", "personalize:ListDatasetImportJobs", "personalize:ListDatasets", "personalize:ListSchemas", "personalize:ListSolutions", "personalize:ListTagsForResource", "quicksight:ListTemplates", "refactor-spaces:GetEnvironment", "refactor-spaces:GetService", "refactor-spaces:ListApplications", "refactor-spaces:ListEnvironments", "refactor-spaces:ListServices", "s3:GetAccessPointPolicyStatusForObjectLambda", "sagemaker:DescribeDeviceFleet", "sagemaker:DescribeFeatureGroup", "sagemaker:ListDeviceFleets", "sagemaker:ListFeatureGroups", "sagemaker:ListModels", and "transfer:ListTagsForResource" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Connect AWS Amplify, Amazon Managed Service for Prometheus AWS App Mesh, Amazon AWS Batch Athena,,,, Amazon, Amazon DynamoDB AWS CloudFormation AWS CloudTrail AWS CodeArtifact, Amazon Elastic Compute Cloud (Amazon CodeGuru EC2) Elastic Compute CloudWatch EC2) AWS Directory Service, Amazon Evidently, Amazon Forecast,, ( AWS Identity and Access Management IAM), Amazon Managed Streaming per Apache Kafka AWS Ground Station( AWS Organizations Amazon MSK) AWS IoT Greengrass, Amazon Lightsail, Amazon Logs,, Amazon Pinpoint, Amazon Virtual Private Cloud (Amazon VPC) CloudWatch AWS Elemental MediaConnect AWS Elemental MediaTailor), Amazon Personalize, Amazon Quick, AWS Migration Hub Refactor Spaces Amazon Simple Storage Service (Amazon S3), Amazon AI,. SageMaker AWS Transfer Family | 13 giugno 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di "amplify:GetBranch", "amplify:ListBranches", "app-integrations:GetEventIntegration", "app-integrations:ListEventIntegrationAssociations", "app-integrations:ListEventIntegrations", "appmesh:DescribeRoute", "appmesh:ListRoutes", "aps:ListRuleGroupsNamespaces", "athena:GetPreparedStatement", "athena:ListPreparedStatements", "batch:DescribeSchedulingPolicies", "batch:ListSchedulingPolicies", "cloudformation:ListTypes", "cloudtrail:ListTrails", "codeartifact:ListDomains", "codeguru-profiler:DescribeProfilingGroup", "codeguru-profiler:GetNotificationConfiguration", "codeguru-profiler:GetPolicy", "codeguru-profiler:ListProfilingGroups", "ds:DescribeDomainControllers", "dynamodb:DescribeTableReplicaAutoScaling", "dynamodb:DescribeTimeToLive", "ec2:DescribeTrafficMirrorFilters", "evidently:GetLaunch", "evidently:ListLaunches", "forecast:DescribeDatasetGroup", "forecast:ListDatasetGroups", "greengrass:DescribeComponent", "greengrass:GetComponent", "greengrass:ListComponents", "greengrass:ListComponentVersions", "groundstation:GetMissionProfile", "groundstation:ListMissionProfiles", "iam:ListGroups", "iam:ListRoles", "kafka:DescribeConfiguration", "kafka:DescribeConfigurationRevision", "kafka:ListConfigurations", "lightsail:GetRelationalDatabases", "logs:ListTagsLogGroup", "mediaconnect:DescribeFlow", "mediaconnect:ListFlows", "mediatailor:GetPlaybackConfiguration", "mediatailor:ListPlaybackConfigurations", "mobiletargeting:GetApplicationSettings", "mobiletargeting:GetEmailTemplate", "mobiletargeting:GetEventStream", "mobiletargeting:ListTemplates", "networkmanager:GetCustomerGatewayAssociations", "networkmanager:GetLinkAssociations", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "organizations:ListTagsForResource", "personalize:DescribeDataset", "personalize:DescribeDatasetGroup", "personalize:DescribeSchema", "personalize:DescribeSolution", "personalize:ListDatasetGroups", "personalize:ListDatasetImportJobs", "personalize:ListDatasets", "personalize:ListSchemas", "personalize:ListSolutions", "personalize:ListTagsForResource", "quicksight:ListTemplates", "refactor-spaces:GetEnvironment", "refactor-spaces:GetService", "refactor-spaces:ListApplications", "refactor-spaces:ListEnvironments", "refactor-spaces:ListServices", "s3:GetAccessPointPolicyStatusForObjectLambda", "sagemaker:DescribeDeviceFleet", "sagemaker:DescribeFeatureGroup", "sagemaker:ListDeviceFleets", "sagemaker:ListFeatureGroups", "sagemaker:ListModels", and "transfer:ListTagsForResource" | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Connect AWS Amplify, Amazon Managed Service for Prometheus AWS App Mesh, Amazon AWS Batch Athena,,,, Amazon, Amazon DynamoDB AWS CloudFormation AWS CloudTrail AWS CodeArtifact, Amazon Elastic Compute Cloud (Amazon CodeGuru EC2) Elastic Compute CloudWatch EC2) AWS Directory Service, Amazon Evidently, Amazon Forecast,, ( AWS Identity and Access Management IAM), AWS Organizations Amazon Managed Streaming per Apache Kafka AWS Ground Station(Amazon MSK), Amazon Lightsail, Amazon Logs,, Amazon Pinpoint, Amazon Virtual Private Cloud (Amazon VPC) AWS IoT Greengrass CloudWatch AWS Elemental MediaConnect AWS Elemental MediaTailor, Amazon Personalize, Amazon Quick, AWS Migration Hub Refactor Spaces Amazon Simple Storage Service (Amazon S3), Amazon AI,. SageMaker AWS Transfer Family | 13 giugno 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di amplify:GetApp, amplify:ListApps, appmesh:DescribeVirtualGateway, appmesh:DescribeVirtualNode, appmesh:DescribeVirtualRouter, appmesh:DescribeVirtualService, appmesh:ListMeshes, appmesh:ListTagsForResource, appmesh:ListVirtualGateways, appmesh:ListVirtualNodes, appmesh:ListVirtualRouters, appmesh:ListVirtualServices, apprunner:DescribeVpcConnector, apprunner:ListVpcConnectors, cloudformation:ListTypes, cloudfront:ListResponseHeadersPolicies, codeartifact:ListRepositories, ds:DescribeEventTopics, ds:ListLogSubscriptions, GetInstanceTypesFromInstanceRequirement ec2:GetManagedPrefixListEntries, kendra:DescribeIndex, kendra:ListIndices, kendra:ListTagsForResource, logs:DescribeDestinations, logs:GetDataProtectionPolicy, macie2:DescribeOrganizationConfiguration, macie2:GetAutomatedDiscoveryConfiguration, macie2:GetClassificationExportConfiguration, macie2:GetCustomDataIdentifier, macie2:GetFindingsPublicationConfiguration, macie2:ListCustomDataIdentifiers, mobiletargeting:GetEmailChannel, refactor-spaces:GetEnvironment, refactor-spaces:ListEnvironments, resiliencehub:ListTagsForResource, route53:GetDNSSEC, sagemaker:DescribeDomain, sagemaker:DescribeModelBiasJobDefinition, sagemaker:DescribeModelQualityJobDefinition, sagemaker:DescribePipeline, sagemaker:DescribeProject, sagemaker:ListDomains, sagemaker:ListModelBiasJobDefinitions, sagemaker:ListModelQualityJobDefinitions, sagemaker:ListPipelines, sagemaker:ListProjects, transfer:DescribeAgreement, transfer:DescribeCertificate, transfer:ListAgreements, transfer:ListCertificates, and waf-regional:ListLoggingConfigurations | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Workflows for AWS Amplify, AWS App Mesh, AWS App Runner Amazon CloudFront, AWS CodeArtifact Amazon Elastic Compute Cloud, Amazon Kendra, Amazon Macie, Amazon Route 53, Amazon SageMaker AI, Amazon AWS Migration Hub Pinpoint, AWS Resilience AWS Transfer Family Hub, Amazon, Directory Service e. CloudWatch AWS AWS WAF | 13 aprile 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di amplify:GetApp, amplify:ListApps, appmesh:DescribeVirtualGateway, appmesh:DescribeVirtualNode, appmesh:DescribeVirtualRouter, appmesh:DescribeVirtualService, appmesh:ListMeshes, appmesh:ListTagsForResource, appmesh:ListVirtualGateways, appmesh:ListVirtualNodes, appmesh:ListVirtualRouters, appmesh:ListVirtualServices, apprunner:DescribeVpcConnector, apprunner:ListVpcConnectors, cloudformation:ListTypes, cloudfront:ListResponseHeadersPolicies, codeartifact:ListRepositories, ds:DescribeEventTopics, ds:ListLogSubscriptions, ec2:GetInstanceTypesFromInstanceRequirement, ec2:GetManagedPrefixListEntries, kendra:DescribeIndex, kendra:ListIndices, kendra:ListTagsForResource, logs:DescribeDestinations, logs:GetDataProtectionPolicy, macie2:DescribeOrganizationConfiguration, macie2:GetAutomatedDiscoveryConfiguration, macie2:GetClassificationExportConfiguration, macie2:GetCustomDataIdentifier, macie2:GetFindingsPublicationConfiguration, macie2:ListCustomDataIdentifiers, mobiletargeting:GetEmailChannel, refactor-spaces:GetEnvironment, refactor-spaces:ListEnvironments, resiliencehub:ListTagsForResource, route53:GetDNSSEC, sagemaker:DescribeDomain, sagemaker:DescribeModelBiasJobDefinition, sagemaker:DescribeModelQualityJobDefinition, sagemaker:DescribePipeline, sagemaker:DescribeProject, sagemaker:ListDomains, sagemaker:ListModelBiasJobDefinitions, sagemaker:ListModelQualityJobDefinitions, sagemaker:ListPipelines, sagemaker:ListProjects, transfer:DescribeAgreement, transfer:DescribeCertificate, transfer:ListAgreements, transfer:ListCertificates, and waf-regional:ListLoggingConfigurations | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Workflows for AWS Amplify, AWS App Mesh, AWS App Runner Amazon CloudFront, AWS CodeArtifact Amazon Elastic Compute Cloud, Amazon Kendra, Amazon Macie, Amazon Route 53, Amazon SageMaker AI, Amazon AWS Migration Hub Pinpoint, AWS Resilience AWS Transfer Family Hub, Amazon, Directory Service e. CloudWatch AWS AWS WAF | 13 aprile 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di appflow:DescribeFlow, appflow:ListFlows, appflow:ListTagsForResource, apprunner:DescribeService, apprunner:ListServices, apprunner:ListTagsForResource, appstream:DescribeApplications, appstream:DescribeFleets, cloudfront:GetResponseHeadersPolicy, cloudwatch:ListTagsForResource, codeartifact:DescribeRepository, codeartifact:GetRepositoryPermissionsPolicy, codeartifact:ListTagsForResource, codecommit:GetRepository, codecommit:GetRepositoryTriggers, codecommit:ListRepositories, codecommit:ListTagsForResource, devicefarm:GetInstanceProfile, devicefarm:ListInstanceProfiles, devicefarm:ListProjects, evidently:GetProject, evidently:ListProjects, evidently:ListTagsForResource, forecast:DescribeDataset, forecast:ListDatasets, forecast:ListTagsForResource, groundstation:GetConfig, groundstation:ListConfigs, groundstation:ListTagsForResource, iam:GetInstanceProfile, iam:GetSAMLProvider, iam:GetServerCertificate, iam:ListAccessKeys, iam:ListGroups, iam:ListInstanceProfiles, iam:ListMFADevices, iam:ListMFADeviceTags, iam:ListRoles, iam:ListSAMLProviders, iot:DescribeFleetMetric, iot:ListFleetMetrics, memorydb:DescribeUsers, memorydb:ListTags, mobiletargeting:GetApp, mobiletargeting:GetCampaigns, networkmanager:GetDevices, networkmanager:GetLinks, networkmanager:GetSites, panorama:ListNodes, rds:DescribeDBProxyEndpoints, redshift:DescribeScheduledActions, sagemaker:DescribeAppImageConfig, sagemaker:DescribeImage, sagemaker:DescribeImageVersion, sagemaker:ListAppImageConfigs, sagemaker:ListImages, and sagemaker:ListImageVersions | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Workflows for Amazon AppFlow, AWS App Runner Amazon WorkSpaces Applications, Amazon CloudWatch,,, AWS CodeArtifact, CloudFront Amazon CloudWatch Evidently AWS CodeCommit, AWS Device Farm Amazon Forecast, AWS Identity and Access Management (IAM) AWS Ground Station, Amazon MemoryDB, AWS IoT Amazon Pinpoint, Amazon AWS Network Manager Relational Database AWS Panorama Service (Amazon RDS), Amazon Redshift e Amazon AI. SageMaker | 30 marzo 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di appflow:DescribeFlow, appflow:ListFlows, appflow:ListTagsForResource, apprunner:DescribeService, apprunner:ListServices, apprunner:ListTagsForResource, appstream:DescribeApplications, appstream:DescribeFleets, cloudformation:ListTypes, cloudfront:GetResponseHeadersPolicy, cloudfront:ListDistributions, cloudwatch:ListTagsForResource, codeartifact:DescribeRepository, codeartifact:GetRepositoryPermissionsPolicy, codeartifact:ListTagsForResource, codecommit:GetRepository, codecommit:GetRepositoryTriggers, codecommit:ListRepositories, codecommit:ListTagsForResource, devicefarm:GetInstanceProfile, devicefarm:ListInstanceProfiles, devicefarm:ListProjects, ec2:DescribeTrafficMirrorFilters, evidently:GetProject, evidently:ListProjects, evidently:ListTagsForResource, forecast:DescribeDataset, forecast:ListDatasets, forecast:ListTagsForResource, groundstation:GetConfig, groundstation:ListConfigs, groundstation:ListTagsForResource, iam:GetInstanceProfile, iam:GetSAMLProvider, iam:GetServerCertificate, iam:ListAccessKeys, iam:ListGroups, iam:ListInstanceProfiles, iam:ListMFADevices, iam:ListMFADeviceTags, iam:ListRoles, iam:ListSAMLProviders, iot:DescribeFleetMetric, iot:ListFleetMetrics, memorydb:DescribeUsers, memorydb:ListTags, mobiletargeting:GetApp, mobiletargeting:GetCampaigns, networkmanager:GetDevices, networkmanager:GetLinks, networkmanager:GetSites, panorama:ListNodes, rds:DescribeDBProxyEndpoints, redshift:DescribeScheduledActions, sagemaker:DescribeAppImageConfig, sagemaker:DescribeImage, sagemaker:DescribeImageVersion, sagemaker:ListAppImageConfigs, sagemaker:ListImages, and sagemaker:ListImageVersions | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Workflows for Amazon AppFlow, AWS App Runner Amazon WorkSpaces Applications, AWS CloudFormation Amazon,,, CloudWatch AWS CodeArtifact AWS CodeCommit, CloudFront Amazon Elastic Compute Cloud ( AWS Device Farm Amazon EC2), Amazon Evidently CloudWatch , Amazon Forecast, AWS Identity and Access Management (IAM), Amazon MemoryDB AWS Ground Station, Amazon Pinpoint,, AWS IoT Amazon AWS Network Manager Relational Database Service (Amazon RDS), AWS Panorama Amazon Redshift e Amazon AI. SageMaker | 30 marzo 2023 |
| [AWSConfigRulesExecutionRole](#security-iam-awsmanpol-AWSConfigRulesExecutionRole)— inizia a tenere traccia delle modifiche AWS per questa AWS Config policy gestita | Questa policy consente alle AWS Lambda funzioni di accedere all' AWS Config API e agli snapshot di configurazione che vengono AWS Config distribuiti periodicamente ad Amazon S3. Questo accesso è richiesto dalle funzioni che valutano le modifiche alla configurazione per le regole Lambda AWS personalizzate. | 7 marzo 2023 |
| [AWSConfigRoleForOrganizations](#security-iam-awsmanpol-AWSConfigRoleForOrganizations)— AWS Config inizia a tenere traccia delle modifiche per questa politica AWS gestita | Questo criterio consente di AWS Config chiamare in sola lettura AWS Organizations APIs. | 7 marzo 2023 |
| [AWSConfigRemediationServiceRolePolicy](#security-iam-awsmanpol-AWSConfigRemediationServiceRolePolicy)— AWS Config inizia a tenere traccia delle modifiche per questa AWS politica gestita | Questa politica consente di AWS Config ripristinare le `NON_COMPLIANT` risorse per conto dell'utente. | 7 marzo 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di auditmanager:GetAccountStatus | Questa policy ora concede l'autorizzazione per restituire lo stato di registrazione di un account in AWS Audit Manager. | 3 marzo 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di auditmanager:GetAccountStatus | Questa policy ora concede l'autorizzazione per restituire lo stato di registrazione di un account in AWS Audit Manager. | 3 marzo 2023 |
| [AWSConfigMultiAccountSetupPolicy](#security-iam-awsmanpol-AWSConfigMultiAccountSetupPolicy)— AWS Config inizia a tenere traccia delle modifiche apportate a questa politica AWS gestita | Questa politica consente di AWS Config chiamare AWS i servizi e distribuire AWS Config risorse all'interno di un'organizzazione con AWS Organizations. | 27 febbraio 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Workflows for Apache Airflow, Amazon Applications, Amazon Reviewer, AWS IoT Amazon Kinesis Video AWS HealthLake Streams, CodeGuru Amazon WorkSpaces Application Recovery Controller (ARC), Amazon Elastic Compute Cloud (Amazon EC2), Amazon Pinpoint (IAM), Amazon Elastic Compute AWS Device Farm Cloud (Amazon EC2), Amazon Pinpoint (IAM), Amazon e Amazon Registri. AWS Identity and Access Management GuardDuty CloudWatch | 1 febbraio 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Workflows for Apache Airflow, Amazon Applications, Amazon Reviewer, AWS IoT Amazon Kinesis Video AWS HealthLake Streams, CodeGuru Amazon WorkSpaces Application Recovery Controller (ARC), Amazon Elastic Compute Cloud (Amazon EC2), Amazon Pinpoint (IAM), Amazon Elastic Compute AWS Device Farm Cloud (Amazon EC2), Amazon Pinpoint (IAM), Amazon e Amazon Registri. AWS Identity and Access Management GuardDuty CloudWatch | 1 febbraio 2023 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy): aggiornamento di config:DescribeConfigRules | Come best practice di sicurezza, questa policy ora rimuove l'autorizzazione ampia a livello di risorsa per `config:DescribeConfigRules`. | 12 gennaio 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, AWS Transfer Family devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Service for Prometheus AWS Audit Manager,,, () AWS Device Farm, Amazon Elastic Compute Cloud AWS Database Migration Service (Amazon EC2 AWS DMS) AWS Directory Service, Amazon Lightsail,, Amazon AWS Resource Access Manager Quick AWS Glue AWS IoT, Amazon Application Recovery Controller (ARC) AWS Network Manager, Amazon AWS Elemental MediaPackage Simple Storage Service (Amazon S3), e Amazon Timestream. | 15 dicembre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Service for Prometheus AWS Audit Manager,,, () AWS Device Farm, Amazon Elastic Compute Cloud AWS Database Migration Service (Amazon EC2 AWS DMS) AWS Directory Service, Amazon Lightsail,, Amazon AWS Resource Access Manager Quick AWS Glue AWS IoT, Amazon Application Recovery Controller (ARC) AWS Network Manager, Amazon AWS Elemental MediaPackage Simple Storage Service (Amazon S3), e Amazon Timestream. | 15 dicembre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di cloudformation:ListStackResources and cloudformation:ListStacks | Questa politica ora concede l'autorizzazione a restituire le descrizioni di tutte le risorse di uno AWS CloudFormation stack specificato e a restituire le informazioni di riepilogo per gli stack il cui stato corrisponde a quello specificatoStackStatusFilter. | 7 novembre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di cloudformation:ListStackResources and cloudformation:ListStacks | Questa politica ora concede l'autorizzazione a restituire le descrizioni di tutte le risorse di uno stack specificato e a restituire le informazioni di riepilogo per gli AWS CloudFormation stack il cui stato corrisponde a quello specificato. StackStatusFilter | 7 novembre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Workflows for Apache Airflow AWS Certificate Manager, Amazon Keyspaces, Amazon, Amazon Connect AWS Amplify AWS AppConfig, Amazon Elastic Compute Cloud ( CloudWatchAmazon EC2), Amazon AWS Glue DataBrew Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Kubernetes Service (Amazon EKS), Amazon, Amazon Fraud Detector, Amazon, Amazon Servers, EventBridge AWS Fault Injection Service Amazon Location Service, Amazon Lex, Amazon Lightsail, FSx GameLift Amazon Pinpoint,,,, Amazon Quick AWS IoT, Amazon Relational Database Service (Amazon OpsWorks AWS Panorama AWS Resource Access Manager RDS), Amazon AWS RoboMaker Rekognition,, Amazon Route 53 AWS Resource Groups, Amazon Simple Storage Service (Amazon S3) e. AWS Cloud Map AWS Security Token Service | 19 ottobre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Workflows for Apache Airflow AWS Certificate Manager, Amazon Keyspaces, Amazon, Amazon Connect AWS Amplify AWS AppConfig, Amazon Elastic Compute Cloud ( CloudWatchAmazon EC2), Amazon AWS Glue DataBrew Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Kubernetes Service (Amazon EKS), Amazon, Amazon Fraud Detector, Amazon, Amazon Servers, EventBridge AWS Fault Injection Service Amazon Location Service, Amazon Lex, Amazon Lightsail, FSx GameLift Amazon Pinpoint,,,, Amazon Quick AWS IoT, Amazon Relational Database Service (Amazon OpsWorks AWS Panorama AWS Resource Access Manager RDS), Amazon AWS RoboMaker Rekognition,, Amazon Route 53 AWS Resource Groups, Amazon Simple Storage Service (Amazon S3) e. AWS Cloud Map AWS Security Token Service | 19 ottobre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di Glue::GetTable | Questa politica ora concede l'autorizzazione a recuperare la definizione della AWS Glue tabella in un catalogo dati per una tabella specificata. | 14 settembre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di Glue::GetTable | Questa politica ora concede l'autorizzazione a recuperare la definizione della AWS Glue tabella in un catalogo dati per una tabella specificata. | 14 settembre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorFilters, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Questa policy ora supporta autorizzazioni aggiuntive per Amazon AppFlow, Amazon, Amazon CloudWatch RUM CloudWatch, Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon Guru, DevOps Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon, Amazon Schemas,, Amazon Fraud Detector, Amazon Servers EventBridge, Amazon Interactive Video Service ( EventBridge Amazon IVS) Amazon FinSpace, Servizio gestito da Amazon per Apache Flink GameLift , EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon StudioAmazon Nimble Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC Amazon Route 53 Resolver), Amazon Simple Storage Service (Amazon S3), Amazon SimpleDB SimpledB, Amazon Simple Email Service (Amazon SES), Amazon Timestream AWS AppConfig,,,,,,,,,,,, AWS AppSync AWS Auto Scaling AWS Backup Budget AWS AWS Cost Explorer AWS Cloud9 AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation, AWS License Manager AWS Resilience Hub, AWS Signer, e AWS Transfer Family. | 7 settembre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Questa policy ora supporta autorizzazioni aggiuntive per Amazon AppFlow, Amazon, Amazon CloudWatch RUM CloudWatch, Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon Guru, DevOps Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon, Amazon Schemas,, Amazon Fraud Detector, Amazon Servers EventBridge, Amazon Interactive Video Service ( EventBridge Amazon IVS) Amazon FinSpace, Servizio gestito da Amazon per Apache Flink GameLift , EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon StudioAmazon Nimble Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC Amazon Route 53 Resolver), Amazon Simple Storage Service (Amazon S3), Amazon SimpleDB SimpledB, Amazon Simple Email Service (Amazon SES), Amazon Timestream AWS AppConfig,,,,,,,,,,,, AWS AppSync AWS Auto Scaling AWS Backup Budget AWS AWS Cost Explorer AWS Cloud9 AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation, AWS License Manager AWS Resilience Hub, AWS Signer, e AWS Transfer Family | 7 settembre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Workflows for Apache Airflow, Amazon Applications, Amazon Reviewer, AWS IoT Amazon Kinesis Video AWS HealthLake Streams, CodeGuru Amazon WorkSpaces Application Recovery Controller (ARC), Amazon Elastic Compute Cloud (Amazon EC2), Amazon Pinpoint (IAM), Amazon Elastic Compute AWS Device Farm Cloud (Amazon EC2), Amazon Pinpoint (IAM), Amazon e Amazon Registri. AWS Identity and Access Management GuardDuty CloudWatch | 1 febbraio 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Workflows for Apache Airflow, Amazon Applications, Amazon Reviewer, AWS IoT Amazon Kinesis Video AWS HealthLake Streams, CodeGuru Amazon WorkSpaces Application Recovery Controller (ARC), Amazon Elastic Compute Cloud (Amazon EC2), Amazon Pinpoint (IAM), Amazon Elastic Compute AWS Device Farm Cloud (Amazon EC2), Amazon Pinpoint (IAM), Amazon e Amazon Registri. AWS Identity and Access Management GuardDuty CloudWatch | 1 febbraio 2023 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy): aggiornamento di config:DescribeConfigRules | Come best practice di sicurezza, questa policy ora rimuove l'autorizzazione ampia a livello di risorsa per `config:DescribeConfigRules`. | 12 gennaio 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, AWS Transfer Family devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Service for Prometheus AWS Audit Manager,,, () AWS Device Farm, Amazon Elastic Compute Cloud AWS Database Migration Service (Amazon EC2 AWS DMS) AWS Directory Service, Amazon Lightsail,, Amazon AWS Resource Access Manager Quick AWS Glue AWS IoT, Amazon Application Recovery Controller (ARC) AWS Network Manager, Amazon AWS Elemental MediaPackage Simple Storage Service (Amazon S3), e Amazon Timestream. | 15 dicembre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Service for Prometheus AWS Audit Manager,,, () AWS Device Farm, Amazon Elastic Compute Cloud AWS Database Migration Service (Amazon EC2 AWS DMS) AWS Directory Service, Amazon Lightsail,, Amazon AWS Resource Access Manager Quick AWS Glue AWS IoT, Amazon Application Recovery Controller (ARC) AWS Network Manager, Amazon AWS Elemental MediaPackage Simple Storage Service (Amazon S3), e Amazon Timestream. | 15 dicembre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di cloudformation:ListStackResources and cloudformation:ListStacks | Questa politica ora concede l'autorizzazione a restituire le descrizioni di tutte le risorse di uno AWS CloudFormation stack specificato e a restituire le informazioni di riepilogo per gli stack il cui stato corrisponde a quello specificatoStackStatusFilter. | 7 novembre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di cloudformation:ListStackResources and cloudformation:ListStacks | Questa politica ora concede l'autorizzazione a restituire le descrizioni di tutte le risorse di uno stack specificato e a restituire le informazioni di riepilogo per gli AWS CloudFormation stack il cui stato corrisponde a quello specificato. StackStatusFilter | 7 novembre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Workflows for Apache Airflow AWS Certificate Manager, Amazon Keyspaces, Amazon, Amazon Connect AWS Amplify AWS AppConfig, Amazon Elastic Compute Cloud ( CloudWatchAmazon EC2), Amazon AWS Glue DataBrew Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Kubernetes Service (Amazon EKS), Amazon, Amazon Fraud Detector, Amazon, Amazon Servers, EventBridge AWS Fault Injection Service Amazon Location Service, Amazon Lex, Amazon Lightsail, FSx GameLift Amazon Pinpoint,,,, Amazon Quick AWS IoT, Amazon Relational Database Service (Amazon OpsWorks AWS Panorama AWS Resource Access Manager RDS), Amazon AWS RoboMaker Rekognition,, Amazon Route 53 AWS Resource Groups, Amazon Simple Storage Service (Amazon S3) e. AWS Cloud Map AWS Security Token Service | 19 ottobre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Managed Workflows for Apache Airflow AWS Certificate Manager, Amazon Keyspaces, Amazon, Amazon Connect AWS Amplify AWS AppConfig, Amazon Elastic Compute Cloud ( CloudWatchAmazon EC2), Amazon AWS Glue DataBrew Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Kubernetes Service (Amazon EKS), Amazon, Amazon Fraud Detector, Amazon, Amazon Servers, EventBridge AWS Fault Injection Service Amazon Location Service, Amazon Lex, Amazon Lightsail, FSx GameLift Amazon Pinpoint,,,, Amazon Quick AWS IoT, Amazon Relational Database Service (Amazon OpsWorks AWS Panorama AWS Resource Access Manager RDS), Amazon AWS RoboMaker Rekognition,, Amazon Route 53 AWS Resource Groups, Amazon Simple Storage Service (Amazon S3) e. AWS Cloud Map AWS Security Token Service | 19 ottobre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di Glue::GetTable | Questa politica ora concede l'autorizzazione a recuperare la definizione della AWS Glue tabella in un catalogo dati per una tabella specificata. | 14 settembre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di Glue::GetTable | Questa politica ora concede l'autorizzazione a recuperare la definizione della AWS Glue tabella in un catalogo dati per una tabella specificata. | 14 settembre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorFilters, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Questa policy ora supporta autorizzazioni aggiuntive per Amazon AppFlow, Amazon, Amazon CloudWatch RUM CloudWatch, Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon Guru, DevOps Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon, Amazon Schemas,, Amazon Fraud Detector, Amazon Servers EventBridge, Amazon Interactive Video Service ( EventBridge Amazon IVS) Amazon FinSpace, Servizio gestito da Amazon per Apache Flink GameLift , EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon StudioAmazon Nimble Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC Amazon Route 53 Resolver), Amazon Simple Storage Service (Amazon S3), Amazon SimpleDB SimpledB, Amazon Simple Email Service (Amazon SES), Amazon Timestream AWS AppConfig,,,,,,,,,,,, AWS AppSync AWS Auto Scaling AWS Backup Budget AWS AWS Cost Explorer AWS Cloud9 AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation, AWS License Manager AWS Resilience Hub, AWS Signer, e AWS Transfer Family. | 7 settembre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Questa policy ora supporta autorizzazioni aggiuntive per Amazon AppFlow, Amazon, Amazon CloudWatch RUM CloudWatch, Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon Guru, DevOps Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon, Amazon Schemas,, Amazon Fraud Detector, Amazon Servers EventBridge, Amazon Interactive Video Service ( EventBridge Amazon IVS) Amazon FinSpace, Servizio gestito da Amazon per Apache Flink GameLift , EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon StudioAmazon Nimble Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC Amazon Route 53 Resolver), Amazon Simple Storage Service (Amazon S3), Amazon SimpleDB SimpledB, Amazon Simple Email Service (Amazon SES), Amazon Timestream AWS AppConfig,,,,,,,,,,,, AWS AppSync AWS Auto Scaling AWS Backup Budget AWS AWS Cost Explorer AWS Cloud9 AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation, AWS License Manager AWS Resilience Hub, AWS Signer, e AWS Transfer Family | 7 settembre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di datasync:ListAgents, datasync:ListLocations, datasync:ListTasks, servicediscovery:ListNamespaces, servicediscovery:ListServices, and ses:ListContactLists | Questa politica ora consente di restituire un elenco di AWS DataSync agenti, posizioni di DataSync origine e destinazione e DataSync attività in un Account AWS file, elencare informazioni di riepilogo sui namespace e AWS Cloud Map i servizi associati a uno o più namespace specificati in un ed elencare tutte le liste di contatti di Amazon Simple Email Service (Amazon SES) Simple Email Service (Amazon SES) disponibili in. Account AWS Account AWS | 22 agosto 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di datasync:ListAgents, datasync:ListLocations, datasync:ListTasks, servicediscovery:ListNamespaces, servicediscovery:ListServices, and ses:ListContactLists | Questa politica ora consente di restituire un elenco di AWS DataSync agenti, posizioni di DataSync origine e destinazione e DataSync attività in un Account AWS file, elencare informazioni di riepilogo sui namespace e AWS Cloud Map i servizi associati a uno o più namespace specificati in un ed elencare tutte le liste di contatti di Amazon Simple Email Service (Amazon SES) Simple Email Service (Amazon SES) disponibili in. Account AWS Account AWS | 22 agosto 2022 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy): aggiunta di cloudwatch:PutMetricData | Questa politica ora concede l'autorizzazione a pubblicare punti dati metrici su Amazon. CloudWatch | 25 luglio 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di amplifyuibuilder:ExportThemes, amplifyuibuilder:GetTheme, appconfig:GetApplication, appconfig:GetApplication, appconfig:GetConfigurationProfile, appconfig:GetConfigurationProfile, appconfig:GetDeployment, appconfig:GetDeploymentStrategy, appconfig:GetEnvironment, appconfig:GetHostedConfigurationVersion, appconfig:ListTagsForResource, appsync:GetGraphqlApi, appsync:ListGraphqlApis, billingconductor: ListPricingRulesAssociatedToPricingPlan, billingconductor:ListAccountAssociations, billingconductor:ListBillingGroups, billingconductor:ListCustomLineItems, billingconductor:ListPricingPlans, billingconductor:ListPricingRules, billingconductor:ListTagsForResource, datasync:DescribeAgent, datasync:DescribeLocationEfs, datasync:DescribeLocationFsxLustre, datasync:DescribeLocationHdfs, datasync:DescribeLocationNfs, datasync:DescribeLocationObjectStorage, datasync:DescribeLocationS3, datasync:DescribeLocationSmb, datasync:DescribeTask, datasync:ListTagsForResource, ecr:DescribePullThroughCacheRules, ecr:DescribeRegistry, ecr:GetRegistryPolicy, elasticache:DescribeCacheParameters, elasticloadbalancing:DescribeListenerCertificates, elasticloadbalancing:DescribeTargetGroupAttributes, elasticloadbalancing:DescribeTargetGroups, elasticloadbalancing:DescribeTargetHealth, events:DescribeApiDestination, events:DescribeArchive, fms:GetNotificationChannel, fms:GetPolicy, fms:ListPolicies, fms:ListTagsForResource, fsx:DescribeVolumes, geo:DescribeGeofenceCollection, geo:DescribeMap, geo:DescribePlaceIndex, geo:DescribeRouteCalculator, geo:DescribeTracker, geo:ListTrackerConsumers, glue:BatchGetJobs, glue:BatchGetWorkflows, glue:GetCrawler, glue:GetCrawlers, glue:GetJob, glue:GetJobs, glue:GetWorkflow, imagebuilder: GetComponent, imagebuilder: ListComponentBuildVersions, imagebuilder: ListComponents, imagebuilder:GetDistributionConfiguration, imagebuilder:GetInfrastructureConfiguration, imagebuilder:ListDistributionConfigurations, imagebuilder:ListInfrastructureConfigurations, kafka:DescribeClusterV2, kafka:ListClustersV2, kinesisanalytics:DescribeApplication, kinesisanalytics:ListTagsForResource, quicksight:DescribeDataSource, quicksight:DescribeDataSourcePermissions, quicksight:ListTagsForResource, rekognition:DescribeStreamProcessor, rekognition:ListTagsForResource, robomaker:DescribeRobotApplication, robomaker:DescribeSimulationApplication, s3:GetStorageLensConfiguration, s3:GetStorageLensConfigurationTagging, servicediscovery:GetInstance, servicediscovery:GetNamespace, servicediscovery:GetService, servicediscovery:ListTagsForResource, ses:DescribeReceiptRule, ses:DescribeReceiptRuleSet, ses:GetContactList, ses:GetEmailTemplate, ses:GetTemplate, and sso:GetInlinePolicyForPermissionSet | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Elastic Container Service (Amazon ECS), Amazon, Amazon, Amazon, Amazon Managed Service per Apache Flink, ElastiCache Amazon Location Service FSx, EventBridge Amazon Managed Streaming per Apache Kafka, Amazon Quick, Amazon Rekognition, Amazon Managed Streaming per Apache Kafka, Amazon Quick, Amazon Rekognition AWS RoboMaker, Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon SES) Simple Email Service (Amazon AWS Amplify SES AWS AppConfig),,,,,, (IAM Identity Center AWS Billing Conductor) AWS DataSync, AWS Firewall Manager EC2 Image Builder ed Elastic AWS AppSync Load Balancing. AWS Glue AWS IAM Identity Center | 15 luglio 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di amplifyuibuilder:ExportThemes, amplifyuibuilder:GetTheme, appconfig:GetApplication, appconfig:GetApplication, appconfig:GetConfigurationProfile, appconfig:GetConfigurationProfile, appconfig:GetDeployment, appconfig:GetDeploymentStrategy, appconfig:GetEnvironment, appconfig:GetHostedConfigurationVersion, appconfig:ListTagsForResource, appsync:GetGraphqlApi, appsync:ListGraphqlApis, billingconductor: ListPricingRulesAssociatedToPricingPlan, billingconductor:ListAccountAssociations, billingconductor:ListBillingGroups, billingconductor:ListCustomLineItems, billingconductor:ListPricingPlans, billingconductor:ListPricingRules, billingconductor:ListTagsForResource, datasync:DescribeAgent, datasync:DescribeLocationEfs, datasync:DescribeLocationFsxLustre, datasync:DescribeLocationHdfs, datasync:DescribeLocationNfs, datasync:DescribeLocationObjectStorage, datasync:DescribeLocationS3, datasync:DescribeLocationSmb, datasync:DescribeTask, datasync:ListTagsForResource, ecr:DescribePullThroughCacheRules, ecr:DescribeRegistry, ecr:GetRegistryPolicy, elasticache:DescribeCacheParameters, elasticloadbalancing:DescribeListenerCertificates, elasticloadbalancing:DescribeTargetGroupAttributes, elasticloadbalancing:DescribeTargetGroups, elasticloadbalancing:DescribeTargetHealth, events:DescribeApiDestination, events:DescribeArchive, fms:GetNotificationChannel, fms:GetPolicy, fms:ListPolicies, fms:ListTagsForResource, fsx:DescribeVolumes, geo:DescribeGeofenceCollection, geo:DescribeMap, geo:DescribePlaceIndex, geo:DescribeRouteCalculator, geo:DescribeTracker, geo:ListTrackerConsumers, glue:BatchGetJobs, glue:BatchGetWorkflows, glue:GetCrawler, glue:GetCrawlers, glue:GetJob, glue:GetJobs, glue:GetWorkflow, imagebuilder: GetComponent, imagebuilder: ListComponentBuildVersions, imagebuilder: ListComponents, imagebuilder:GetDistributionConfiguration, imagebuilder:GetInfrastructureConfiguration, imagebuilder:ListDistributionConfigurations, imagebuilder:ListInfrastructureConfigurations, kafka:DescribeClusterV2, kafka:ListClustersV2, kinesisanalytics:DescribeApplication, kinesisanalytics:ListTagsForResource, quicksight:DescribeDataSource, quicksight:DescribeDataSourcePermissions, quicksight:ListTagsForResource, rekognition:DescribeStreamProcessor, rekognition:ListTagsForResource, robomaker:DescribeRobotApplication, robomaker:DescribeSimulationApplication, s3:GetStorageLensConfiguration, s3:GetStorageLensConfigurationTagging, servicediscovery:GetInstance, servicediscovery:GetNamespace, servicediscovery:GetService, servicediscovery:ListTagsForResource, ses:DescribeReceiptRule, ses:DescribeReceiptRuleSet, ses:GetContactList, ses:GetEmailTemplate, ses:GetTemplate, and sso:GetInlinePolicyForPermissionSet | Questa policy ora supporta autorizzazioni aggiuntive per Amazon Elastic Container Service (Amazon ECS), Amazon, Amazon, Amazon, Amazon Managed Service per Apache Flink, ElastiCache Amazon Location Service FSx, EventBridge Amazon Managed Streaming per Apache Kafka, Amazon Quick, Amazon Rekognition, Amazon Managed Streaming per Apache Kafka, Amazon Quick, Amazon Rekognition AWS RoboMaker, Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon SES) Simple Email Service (Amazon AWS Amplify SES AWS AppConfig),,,,,, (IAM Identity Center AWS Billing Conductor) AWS DataSync, AWS Firewall Manager EC2 Image Builder ed Elastic AWS AppSync Load Balancing. AWS Glue AWS IAM Identity Center | 15 luglio 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di athena:GetDataCatalog, athena:ListDataCatalogs, athena:ListTagsForResource, detective:ListGraphs, detective:ListTagsForResource, glue:BatchGetDevEndpoints, glue:GetDevEndpoint, glue:GetDevEndpoints, glue:GetSecurityConfiguration, glue:GetSecurityConfigurations, glue:GetTags glue:GetWorkGroup, glue:ListCrawlers, glue:ListDevEndpoints, glue:ListJobs, glue:ListMembers, glue:ListWorkflows, glue:ListWorkGroups, guardduty:GetFilter, guardduty:GetIPSet, guardduty:GetThreatIntelSet, guardduty:GetMembers, guardduty:ListFilters, guardduty:ListIPSets, guardduty:ListTagsForResource, guardduty:ListThreatIntelSets, macie:GetMacieSession, ram:GetResourceShareAssociations, ram:GetResourceShares, ses:GetConfigurationSet, ses:GetConfigurationSetEventDestinations, ses:ListConfigurationSets, sso:DescribeInstanceAccessControlAttributeConfiguration, sso:DescribePermissionSet, sso:ListManagedPoliciesInPermissionSet, sso:ListPermissionSets, and sso:ListTagsForResource | Questa policy ora concede l'autorizzazione a ottenere un catalogo dati Amazon Athena specifico, elencare i cataloghi di dati Athena in Account AWS un ed elencare i tag associati a un gruppo di lavoro o a una risorsa del catalogo dati Athena; ottenere un elenco di grafici comportamentali di Amazon Detective e tag di elenco per un grafico di comportamento di Detective; ottenere un elenco di metadati di risorse per un determinato elenco di nomi di endpoint di sviluppo, ottenere informazioni su un endpoint AWS Glue di sviluppo specificato, ottieni tutti gli endpoint di sviluppo in un file, recupera una sicurezza AWS Glue specificata AWS Glue Account AWS AWS Glue configurazione, ottieni tutte le configurazioni di AWS Glue sicurezza, ottieni un elenco di tag associati a una AWS Glue risorsa, ottieni informazioni su un AWS Glue gruppo di lavoro con il nome specificato, recupera i nomi di tutte le risorse AWS Glue crawler in un AWS account, ottieni i nomi di tutte le AWS Glue `DevEndpoint` risorse in un Account AWS, elenca i nomi di tutte le risorse di AWS Glue lavoro in un Account AWS, ottieni dettagli sugli account AWS Glue membro, elenca i nomi dei AWS Glue flussi di lavoro creati in un account ed elenca i AWS Glue gruppi di lavoro disponibili per un account; per recuperare dettagli su un GuardDuty filtro Amazon, recuperare a, recuperare a GuardDuty IPSet, recuperare GuardDuty gli account dei membri GuardDutyThreatIntelSet, ottenere un elenco di GuardDuty filtri, scaricare il IPSets GuardDuty servizio, recuperare i tag per il Servizio e ottenere il GuardDuty servizio; per ottenere lo stato corrente e le impostazioni ThreatIntelSets di configurazione di un account Amazon Macie; per recuperare le risorse e le associazioni principali per AWS Resource Access Manager ()AWS RAM le condivisioni di risorse e recuperare i dettagli sulle risorse GuardDuty AWS RAM condivisioni; per ottenere informazioni su un set di configurazione esistente di Amazon Simple Email Service (Amazon SES), ottenere un elenco di destinazioni di eventi associate a un set di configurazione Amazon SES ed elencare tutti i set di configurazione associati a un account Amazon SES; e per ottenere un elenco degli attributi della directory Identity Center, ottenere i dettagli di un set di autorizzazioni, ottenere la policy gestita IAM allegata a AWS IAM Identity Center un'autorizzazione IAM Identity Center specificata set, ottieni i permessi impostati per un'istanza IAM Identity Center e ottieni i tag per IAM Identity Risorse del centro. | 31 maggio 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di athena:GetDataCatalog, athena:ListDataCatalogs, athena:ListTagsForResource, detective:ListGraphs, detective:ListTagsForResource, glue:BatchGetDevEndpoints, glue:GetDevEndpoint, glue:GetDevEndpoints, glue:GetSecurityConfiguration, glue:GetSecurityConfigurations, glue:GetTags glue:GetWorkGroup, glue:ListCrawlers, glue:ListDevEndpoints, glue:ListJobs, glue:ListMembers, glue:ListWorkflows, glue:ListWorkGroups, guardduty:GetFilter, guardduty:GetIPSet, guardduty:GetThreatIntelSet, guardduty:GetMembers, guardduty:ListFilters, guardduty:ListIPSets, guardduty:ListTagsForResource, guardduty:ListThreatIntelSets, macie:GetMacieSession, ram:GetResourceShareAssociations, ram:GetResourceShares, ses:GetConfigurationSet, ses:GetConfigurationSetEventDestinations, ses:ListConfigurationSets, sso:DescribeInstanceAccessControlAttributeConfiguration, sso:DescribePermissionSet, sso:ListManagedPoliciesInPermissionSet, sso:ListPermissionSets, and sso:ListTagsForResource | Questa policy ora concede l'autorizzazione a ottenere un catalogo dati Amazon Athena specifico, elencare i cataloghi di dati Athena in Account AWS un ed elencare i tag associati a un gruppo di lavoro o a una risorsa del catalogo dati Athena; ottenere un elenco di grafici comportamentali di Amazon Detective e tag di elenco per un grafico di comportamento di Detective; ottenere un elenco di metadati di risorse per un determinato elenco di nomi di endpoint di sviluppo, ottenere informazioni su un endpoint AWS Glue di sviluppo specificato, ottieni tutti gli endpoint di sviluppo in un file, recupera una sicurezza AWS Glue specificata AWS Glue Account AWS AWS Glue configurazione, ottieni tutte le configurazioni di AWS Glue sicurezza, ottieni un elenco di tag associati a una AWS Glue risorsa, ottieni informazioni su un AWS Glue gruppo di lavoro con il nome specificato, recupera i nomi di tutte le risorse AWS Glue crawler in un AWS account, ottieni i nomi di tutte le AWS Glue `DevEndpoint` risorse in un Account AWS, elenca i nomi di tutte le risorse di AWS Glue lavoro in un Account AWS, ottieni dettagli sugli account AWS Glue membro, elenca i nomi dei AWS Glue flussi di lavoro creati in un account ed elenca i AWS Glue gruppi di lavoro disponibili per un account; per recuperare dettagli su un GuardDuty filtro Amazon, recuperare a, recuperare a GuardDuty IPSet, recuperare GuardDuty gli account dei membri GuardDutyThreatIntelSet, ottenere un elenco di GuardDuty filtri, scaricare il IPSets GuardDuty servizio, recuperare i tag per il Servizio e ottenere il GuardDuty servizio; per ottenere lo stato corrente e le impostazioni ThreatIntelSets di configurazione di un account Amazon Macie; per recuperare le risorse e le associazioni principali per AWS Resource Access Manager ()AWS RAM le condivisioni di risorse e recuperare i dettagli sulle risorse GuardDuty AWS RAM condivisioni; per ottenere informazioni su un set di configurazione esistente di Amazon Simple Email Service (Amazon SES), ottenere un elenco di destinazioni di eventi associate a un set di configurazione Amazon SES ed elencare tutti i set di configurazione associati a un account Amazon SES; e per ottenere un elenco degli attributi della directory Identity Center, ottenere i dettagli di un set di autorizzazioni, ottenere la policy gestita IAM allegata a AWS IAM Identity Center un'autorizzazione IAM Identity Center specificata set, ottieni i permessi impostati per un'istanza IAM Identity Center e ottieni i tag per IAM Identity Risorse del centro. | 31 maggio 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di cloudformation:GetResource, cloudformation:ListResources, cloudtrail:GetEventDataStore, cloudtrail:ListEventDataStores, dax:DescribeParameterGroups, dax:DescribeParameters, dax:DescribeSubnetGroups, DMS:DescribeReplicationTasks, and organizations:ListPolicies | Questa politica ora consente di ottenere informazioni su tutti gli Event Data Store (EDS) o su uno specifico AWS CloudTrail Event Data Store (EDS), ottenere informazioni su tutte le risorse o su una determinata AWS CloudFormation risorsa, ottenere un elenco di un gruppo di parametri o sottoreti di DynamoDB Accelerator (DAX), ottenere informazioni AWS Database Migration Service sulle AWS DMS() attività di replica per l'account nell'area corrente a cui si accede e ottenere un elenco di tutte le politiche di un tipo specificato. AWS Organizations | 7 aprile 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di cloudformation:GetResource, cloudformation:ListResources, cloudtrail:GetEventDataStore, cloudtrail:ListEventDataStores, dax:DescribeParameterGroups, dax:DescribeParameters, dax:DescribeSubnetGroups, DMS:DescribeReplicationTasks, and organizations:ListPolicies | Questa politica ora consente di ottenere informazioni su tutti gli Event Data Store (EDS) o su uno specifico AWS CloudTrail Event Data Store (EDS), ottenere informazioni su tutte le risorse o su una determinata AWS CloudFormation risorsa, ottenere un elenco di un gruppo di parametri o sottoreti di DynamoDB Accelerator (DAX), ottenere informazioni AWS Database Migration Service sulle AWS DMS() attività di replica per l'account nell'area corrente a cui si accede e ottenere un elenco di tutte le politiche di un tipo specificato. AWS Organizations | 7 aprile 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di backup-gateway:ListTagsForResource, backup-gateway:ListVirtualMachines, batch:DescribeComputeEnvironments, batch:DescribeJobQueues, batch:ListTagsForResource, dax:ListTags, dms:DescribeCertificates, dynamodb:DescribeGlobalTable, dynamodb:DescribeGlobalTableSettings, ec2:DescribeClientVpnAuthorizationRules, ec2:DescribeClientVpnEndpoints, ec2:DescribeDhcpOptions, ec2:DescribeFleets, ec2:DescribeNetworkAcls, ec2:DescribePlacementGroups, ec2:DescribeSpotFleetRequests, ec2:DescribeVolumeAttribute, ec2:DescribeVolumes, eks:DescribeFargateProfile, eks:ListFargateProfiles, eks:ListTagsForResource, fsx:ListTagsForResource, guardduty:ListOrganizationAdminAccounts, kms:ListAliases, opsworks:DescribeLayers, opsworks:DescribeStacks, opsworks:ListTags, rds:DescribeDBClusterParameterGroups, rds:DescribeDBClusterParameters, states:DescribeActivity, states:ListActivities, wafv2:GetRuleGroup, wafv2:ListRuleGroups, wafv2:ListTagsForResource, workspaces:DescribeConnectionAliases, workspaces:DescribeTags, and workspaces:DescribeWorkspaces | Questa policy ora supporta autorizzazioni aggiuntive per AWS Backup, DynamoDB AWS Batch Accelerator, Amazon DynamoDB AWS Database Migration Service, Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service, Amazon, Amazon,, Amazon Relational Database Service, V2 e Amazon. FSx GuardDuty AWS Key Management Service AWS OpsWorks AWS WAF WorkSpaces | 14 marzo 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di backup-gateway:ListTagsForResource, backup-gateway:ListVirtualMachines, batch:DescribeComputeEnvironments, batch:DescribeJobQueues, batch:ListTagsForResource, dax:ListTags, dms:DescribeCertificates, dynamodb:DescribeGlobalTable, dynamodb:DescribeGlobalTableSettings, ec2:DescribeClientVpnAuthorizationRules, ec2:DescribeClientVpnEndpoints, ec2:DescribeDhcpOptions, ec2:DescribeFleets, ec2:DescribeNetworkAcls, ec2:DescribePlacementGroups, ec2:DescribeSpotFleetRequests, ec2:DescribeVolumeAttribute, ec2:DescribeVolumes, eks:DescribeFargateProfile, eks:ListFargateProfiles, eks:ListTagsForResource, fsx:ListTagsForResource, guardduty:ListOrganizationAdminAccounts, kms:ListAliases, opsworks:DescribeLayers, opsworks:DescribeStacks, opsworks:ListTags, rds:DescribeDBClusterParameterGroups, rds:DescribeDBClusterParameters, states:DescribeActivity, states:ListActivities, wafv2:GetRuleGroup, wafv2:ListRuleGroups, wafv2:ListTagsForResource, workspaces:DescribeConnectionAliases, workspaces:DescribeTags, and workspaces:DescribeWorkspaces | Questa policy ora supporta autorizzazioni aggiuntive per AWS Backup, DynamoDB AWS Batch Accelerator, Amazon DynamoDB AWS Database Migration Service, Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service, Amazon, Amazon,, Amazon Relational Database Service, V2 e Amazon. FSx GuardDuty AWS Key Management Service AWS OpsWorks AWS WAF WorkSpaces | 14 marzo 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di elasticbeanstalk:DescribeEnvironments, elasticbeanstalk:DescribeConfigurationSettings, account:GetAlternateContact, organizations:DescribePolicy, organizations:ListParents, organizations:ListPoliciesForTarget, es:GetCompatibleElasticsearchVersions, rds:DescribeOptionGroups, rds:DescribeOptionGroups, es:GetCompatibleVersions, codedeploy:GetDeploymentConfig, ecr-public:GetRepositoryPolicy, access-analyzer:GetArchiveRule, and ecs:ListTaskDefinitionFamilies | Questa policy ora concede l'autorizzazione a ottenere dettagli sugli ambienti Elastic Beanstalk e una descrizione delle impostazioni per il set di configurazione Elastic Beanstalk specificato, ottenere una mappa delle nostre versioni di Elasticsearch, descrivere i gruppi di opzioni OpenSearch di Amazon RDS disponibili per un database e ottenere informazioni su una configurazione di distribuzione. CodeDeploy Questa policy ora concede anche l'autorizzazione a recuperare il contatto alternativo specificato allegato a una Account AWS, recuperare informazioni su una policy, recuperare una AWS Organizations policy del repository Amazon ECR, recuperare informazioni su una AWS Config regola archiviata, recuperare un elenco di famiglie di definizioni di attività Amazon ECS, elencare le unità organizzative principali o principali OUs () dell'unità organizzativa o dell'account figlio specificato ed elencare le politiche collegate alla radice, all'unità organizzativa o all'account di destinazione specificati. | 10 febbraio 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di elasticbeanstalk:DescribeEnvironments, elasticbeanstalk:DescribeConfigurationSettings, account:GetAlternateContact, organizations:DescribePolicy, organizations:ListParents, organizations:ListPoliciesForTarget, es:GetCompatibleElasticsearchVersions, rds:DescribeOptionGroups, rds:DescribeOptionGroups, es:GetCompatibleVersions, codedeploy:GetDeploymentConfig, ecr-public:GetRepositoryPolicy, access-analyzer:GetArchiveRule, and ecs:ListTaskDefinitionFamilies | Questa policy ora concede l'autorizzazione a ottenere dettagli sugli ambienti Elastic Beanstalk e una descrizione delle impostazioni per il set di configurazione Elastic Beanstalk specificato, ottenere una mappa delle nostre versioni di Elasticsearch, descrivere i gruppi di opzioni OpenSearch di Amazon RDS disponibili per un database e ottenere informazioni su una configurazione di distribuzione. CodeDeploy Questa policy ora concede anche l'autorizzazione a recuperare il contatto alternativo specificato allegato a una Account AWS, recuperare informazioni su una policy, recuperare una AWS Organizations policy del repository Amazon ECR, recuperare informazioni su una AWS Config regola archiviata, recuperare un elenco di famiglie di definizioni di attività Amazon ECS, elencare le unità organizzative principali o principali OUs () dell'unità organizzativa o dell'account figlio specificato ed elencare le politiche collegate alla radice, all'unità organizzativa o all'account di destinazione specificati. | 10 febbraio 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di logs:CreateLogStream, logs:CreateLogGroup, and logs:PutLogEvent | Questa politica ora concede l'autorizzazione a creare gruppi e flussi di CloudWatch log Amazon e a scrivere log su flussi di log creati. | 15 dicembre 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di logs:CreateLogStream, logs:CreateLogGroup, and logs:PutLogEvent | Questa politica ora concede l'autorizzazione a creare gruppi e flussi di CloudWatch log Amazon e a scrivere log su flussi di log creati. | 15 dicembre 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): aggiunta di es:DescribeDomain, es:DescribeDomains, rds:DescribeDBParameters, and, elasticache:DescribeSnapshots | Questa policy ora concede il permesso di ottenere dettagli su un Amazon OpenSearch Service (OpenSearch Service) domain/domains e di ottenere un elenco dettagliato di parametri per un particolare gruppo di parametri DB di Amazon Relational Database Service (Amazon RDS). Questa politica concede inoltre l'autorizzazione a ottenere dettagli sugli snapshot di Amazon ElastiCache . | 08 settembre 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunta di es:DescribeDomain, es:DescribeDomains, rds:DescribeDBParameters, and, elasticache:DescribeSnapshots | Questa policy ora concede il permesso di ottenere dettagli su un Amazon OpenSearch Service (OpenSearch Service) domain/domains e di ottenere un elenco dettagliato di parametri per un particolare gruppo di parametri DB di Amazon Relational Database Service (Amazon RDS). Questa politica concede inoltre l'autorizzazione a ottenere dettagli sugli snapshot di Amazon ElastiCache . | 08 settembre 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Aggiungere e aggiungere logs:ListTagsLogGroup, states:ListTagsForResource, states:ListStateMachines, states:DescribeStateMachine autorizzazioni aggiuntive per i tipi di risorse AWS | Questa policy ora concede l'autorizzazione per elencare i tag per un gruppo di log, elencare i tag per una macchina a stati ed elencare tutte le macchine a stati. Questa policy ora concede l'autorizzazione per ottenere i dettagli su una macchina a stati. Questa policy ora supporta anche autorizzazioni aggiuntive per Amazon EC2 Systems Manager (SSM), Amazon Elastic Container Registry, Amazon, Amazon Data Firehose FSx, Amazon Managed Streaming for Apache Kafka (Amazon MSK), Amazon Relational Database Service (Amazon RDS), Amazon Route SageMaker 53, Amazon AI, Amazon Simple Servizio di notifica,, e. AWS Database Migration Service AWS Global Accelerator Gateway di archiviazione AWS | 28 luglio 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Aggiungi l e autorizzazioni aggiuntive per i tipi di risorse ogs:ListTagsLogGroup, states:ListTagsForResource, states:ListStateMachines, states:DescribeStateMachine AWS | Questa policy ora concede l'autorizzazione per elencare i tag per un gruppo di log, elencare i tag per una macchina a stati ed elencare tutte le macchine a stati. Questa policy ora concede l'autorizzazione per ottenere i dettagli su una macchina a stati. Questa policy ora supporta anche autorizzazioni aggiuntive per Amazon EC2 Systems Manager (SSM), Amazon Elastic Container Registry, Amazon, Amazon Data Firehose FSx, Amazon Managed Streaming for Apache Kafka (Amazon MSK), Amazon Relational Database Service (Amazon RDS), Amazon Route SageMaker 53, Amazon AI, Amazon Simple Servizio di notifica,, e. AWS Database Migration Service AWS Global Accelerator Gateway di archiviazione AWS | 28 luglio 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— ssm:DescribeDocumentPermission Aggiungere e aggiungere AWS autorizzazioni aggiuntive per i tipi di risorse | Questa policy ora concede l'autorizzazione per visualizzare le autorizzazioni dei documenti AWS Systems Manager e le informazioni su IAM Access Analyzer. Questa policy ora supporta tipi di AWS risorse aggiuntivi per Amazon Kinesis, Amazon, ElastiCache Amazon EMR, Amazon Route 53 e AWS Network Firewall Amazon Relational Database Service (Amazon RDS). Queste modifiche alle autorizzazioni consentono di AWS Config richiamare la sola lettura necessaria per supportare questi tipi di risorseAPIs . Questa policy ora supporta anche il filtraggio delle funzioni Lambda @Edge per [lambda-inside-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) AWS Config la regola gestita. | 08 giugno 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Aggiungere ssm:DescribeDocumentPermission e aggiungere autorizzazioni aggiuntive per i tipi di risorse AWS | Questa policy ora concede l'autorizzazione per visualizzare le autorizzazioni dei documenti AWS Systems Manager e le informazioni su IAM Access Analyzer. Questa policy ora supporta tipi di AWS risorse aggiuntivi per Amazon Kinesis, Amazon, ElastiCache Amazon EMR, Amazon Route 53 e AWS Network Firewall Amazon Relational Database Service (Amazon RDS). Queste modifiche alle autorizzazioni consentono di AWS Config richiamare la sola lettura necessaria per supportare questi tipi di risorseAPIs . Questa policy ora supporta anche il filtraggio delle funzioni Lambda @Edge per [lambda-inside-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) AWS Config la regola gestita. | 08 giugno 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Aggiunge apigateway:GET l'autorizzazione per effettuare chiamate GET di sola lettura ad API Gateway e l's3:GetAccessPointPolicyautorizzazione e l's3:GetAccessPointPolicyStatusautorizzazione per richiamare Amazon S3 in sola lettura APIs | Questa politica ora concede autorizzazioni che consentono di effettuare chiamate GET di sola lettura AWS Config ad API Gateway per supportare una AWS Config regola per API Gateway. La policy aggiunge anche le autorizzazioni che consentono di AWS Config richiamare Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) in modalità di APIs sola lettura, necessarie per supportare il nuovo tipo di risorsa. `AWS::S3::AccessPoint` | 10 maggio 2021 |
| [AWS\$1COnfiGrole](#security-iam-awsmanpol-AWS_ConfigRole): aggiunge apigateway:GET l'autorizzazione per effettuare chiamate GET di sola lettura a API Gateway e l's3:GetAccessPointPolicyautorizzazione e s3:GetAccessPointPolicyStatus l'autorizzazione per richiamare Amazon S3 in sola lettura APIs | Questa politica ora concede autorizzazioni che consentono di effettuare chiamate GET di sola lettura AWS Config ad API Gateway per supportare un for API Gateway. AWS Config La policy aggiunge anche le autorizzazioni che consentono di AWS Config richiamare Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) in modalità di APIs sola lettura, necessarie per supportare il nuovo tipo di risorsa. `AWS::S3::AccessPoint` | 10 maggio 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Aggiungere ssm:ListDocuments autorizzazioni e autorizzazioni aggiuntive per i tipi di risorse AWS | Questa policy ora concede l'autorizzazione per visualizzare le informazioni relative ai documenti AWS Systems Manager specificati. Questa policy ora supporta anche tipi di AWS risorse aggiuntivi per AWS Backup Amazon Elastic File System, Amazon ElastiCache, Amazon Simple Storage Service (Amazon S3), Amazon Elastic Compute Cloud (Amazon EC2), Amazon Kinesis SageMaker , Amazon AI e Amazon Route 53. AWS Database Migration Service Queste modifiche alle autorizzazioni consentono di AWS Config richiamare la sola lettura necessaria per supportare questi tipi di risorse APIs . | 1° aprile 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Aggiungere ssm:ListDocuments autorizzazioni e autorizzazioni aggiuntive per i tipi di risorse AWS | Questa policy ora concede l'autorizzazione per visualizzare le informazioni relative ai documenti AWS Systems Manager specificati. Questa policy ora supporta anche tipi di AWS risorse aggiuntivi per AWS Backup Amazon Elastic File System, Amazon ElastiCache, Amazon Simple Storage Service (Amazon S3), Amazon Elastic Compute Cloud (Amazon EC2), Amazon Kinesis SageMaker , Amazon AI e Amazon Route 53. AWS Database Migration Service Queste modifiche alle autorizzazioni consentono di AWS Config richiamare la sola lettura necessaria per supportare questi tipi di risorse APIs . | 1° aprile 2021 |
| `AWSConfigRole` è obsoleta | `AWSConfigRole` è obsoleta La policy sostitutiva è `AWS_ConfigRole`. | 1° aprile 2021 |
| AWS Config ha iniziato a tenere traccia delle modifiche | AWS Config ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 1° aprile 2021 |
# Autorizzazioni per il ruolo IAM assegnato a AWS Config
Un ruolo IAM consente di definire un set di autorizzazioni. AWS Config assume il ruolo che gli assegni per scrivere nel tuo bucket S3, pubblicare sul tuo argomento SNS ed effettuare richieste `List` API per ottenere i dettagli di `Describe` configurazione delle tue risorse. AWS Per ulteriori informazioni sui ruoli IAM, consulta [Ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html) nella *Guida per l'utente di IAM*.
Quando utilizzi la AWS Config console per creare o aggiornare un ruolo IAM, ti assegna AWS Config automaticamente le autorizzazioni necessarie. Per ulteriori informazioni, consulta [Configurazione AWS Config con la console](gs-console.md).
**Politiche e risultati di conformità**
[Le policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) e [le altre policy gestite in AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html) possono influire AWS Config sulla disponibilità delle autorizzazioni per registrare le modifiche alla configurazione delle risorse. Inoltre, le regole valutano direttamente la configurazione di una risorsa e le regole non tengono conto di queste politiche durante l'esecuzione delle valutazioni. Assicurati che le politiche in vigore siano in linea con il modo in cui intendi AWS Config utilizzarle.
**Contents**
+ [
## Creazione di policy del ruolo IAM
](#iam-role-policies)
+ [
### Aggiunta di una policy di attendibilità IAM al ruolo
](#iam-trust-policy)
+ [
### Policy del ruolo IAM per il bucket S3
](#iam-role-policies-S3-bucket)
+ [
### Policy del ruolo IAM per la chiave KMS
](#iam-role-policies-S3-kms-key)
+ [
### Policy del ruolo IAM per un argomento Amazon SNS
](#iam-role-policies-sns-topic)
+ [
### Policy del ruolo IAM per il recupero dei dettagli di configurazione
](#iam-role-policies-describe-apis)
+ [
### Gestione delle autorizzazioni per la registrazione dei bucket S3
](#troubleshooting-recording-s3-bucket-policy)
## Creazione di policy del ruolo IAM
Quando utilizzi la AWS Config console per creare un ruolo IAM, assegna AWS Config automaticamente le autorizzazioni necessarie al ruolo.
Se utilizzi il AWS CLI per configurare AWS Config o stai aggiornando un ruolo IAM esistente, devi aggiornare manualmente la policy per consentire l'accesso AWS Config al tuo bucket S3, la pubblicazione sul tuo argomento SNS e ottenere dettagli di configurazione sulle tue risorse.
### Aggiunta di una policy di attendibilità IAM al ruolo
Puoi creare una policy di fiducia IAM che AWS Config consenta di assumere un ruolo e utilizzarlo per tenere traccia delle tue risorse. Per ulteriori informazioni sulle policy di attendibilità, consulta [Termini e concetti dei ruoli](https://docs.aws.amazon.com/IAM/latest/UserGuide/d_roles_terms-and-concepts.html) nella *Guida per l'utente di IAM*.
Di seguito è riportato un esempio di policy di fiducia per AWS Config i ruoli:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
------
Puoi utilizzare la condizione `AWS:SourceAccount` nella relazione di trust del ruolo IAM riportata sopra per fare in modo che il principale del servizio Config interagisca con il ruolo AWS IAM solo quando esegue operazioni per conto di account specifici.
AWS Config supporta anche la `AWS:SourceArn` condizione che limita il principale del servizio Config ad assumere il ruolo IAM solo quando esegue operazioni per conto dell'account proprietario. Quando si utilizza l'entità del AWS Config servizio, la `AWS:SourceArn` proprietà verrà sempre impostata su `arn:aws:config:sourceRegion:sourceAccountID:*` dove si `sourceRegion` trova la regione del registratore di configurazione gestito dal cliente e `sourceAccountID` sull'ID dell'account contenente il registratore di configurazione gestito dal cliente.
Ad esempio, aggiungi la seguente condizione che limita il principale del servizio Config ad assumere il ruolo IAM solo per conto di un registratore di configurazione gestito dal cliente nella `us-east-1` regione dell'account:. `123456789012` `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`
### Policy del ruolo IAM per il bucket S3
La seguente politica di esempio concede l' AWS Config autorizzazione ad accedere al tuo bucket S3:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
],
"Condition":{
"StringLike":{
"s3:x-amz-acl":"bucket-owner-full-control"
}
}
},
{
"Effect":"Allow",
"Action":[
"s3:GetBucketAcl"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
}
]
}
```
------
### Policy del ruolo IAM per la chiave KMS
La seguente policy di esempio concede l' AWS Config autorizzazione a utilizzare la crittografia basata su KMS su nuovi oggetti per la distribuzione di bucket S3:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
}
]
}
```
------
### Policy del ruolo IAM per un argomento Amazon SNS
La seguente politica di esempio concede l' AWS Config autorizzazione ad accedere all'argomento SNS:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect":"Allow",
"Action":"sns:Publish",
"Resource":"arn:aws:sns:us-east-1:123456789012:MyTopic"
}
]
}
```
------
Se l'argomento SNS è crittografato per istruzioni di configurazione aggiuntive, consulta [Configurazione delle autorizzazioni per AWS KMS](https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html#sns-what-permissions-for-sse) nella *Guida per gli sviluppatori di Amazon Simple Notification Service*.
### Policy del ruolo IAM per il recupero dei dettagli di configurazione
Si consiglia di utilizzare il ruolo collegato al AWS Config servizio:. `AWSServiceRoleForConfig` I ruoli collegati ai servizi sono predefiniti e includono tutte le autorizzazioni necessarie per chiamare altri. AWS Config Servizi AWS Il ruolo AWS Config collegato al servizio è richiesto per i registratori di configurazione collegati al servizio. Per ulteriori informazioni, consulta la sezione relativa all'[utilizzo di ruoli collegati ai servizi per AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
Se crei o aggiorni un ruolo con la console, AWS Config lo allega automaticamente. **AWSServiceRoleForConfig**
Se utilizzi il AWS CLI, usa il `attach-role-policy` comando e specifica l'Amazon Resource Name (ARN) per: **AWSServiceRoleForConfig**
```
$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForConfig
```
### Gestione delle autorizzazioni per la registrazione dei bucket S3
AWS Config registra e invia notifiche quando un bucket S3 viene creato, aggiornato o eliminato.
Si consiglia di utilizzare il ruolo collegato al AWS Config servizio:. `AWSServiceRoleForConfig` I ruoli collegati ai servizi sono predefiniti e includono tutte le autorizzazioni necessarie per chiamare altri. AWS Config Servizi AWS Il ruolo AWS Config collegato al servizio è richiesto per i registratori di configurazione collegati al servizio. Per ulteriori informazioni, consulta la sezione relativa all'[utilizzo di ruoli collegati ai servizi per AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
# Aggiornamento del ruolo IAM per il registratore di configurazione gestito dal cliente
Puoi aggiornare il ruolo IAM utilizzato dal registratore di configurazione gestito dal cliente. Prima di aggiornare il ruolo IAM, assicurati di aver creato un nuovo ruolo che sostituisca il precedente. È necessario allegare al nuovo ruolo delle politiche che concedono le autorizzazioni per AWS Config registrare le configurazioni e distribuirle al canale di distribuzione.
Per ulteriori informazioni su come creare un ruolo IAM e collegarvi le relative policy richieste, consulta [Fase 3: Creazione di un ruolo IAM](gs-cli-prereq.md#gs-cli-create-iamrole).
**Nota**
Per trovare l'ARN di un ruolo IAM esistente, vai alla console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) Nel riquadro di navigazione scegliere **Roles (Ruoli)**. Quindi scegliere il nome del ruolo desiderato e individuare l'ARN nella parte superiore della pagina di **Riepilogo**.
## Aggiornamento del ruolo IAM
Puoi aggiornare il tuo ruolo IAM utilizzando Console di gestione AWS o il AWS CLI.
------
#### [ To update the IAM role (Console) ]
1. Accedi a Console di gestione AWS e apri la AWS Config console da [https://console.aws.amazon.com/config/casa](https://console.aws.amazon.com/config/home).
1. Scegliere **Settings (Impostazioni)** nel riquadro di navigazione.
1. Nella scheda **Customer managed recorder**, scegli **Modifica** nella pagina Impostazioni.
1. Nella sezione **Governance dei dati**, scegli il ruolo IAM per AWS Config:
+ **Usa un ruolo esistente AWS Config collegato al servizio**: AWS Config crea un ruolo con le autorizzazioni richieste.
+ **Scegli un ruolo dal tuo account**: per i **ruoli esistenti**, scegli un ruolo IAM nel tuo account.
1. Scegli **Save** (Salva).
------
#### [ To update the IAM role (AWS CLI) ]
Utilizzare il comando [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html) e specificare l'Amazon Resource Name (ARN) del nuovo ruolo:
```
$ aws configservice put-configuration-recorder --configuration-recorder name=configRecorderName,roleARN=arn:aws:iam::012345678912:role/myConfigRole
```
------
# Autorizzazioni per il bucket Amazon S3 per il canale di distribuzione AWS Config
**Importante**
Questa pagina riguarda la configurazione di Amazon S3 Bucket per il AWS Config canale di distribuzione. Questa pagina non riguarda il tipo di `AWS::S3::Bucket` risorsa che il registratore di AWS Config configurazione può registrare.
I bucket e gli oggetti Amazon S3 sono privati per impostazione predefinita. Solo chi ha creato Account AWS il bucket (il proprietario della risorsa) dispone delle autorizzazioni di accesso. I proprietari delle risorse possono concedere l'accesso ad altre risorse e utenti creando politiche di accesso.
Quando crea AWS Config automaticamente un bucket S3 per te, aggiunge le autorizzazioni richieste. Tuttavia, se specifichi un bucket S3 esistente, devi aggiungere queste autorizzazioni manualmente.
**Topics**
+ [Quando si usano i ruoli IAM](#required-permissions-in-another-account)
+ [Quando si utilizzano i ruoli collegati ai servizi](#required-permissions-using-servicelinkedrole)
+ [Concessione dell' AWS Config accesso](#granting-access-in-another-account)
+ [Distribuzione tra più account.](#required-permissions-cross-account)
## Autorizzazioni richieste per il bucket Amazon S3 quando si usano i ruoli IAM
AWS Config utilizza il ruolo IAM che hai assegnato al registratore di configurazione per fornire la cronologia di configurazione e le istantanee ai bucket S3 del tuo account. Per la consegna tra più account, tenta AWS Config innanzitutto di utilizzare il ruolo IAM assegnato. Se la bucket policy non concede `WRITE` l'accesso al ruolo IAM, AWS Config utilizza il `config.amazonaws.com` service principal. La bucket policy deve concedere `WRITE` l'accesso per `config.amazonaws.com` completare la consegna. Una volta completata con successo la consegna, AWS Config mantiene la proprietà di tutti gli oggetti che consegna al bucket S3 multiaccount.
AWS Config chiama l'[HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RESTBucketHEAD.html)API Amazon S3 con il ruolo IAM assegnato al registratore di configurazione per confermare se il bucket S3 esiste e la sua posizione. Se non disponi delle autorizzazioni necessarie AWS Config per la conferma, vedrai un `AccessDenied` errore nei tuoi log. AWS CloudTrail Tuttavia, AWS Config può comunque fornire la cronologia delle configurazioni e le istantanee anche se AWS Config non dispone delle autorizzazioni necessarie per confermare l'esistenza del bucket S3 e la sua posizione.
**Autorizzazioni minime**
L'`HeadBucket`API Amazon S3 richiede l'azione`s3:ListBucket`.
## Autorizzazioni richieste per il bucket Amazon S3 quando si usano i ruoli collegati ai servizi
Il ruolo AWS Config collegato al servizio non dispone dell'autorizzazione per inserire oggetti nei bucket Amazon S3. Se configuri AWS Config utilizzando un ruolo collegato al servizio, AWS Config utilizzerà il `config.amazonaws.com` service principal per fornire la cronologia e le istantanee della configurazione. La policy del bucket S3 nel tuo account o nelle destinazioni tra account deve includere le autorizzazioni per consentire al responsabile del servizio di scrivere oggetti. AWS Config
## Concessione dell' AWS Config accesso al bucket Amazon S3
Completa i seguenti passaggi AWS Config per fornire la cronologia di configurazione e le istantanee a un bucket Amazon S3.
1. Accedi Console di gestione AWS utilizzando l'account che ha il bucket S3.
1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. **Seleziona il bucket che desideri utilizzare AWS Config per fornire gli elementi di configurazione, quindi scegli Proprietà.**
1. Seleziona **Autorizzazioni**.
1. Scegliere **Edit Bucket Policy** (Modifica policy bucket).
1. Copiare la seguente policy nella finestra **Bucket Policy Editor (Editor policy del bucket)**.
**Best practice di sicurezza**
Ti consigliamo vivamente di limitare l'accesso nella policy del bucket con questa condizione. `AWS:SourceAccount` Ciò garantisce che AWS Config venga concesso l'accesso solo per conto degli utenti previsti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSConfigBucketPermissionsCheck",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
},
{
"Sid": "AWSConfigBucketExistenceCheck",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
},
{
"Sid": "AWSConfigBucketDelivery",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
------
1. Sostituire i seguenti valori nella policy del bucket:
+ *amzn-s3-demo-bucket*— Nome del bucket Amazon S3 in cui AWS Config verranno fornite la cronologia di configurazione e le istantanee.
+ *[optional] prefix*— Un'aggiunta opzionale alla chiave oggetto Amazon S3 che aiuta a creare un'organizzazione simile a una cartella nel bucket.
+ *sourceAccountID*— ID dell'account a cui AWS Config verranno fornite la cronologia di configurazione e le istantanee.
1. Scegliere **Save (Salva)** e **Close (Chiudi)**.
La `AWS:SourceAccount` condizione limita AWS Config le operazioni a quanto specificato. Account AWS Per le configurazioni con più account all'interno di un'organizzazione che effettua consegne su un singolo bucket S3, utilizza i ruoli IAM con chiavi di AWS Organizations condizione anziché i ruoli collegati ai servizi. Ad esempio, `AWS:PrincipalOrgID`. *Per ulteriori informazioni, consulta [Gestire le autorizzazioni di accesso per un'organizzazione nella Guida per](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html) l'utente.AWS Organizations *
La `AWS:SourceArn` condizione limita AWS Config le operazioni a canali di distribuzione specifici. Il `AWS:SourceArn` formato è il seguente:`arn:aws:config:sourceRegion:123456789012`.
Ad esempio, per limitare l'accesso del bucket S3 a un canale di consegna nella regione Stati Uniti orientali (Virginia settentrionale) per l'account 123456789012, aggiungi la seguente condizione:
```
"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:"}
```
## Autorizzazioni richieste per il bucket Amazon S3 per la distribuzione su più account
Quando AWS Config è configurato per fornire la cronologia di configurazione e le istantanee a un bucket Amazon S3 in un account diverso (configurazione tra account), in cui il registratore di configurazione e il bucket S3 specificato per il canale di distribuzione sono diversi, sono richieste le seguenti autorizzazioni: Account AWS
+ Il ruolo IAM assegnato al registratore di configurazione richiede un'autorizzazione esplicita per eseguire l'operazione. `s3:ListBucket` Questo perché AWS Config chiama l'[HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RESTBucketHEAD.html)API Amazon S3 con questo ruolo IAM per determinare la posizione del bucket.
+ La policy del bucket S3 deve includere le autorizzazioni per il ruolo IAM assegnato al registratore di configurazione.
Di seguito è riportato un esempio di configurazione della bucket policy:
```
{
"Sid": "AWSConfigBucketExistenceCheck",
"Effect": "Allow",
"Principal": {
"AWS": "IAM Role-Arn assigned to the configuration recorder"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
}
```
# Autorizzazioni per la chiave KMS per il canale di distribuzione AWS Config
Utilizza le informazioni contenute in questo argomento se desideri creare una policy per una AWS KMS chiave per il tuo bucket S3 che ti consenta di utilizzare la crittografia basata su KMS sugli oggetti forniti da AWS Config per la consegna dei bucket S3.
**Contents**
+ [
## Autorizzazioni richieste per la chiave KMS quando si utilizzano i ruoli IAM (distribuzione dei bucket S3)
](#required-permissions-s3-kms-key-using-iam-role)
+ [
## Autorizzazioni richieste per la AWS KMS chiave quando si utilizzano ruoli collegati ai servizi (S3 Bucket Delivery)
](#required-permissions-s3-kms-key-using-servicelinkedrole)
+ [
## Concessione dell' AWS Config accesso alla chiave AWS KMS
](#granting-access-s3-kms-key)
## Autorizzazioni richieste per la chiave KMS quando si utilizzano i ruoli IAM (distribuzione dei bucket S3)
Se configuri AWS Config utilizzando un ruolo IAM, puoi allegare la seguente politica di autorizzazione alla chiave KMS:
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigKMSPolicy",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Effect": "Allow",
"Resource": "*myKMSKeyARN*",
"Principal": {
"AWS": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
]
}
```
**Nota**
Se il ruolo IAM, la policy del bucket Amazon S3 o la AWS KMS chiave non forniscono un accesso appropriato a AWS Config, il tentativo AWS Config di inviare le informazioni di configurazione al bucket Amazon S3 avrà esito negativo. In questo caso, AWS Config invia nuovamente le informazioni, questa volta come principale del servizio. AWS Config In questo caso, è necessario allegare una politica di autorizzazione, menzionata di seguito, alla AWS KMS chiave per concedere AWS Config l'accesso per utilizzare la chiave quando si forniscono informazioni al bucket Amazon S3.
## Autorizzazioni richieste per la AWS KMS chiave quando si utilizzano ruoli collegati ai servizi (S3 Bucket Delivery)
Il ruolo AWS Config collegato al servizio non dispone dell'autorizzazione per accedere alla chiave. AWS KMS Pertanto, se configuri AWS Config l'utilizzo di un ruolo collegato al servizio, AWS Config invierà invece le informazioni come responsabile del AWS Config servizio. Dovrai allegare una politica di accesso, menzionata di seguito, alla AWS KMS chiave per concedere AWS Config l'accesso per utilizzare la AWS KMS chiave per fornire informazioni al bucket Amazon S3.
## Concessione dell' AWS Config accesso alla chiave AWS KMS
Questa policy consente di AWS Config utilizzare una AWS KMS chiave per fornire informazioni a un bucket Amazon S3.
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigKMSPolicy",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "myKMSKeyARN",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
Sostituisci i seguenti valori nella policy della chiave:
+ *myKMSKeyARN*— L'ARN della AWS KMS chiave utilizzata per crittografare i dati nel bucket Amazon S3 a cui AWS Config consegnerà gli elementi di configurazione.
+ *sourceAccountID*— L'ID dell'account a cui AWS Config verranno consegnati gli elementi di configurazione.
È possibile utilizzare la `AWS:SourceAccount` condizione nella politica AWS KMS chiave riportata sopra per limitare l'interazione del principale del servizio Config con la AWS KMS chiave solo durante l'esecuzione di operazioni per conto di account specifici.
AWS Config supporta anche la `AWS:SourceArn` condizione che limita il principale del servizio Config a interagire solo con il bucket Amazon S3 quando esegue operazioni per conto di canali di distribuzione specifici. AWS Config Quando si utilizza l'entità del AWS Config servizio, la `AWS:SourceArn` proprietà verrà sempre impostata su `arn:aws:config:sourceRegion:sourceAccountID:*` dove si `sourceRegion` trova la regione del canale di consegna e `sourceAccountID` sull'ID dell'account contenente il canale di consegna. Per ulteriori informazioni sui canali AWS Config di distribuzione, consulta [Gestione del canale di consegna](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html). Ad esempio, aggiungi la seguente condizione per limitare il principale del servizio Config in modo che interagisca con il bucket Amazon S3 solo per conto di un canale di distribuzione nella regione `us-east-1` dell'account `123456789012`: `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`.
# Autorizzazioni per l'argomento Amazon SNS
**Amazon SNS crittografato non supportato**
AWS Config non supporta argomenti crittografati di Amazon SNS.
Questo argomento descrive come configurare la distribuzione AWS Config di argomenti Amazon SNS di proprietà di un account diverso. AWS Config deve disporre delle autorizzazioni necessarie per inviare notifiche a un argomento di Amazon SNS.
Quando la AWS Config console crea un nuovo argomento Amazon SNS per te, AWS Config concede le autorizzazioni necessarie. Se scegli un argomento Amazon SNS esistente, assicurati che l'argomento Amazon SNS includa le autorizzazioni richieste e segua le best practice di sicurezza.
**Gli argomenti di Amazon SNS interregionali non sono supportati**
AWS Config attualmente supporta solo l'accesso all'interno dello stesso account Regione AWS e tra più account.
**Contents**
+ [
## Autorizzazioni richieste per l'argomento Amazon SNS quando si usano i ruoli IAM
](#required-permissions-snstopic-in-another-account)
+ [
## Autorizzazioni richieste per l'argomento Amazon SNS quando si utilizzano i ruoli collegati ai servizi
](#required-permissions-snstopic-using-servicelinkedrole)
+ [
## Concessione dell' AWS Config accesso all'argomento Amazon SNS
](#granting-access-snstopic)
+ [
## Risoluzione dei problemi legati agli argomenti Amazon SNS
](#troubleshooting-for-snstopic-using-servicelinkedrole)
## Autorizzazioni richieste per l'argomento Amazon SNS quando si usano i ruoli IAM
Puoi collegare una policy di autorizzazione all'argomento Amazon SNS di proprietà di un altro account. Se desideri utilizzare un argomento Amazon SNS di un altro account, assicurati di collegare la seguente policy all'argomento Amazon SNS esistente.
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigSNSPolicy",
"Action": [
"sns:Publish"
],
"Effect": "Allow",
"Resource": "arn:aws:sns:region:account-id:myTopic",
"Principal": {
"AWS": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
]
}
```
Per la `Resource` chiave, *account-id* è il numero di AWS account del proprietario dell'argomento. Per*account-id1*, e *account-id2**account-id3*, usa il comando Account AWS che invierà dati a un argomento di Amazon SNS. Puoi sostituire e con valori appropriati. *region* *myTopic*
Quando AWS Config invia una notifica a un argomento Amazon SNS, tenta innanzitutto di utilizzare il ruolo IAM, ma questo tentativo fallisce se il ruolo o Account AWS non dispone dell'autorizzazione per pubblicare sull'argomento. In questo caso, AWS Config invia nuovamente la notifica, questa volta come nome principale AWS Config del servizio (SPN). Prima che la pubblicazione possa andare a buon fine, la policy di accesso per l'argomento deve concedere l'accesso `sns:Publish` al nome del principale `config.amazonaws.com`. È necessario collegare una policy di accesso, descritta nella sezione successiva, all'argomento Amazon SNS per concedere ad AWS Config l'accesso all'argomento Amazon SNS se il ruolo IAM non è autorizzato a pubblicare sull'argomento.
## Autorizzazioni richieste per l'argomento Amazon SNS quando si utilizzano i ruoli collegati ai servizi
Il ruolo AWS Config collegato al servizio non dispone dell'autorizzazione per accedere all'argomento Amazon SNS. Quindi, se configuri AWS Config utilizzando un ruolo collegato al servizio (SLR), AWS Config invierà invece le informazioni come responsabile del servizio. AWS Config Dovrai allegare una politica di accesso, menzionata di seguito, all'argomento Amazon SNS per concedere AWS Config l'accesso all'invio di informazioni all'argomento Amazon SNS.
Per la configurazione nello stesso account, quando l'argomento Amazon SNS e il ruolo SLR si trovano nello stesso account e la policy di Amazon SNS concede l'autorizzazione "`sns:Publish`" dell'SLR, non è necessario utilizzare l'SPN AWS Config . La policy di autorizzazione riportata di seguito e le raccomandazioni sulle best practice di sicurezza riguardano la configurazione tra più account.
## Concessione dell' AWS Config accesso all'argomento Amazon SNS
Questa politica consente di AWS Config inviare una notifica a un argomento di Amazon SNS. Per concedere AWS Config l'accesso all'argomento Amazon SNS da un altro account, dovrai allegare la seguente politica di autorizzazione.
**Nota**
Come best practice in materia di sicurezza, si consiglia vivamente di assicurarsi che AWS Config acceda alle risorse per conto degli utenti previsti solo limitando l'accesso agli account indicati nelle condizioni. `AWS:SourceAccount`
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigSNSPolicy",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:region:account-id:myTopic",
"Condition" : {
"StringEquals": {
"AWS:SourceAccount": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
}
]
}
```
Per la `Resource` chiave, *account-id* è il numero di AWS account del proprietario dell'argomento. Per*account-id1*, e *account-id2**account-id3*, usa il comando Account AWS che invierà dati a un argomento di Amazon SNS. Puoi sostituire e con valori appropriati. *region* *myTopic*
Puoi utilizzare la `AWS:SourceAccount` condizione della precedente policy tematica di Amazon SNS per limitare l'interazione del nome principale del AWS Config servizio (SPN) solo con l'argomento Amazon SNS durante l'esecuzione di operazioni per conto di account specifici.
AWS Config supporta anche la `AWS:SourceArn` condizione che limita il nome principale del AWS Config servizio (SPN) all'interazione con il bucket S3 solo quando si eseguono operazioni per conto di canali di distribuzione specifici. AWS Config Quando si utilizza il nome principale del AWS Config servizio (SPN), la `AWS:SourceArn` proprietà verrà sempre impostata su `arn:aws:config:sourceRegion:sourceAccountID:*` dove si `sourceRegion` trova la regione del canale di consegna e `sourceAccountID` sull'ID dell'account contenente il canale di consegna. Per ulteriori informazioni sui canali di AWS Config distribuzione, consulta [Gestione del canale di consegna](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html). Ad esempio, aggiungi la seguente condizione per limitare l'interazione del nome principale del AWS Config servizio (SPN) con il tuo bucket S3 solo per conto di un canale di distribuzione nella `us-east-1` regione dell'account:. `123456789012` `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`
## Risoluzione dei problemi legati agli argomenti Amazon SNS
AWS Config deve disporre delle autorizzazioni per inviare notifiche a un argomento di Amazon SNS. Se un argomento Amazon SNS non può ricevere notifiche, verifica che il ruolo IAM che AWS Config stava assumendo disponga delle autorizzazioni richieste. `sns:Publish`
# Risoluzione dei problemi AWS Config di identità e accesso
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con un AWS Config IAM.
**Topics**
+ [
## Non sono autorizzato a eseguire alcuna azione in AWS Config
](#security_iam_troubleshoot-no-permissions)
+ [
## Non sono autorizzato a eseguire iam: PassRole
](#security_iam_troubleshoot-passrole)
+ [
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie AWS Config risorse
](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire alcuna azione in AWS Config
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L'errore di esempio seguente si verifica quando l'utente `mateojackson` IAM prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `config:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: config:GetWidget on resource: my-example-widget
```
In questo caso, la policy deve essere aggiornata in modo che Mateo possa accedere alla risorsa `my-example-widget` mediante l'operazione `config:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione `iam:PassRole`, le tue policy devono essere aggiornate per poter passare un ruolo a AWS Config.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` cerca di utilizzare la console per eseguire un'operazione in AWS Config. Tuttavia, l'operazione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie AWS Config risorse
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se AWS Config supporta queste funzionalità, consulta. [Come AWS Config funziona con IAM](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.
# Utilizzo dei ruoli collegati ai servizi per AWS Config
AWS Config utilizza ruoli [collegati ai servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Config I ruoli collegati ai servizi sono predefiniti AWS Config e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione AWS Config perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Config definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Config Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni relative ai ruoli collegati al servizio per AWS Config
AWS Config utilizza il ruolo collegato al servizio denominato **AwsServiceRoleForConfig**: AWS Config utilizza questo ruolo collegato al servizio per chiamare altri servizi per conto dell'utente. AWS Per visualizzare gli ultimi aggiornamenti, vedere. [AWS Config aggiornamenti alle politiche AWS gestite](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
Ai fini dell'assunzione del ruolo **AwsServiceRoleForConfig**, il ruolo collegato ai servizi `config.amazonaws.com`considera attendibile il servizio.
La politica di autorizzazione per il `AwsServiceRoleForConfig` ruolo contiene autorizzazioni di sola lettura e di sola scrittura per le risorse e autorizzazioni di sola lettura per AWS Config le risorse di altri servizi che supportano. AWS Config [Per visualizzare la politica gestita per, vedere Politiche gestite per. **AwsServiceRoleForConfig**AWSAWS Config](https://docs.aws.amazon.com/config/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSConfigServiceRolePolicy)
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
Per utilizzare un ruolo collegato al servizio con AWS Config, devi configurare le autorizzazioni sul tuo bucket Amazon S3 e sull'argomento Amazon SNS. Per ulteriori informazioni, consultare [Autorizzazioni richieste per il bucket Amazon S3 quando si usano i ruoli collegati ai serviziAutorizzazioni richieste per il bucket Amazon S3 per la distribuzione su più account](s3-bucket-policy.md#required-permissions-using-servicelinkedrole), [Autorizzazioni richieste per la AWS KMS chiave quando si utilizzano ruoli collegati ai servizi (S3 Bucket Delivery)](s3-kms-key-policy.md#required-permissions-s3-kms-key-using-servicelinkedrole) e [Autorizzazioni richieste per l'argomento Amazon SNS quando si utilizzano i ruoli collegati ai servizi](sns-topic-policy.md#required-permissions-snstopic-using-servicelinkedrole).
## Creazione di un ruolo collegato ai servizi per AWS Config
Nella CLI IAM o nell’API IAM, crea un ruolo collegato al servizio con il nome servizio `config.amazonaws.com`. Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l'utente IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
## Modifica di un ruolo collegato al servizio per AWS Config
AWS Config non consente di modificare il ruolo collegato al **AwsServiceRoleForConfig**servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per AWS Config
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il AWS Config servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare AWS Config le risorse utilizzate da **AwsServiceRoleForConfig****
Verificare che `ConfigurationRecorders` non stia utilizzano ruolo collegato ai servizi. È possibile utilizzare la AWS Config console per arrestare il registratore di configurazione. Per arrestare la registrazione, in **La registrazione è attivata**, scegli **Disattiva.**
È possibile eliminare l' AWS Config API in `ConfigurationRecorder` uso. Per eliminare, utilizza il comando `delete-configuration-recorder`.
```
$ aws configservice delete-configuration-recorder --configuration-recorder-name default
```
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Usa la console IAM, la CLI IAM oppure l’API IAM per eliminare il ruolo collegato al servizio AwsServiceRoleForConfig. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
# Risposta agli incidenti in AWS Config
Per AWS, la sicurezza ha la massima priorità. Come parte del [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model) del AWS cloud, AWS gestisce un data center, una rete e un'architettura software che soddisfa i requisiti delle organizzazioni più sensibili alla sicurezza. AWS è responsabile di qualsiasi risposta agli incidenti relativi al servizio stesso AWS Config . Inoltre, in qualità di AWS cliente, condividi la responsabilità di mantenere la sicurezza nel cloud. Ciò significa che controllate la sicurezza che scegliete di implementare utilizzando gli AWS strumenti e le funzionalità a cui avete accesso e siete responsabili della risposta agli incidenti dal punto di vista del modello di responsabilità condivisa.
Stabilendo una linea di base di sicurezza che soddisfi gli obiettivi delle applicazioni eseguite nel cloud, l’utente è in grado di rilevare deviazioni a cui è possibile rispondere. Poiché la risposta agli incidenti di sicurezza può essere un argomento complesso, ti invitiamo a consultare le seguenti risorse in modo da comprendere meglio l'impatto che la risposta agli incidenti (IR) e le tue scelte hanno sugli obiettivi aziendali: [AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html), white paper sulle [migliori pratiche di AWS sicurezza](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc) e white paper [Security Perspective of the AWS Cloud Adoption Framework](https://d1.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf) (CAF).
# Convalida della conformità per AWS Config
I revisori di terze parti valutano la sicurezza e la conformità nell' AWS Config ambito di più programmi di AWS conformità. Questi includono SOC, PCI, FedRAMP, HIPAA e altri.
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
# Resilienza in AWS Config
L'infrastruttura AWS globale è costruita attorno a AWS regioni e zone di disponibilità. AWS Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, puoi progettare e gestire applicazioni e database che eseguono automaticamente il failover tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
[Per ulteriori informazioni su AWS regioni e zone di disponibilità, consulta Global Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
# Sicurezza dell'infrastruttura in AWS Config
In quanto servizio gestito, AWS Config è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzate chiamate API AWS pubblicate per accedere AWS Config attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
## Analisi della configurazione e delle vulnerabilità
Per AWS Config, AWS gestisce attività di sicurezza di base come l'applicazione di patch al sistema operativo (OS) guest e al database, la configurazione del firewall e il disaster recovery.
# Prevenzione del problema "confused deputy" tra servizi
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione intersettoriale può portare al confuso problema del sostituto. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account.
Si consiglia di utilizzare [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)le chiavi di contesto della condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale nelle politiche delle risorse per limitare le autorizzazioni che AWS Config forniscono un altro servizio alla risorsa. Utilizzare `aws:SourceArn` se si desidera consentire l’associazione di una sola risorsa all’accesso tra servizi. Utilizzare `aws:SourceAccount` se si desidera consentire l’associazione di qualsiasi risorsa in tale account all’uso tra servizi.
Il modo più efficace per proteggersi dal problema “confused deputy” è quello di utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio, `arn:aws:servicename:*:123456789012:*`.
Se il valore `aws:SourceArn` non contiene l’ID account, ad esempio un ARN di un bucket Amazon S3, è necessario utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni.
L'esempio seguente mostra come utilizzare le chiavi di contesto `aws:SourceArn` e `aws:SourceAccount` global condition AWS Config per evitare il confuso problema vice: [concedere AWS Config l'accesso al bucket Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-policy.html).
# Best practice di sicurezza per AWS Config
AWS Config fornisce una serie di funzionalità di sicurezza da considerare durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l’ambiente, sono da considerare come considerazioni utili anziché prescrizioni.
+ Sfrutta il tagging for AWS Config, che semplifica la gestione, la ricerca e il filtraggio delle risorse.
+ Verifica che i [canali di distribuzione](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html) siano stati impostati correttamente e, una volta confermati, verifica che [la registrazione AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) sia corretta.
Per ulteriori informazioni, consulta il blog sulle [best practice di AWS Config](https://aws.amazon.com/blogs/mt/aws-config-best-practices/).