Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in AWS Device Farm
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per ulteriori informazioni sui programmi di conformità applicabili AWS Device Farm, consulta [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la responsabilità dell’utente è determinata dal servizio AWS utilizzato. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa quando si utilizza Device Farm. I seguenti argomenti mostrano come configurare Device Farm per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche a usare altri servizi AWS che ti aiutano a monitorare e proteggere le tue risorse Device Farm.
**Topics**
+ [
# Gestione delle identità e degli accessi in AWS Device Farm
](security-iam.md)
+ [
# Convalida della conformità per AWS Device Farm
](ATP-compliance.md)
+ [
# Protezione dei dati in AWS Device Farm
](data-protection.md)
+ [
# Resilienza in AWS Device Farm
](disaster-recovery-resiliency.md)
+ [
# Sicurezza dell'infrastruttura in AWS Device Farm
](infrastructure-security.md)
+ [
# Analisi e gestione delle vulnerabilità di configurazione in Device Farm
](security-vulnerability-analysis-and-management.md)
+ [
# Risposta agli incidenti in Device Farm
](security-incident-response.md)
+ [
# Registrazione e monitoraggio in Device Farm
](security-logging-monitoring.md)
+ [
# Best practice di sicurezza per Device Farm
](security-best-practices.md)
# Gestione delle identità e degli accessi in AWS Device Farm
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi di identità e accesso ad AWS Device Farm](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona AWS Device Farm con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità di AWS Device Farm](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*.
### Utenti IAM e gruppi
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) per l'*utente IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
# Come funziona AWS Device Farm con IAM
Prima di utilizzare IAM per gestire l'accesso a Device Farm, è necessario comprendere quali funzionalità IAM sono disponibili per l'uso con Device Farm. Per avere una visione di alto livello di come Device Farm e altri AWS servizi funzionano con IAM, consulta [AWS Services That Work with IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
**Topics**
+ [
## Politiche basate sull'identità di Device Farm
](#security_iam_service-with-iam-id-based-policies)
+ [
## Politiche basate sulle risorse di Device Farm
](#security_iam_service-with-iam-resource-based-policies)
+ [
## Liste di controllo accessi
](#security_iam_service-with-iam-acls)
+ [
## Autorizzazione basata sui tag Device Farm
](#security_iam_service-with-iam-tags)
+ [
## Ruoli IAM di Device Farm
](#security_iam_service-with-iam-roles)
## Politiche basate sull'identità di Device Farm
Con le policy IAM basate su identità, puoi specificare operazioni e risorse consentite o rifiutate, nonché le condizioni in base alle quali le operazioni sono consentite o rifiutate. Device Farm supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento degli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le azioni politiche in Device Farm utilizzano il seguente prefisso prima dell'azione:`devicefarm:`. Ad esempio, per concedere a qualcuno il permesso di avviare sessioni Selenium con l'operazione dell'`CreateTestGridUrl`API di test del browser desktop Device Farm, includi l'`devicefarm:CreateTestGridUrl`azione nella politica. Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Device Farm definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
```
"Action": [
"devicefarm:action1",
"devicefarm:action2"
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `List`, includi la seguente azione:
```
"Action": "devicefarm:List*"
```
Per visualizzare un elenco delle azioni di Device Farm, consulta [Azioni definite da AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html#awsdevicefarm-actions-as-permissions) nello *IAM Service Authorization Reference*.
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
La risorsa dell'istanza Amazon EC2 ha il seguente ARN:
```
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
```
Per ulteriori informazioni sul formato di ARNs, consulta [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Ad esempio, per specificare l'istanza `i-1234567890abcdef0` nell'istruzione, utilizza il seguente ARN:
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0"
```
Per specificare tutti le istanze che appartengono ad un account specifico, utilizza il carattere jolly (\$1):
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*"
```
Alcune azioni di Device Farm, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa. In questi casi, è necessario utilizzare il carattere jolly (\$1).
```
"Resource": "*"
```
Molte operazioni API di Amazon EC2 coinvolgono più risorse. Ad esempio, `AttachVolume` collega un volume Amazon EBS a un'istanza, pertanto un utente IAM dovrà disporre delle autorizzazioni per utilizzare il volume e l'istanza. Per specificare più risorse in un'unica istruzione, separale ARNs con virgole.
```
"Resource": [
"resource1",
"resource2"
```
Per visualizzare un elenco dei tipi di risorse Device Farm e relativi ARNs, consulta [Tipi di risorse definiti da AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html#awsdevicefarm-resources-for-iam-policies) nello *IAM Service Authorization Reference*. Per sapere con quali azioni è possibile specificare l'ARN di ogni risorsa, consulta [Actions defined by AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html#awsdevicefarm-actions-as-permissions) nello *IAM Service Authorization* Reference.
### Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Device Farm definisce il proprio set di chiavi di condizione e supporta anche l'uso di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta [AWS Global Condition Context Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *IAM User Guide*.
Per visualizzare un elenco delle chiavi di condizione di Device Farm, consulta [Condition keys for AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html#awsdevicefarm-policy-keys) nello *IAM Service Authorization Reference*. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Azioni definite da AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html#awsdevicefarm-actions-as-permissions) nello *IAM Service Authorization Reference*.
### Esempi
Per visualizzare esempi di policy basate sull'identità di Device Farm, vedere. [Esempi di policy basate sull'identità di AWS Device Farm](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse di Device Farm
Device Farm non supporta politiche basate sulle risorse.
## Liste di controllo accessi
Device Farm non supporta gli elenchi di controllo degli accessi (ACLs).
## Autorizzazione basata sui tag Device Farm
È possibile allegare tag alle risorse di Device Farm o passare i tag in una richiesta a Device Farm. Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Per ulteriori informazioni sull'etichettatura delle risorse di Device Farm, vedere[Etichettatura delle risorse di AWS Device Farm](tagging.md).
Per visualizzare una policy basata sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta [Visualizzazione dei progetti di test del browser desktop Device Farm in base ai tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-project-tags).
## Ruoli IAM di Device Farm
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità nel tuo AWS account che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee con Device Farm
Device Farm supporta l'uso di credenziali temporanee.
È possibile utilizzare credenziali temporanee per accedere con la federazione e assumere un ruolo IAM o un ruolo tra account. Puoi ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come o. [AssumeRole[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)
### Ruoli collegati ai servizi
[I ruoli collegati ai](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare, ma non modificare, le autorizzazioni per i ruoli collegati ai servizi.
Device Farm utilizza ruoli collegati ai servizi nella funzionalità di test del browser desktop Device Farm. Per informazioni su questi ruoli, consulta [Using Service-Linked Roles in Device Farm Desktop Browser Testing](https://docs.aws.amazon.com//devicefarm/latest/testgrid/using-service-linked-roles.html) nella guida per sviluppatori.
### Ruoli di servizio
Device Farm non supporta i ruoli di servizio.
Questa funzionalità consente a un servizio di assumere un [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questo potrebbe pregiudicare la funzionalità del servizio.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
La tabella seguente descrive le policy gestite da Device Farm in AWS.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSDeviceFarmFullAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AWSDeviceFarmFullAccess$jsonEditor) | Fornisce accesso completo a tutte le operazioni di AWS Device Farm. | 15 luglio 2015 |
| [AWSServiceRoleForDeviceFarmTestGrid](https://docs.aws.amazon.com//devicefarm/latest/testgrid/using-service-linked-roles.html) | Consente a Device Farm di accedere alle risorse AWS per tuo conto. | 20 maggio 2021 |
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Esempi di policy basate sull'identità di AWS Device Farm
Per impostazione predefinita, gli utenti e i ruoli IAM non dispongono dell'autorizzazione per creare o modificare risorse Device Farm. Inoltre, non possono eseguire attività utilizzando l' AWS API Console di gestione AWS AWS CLI, o. Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore deve quindi allegare queste policy a utenti o IAM che richiedono tali autorizzazioni.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente IAM*.
**Topics**
+ [
## Best practice delle policy
](#security_iam_service-with-iam-policy-best-practices)
+ [
## Consentire agli utenti di visualizzare le loro autorizzazioni
](#security_iam_id-based-policy-examples-view-own-permissions)
+ [
## Accesso a un progetto di test del browser desktop Device Farm
](#security_iam_id-based-policy-examples-access-one-project)
+ [
## Visualizzazione dei progetti di test del browser desktop Device Farm in base ai tag
](#security_iam_id-based-policy-examples-view-project-tags)
## Best practice delle policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse Device Farm nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa policy include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente l'API o. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Accesso a un progetto di test del browser desktop Device Farm
In questo esempio, vuoi concedere a un utente IAM del tuo AWS account l'accesso a uno dei tuoi progetti di test del browser desktop Device Farm,. `arn:aws:devicefarm:us-west-2:111122223333:testgrid-project:123e4567-e89b-12d3-a456-426655441111` Si desidera che l'account sia in grado di visualizzare gli elementi correlati al progetto.
Oltre all'endpoint `devicefarm:GetTestGridProject`, l'account deve avere gli endpoint `devicefarm:ListTestGridSessions`, `devicefarm:GetTestGridSession`, `devicefarm:ListTestGridSessionActions` e `devicefarm:ListTestGridSessionArtifacts`.
Se si utilizzano sistemi CI, è necessario fornire a ciascuna esecuzione CI credenziali di accesso univoche. Ad esempio, è improbabile che un sistema CI abbia bisogno di più autorizzazioni rispetto a `devicefarm:ScheduleRun` o `devicefarm:CreateUpload`. La seguente policy IAM delinea una policy minima per consentire a un CI runner di avviare un test di un nuovo test dell'app nativa di Device Farm creando un caricamento e utilizzandolo per pianificare un'esecuzione di test:
## Visualizzazione dei progetti di test del browser desktop Device Farm in base ai tag
È possibile utilizzare le condizioni della policy basata sull'identità per controllare l'accesso alle risorse di Device Farm in base ai tag. In questo esempio viene illustrato come creare una policy che consenta la visualizzazione di un progetto e delle relative sessioni. L'autorizzazione viene concessa se il tag `Owner` della risorsa richiesta corrisponde al nome utente dell'account richiedente.
Puoi allegare questa policy agli utenti IAM nel tuo account. Se un utente denominato `richard-roe` tenta di visualizzare un progetto o una sessione di Device Farm, il progetto deve essere taggato `Owner=richard-roe` o`owner=richard-roe`. In caso contrario, a questo utente viene negato l'accesso. La chiave di tag di condizione `Owner` corrisponde sia a `Owner` che a `owner` perché i nomi delle chiavi di condizione non distinguono tra maiuscole e minuscole. Per ulteriori informazioni, consulta la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente di IAM*.
# Risoluzione dei problemi di identità e accesso ad AWS Device Farm
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Device Farm e IAM.
## Non sono autorizzato a eseguire un'azione in Device Farm
Se ricevi un messaggio di errore Console di gestione AWS che indica che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L'amministratore è la persona che ti ha fornito il nome utente e la password.
Il seguente errore di esempio si verifica quando l'utente IAM tenta di utilizzare la console per visualizzare i dettagli di un'esecuzione, ma non dispone `devicefarm:GetRun` delle autorizzazioni. `mateojackson`
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: devicefarm:GetRun on resource: arn:aws:devicefarm:us-west-2:123456789101:run:123e4567-e89b-12d3-a456-426655440000/123e4567-e89b-12d3-a456-426655441111
```
In questo caso, Mateo chiede al suo amministratore di aggiornare le sue policy per poter accedere a `devicefarm:GetRun` sulla risorsa `arn:aws:devicefarm:us-west-2:123456789101:run:123e4567-e89b-12d3-a456-426655440000/123e4567-e89b-12d3-a456-426655441111` mediante l'operazione `devicefarm:GetRun`.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo a Device Farm.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Device Farm. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L'amministratore è colui che ti ha fornito le credenziali di accesso.
## Desidero visualizzare le mie chiavi di accesso
Dopo aver creato le chiavi di accesso utente IAM, è possibile visualizzare il proprio ID chiave di accesso in qualsiasi momento. Tuttavia, non è possibile visualizzare nuovamente la chiave di accesso segreta. Se perdi la chiave segreta, dovrai creare una nuova coppia di chiavi di accesso.
Le chiavi di accesso sono composte da due parti: un ID chiave di accesso (ad esempio `AKIAIOSFODNN7EXAMPLE`) e una chiave di accesso segreta (ad esempio, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). Come un nome utente e una password, è necessario utilizzare sia l'ID chiave di accesso sia la chiave di accesso segreta insieme per autenticare le richieste dell'utente. Gestisci le tue chiavi di accesso in modo sicuro mentre crei il nome utente e la password.
**Importante**
Non fornire le chiavi di accesso a terze parti, neppure per aiutare a [trovare l'ID utente canonico](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId). In questo modo, potresti concedere a qualcuno l'accesso permanente al tuo Account AWS.
Quando crei una coppia di chiavi di accesso, ti viene chiesto di salvare l'ID chiave di accesso e la chiave di accesso segreta in una posizione sicura. La chiave di accesso segreta è disponibile solo al momento della creazione. Se si perde la chiave di accesso segreta, è necessario aggiungere nuove chiavi di accesso all'utente IAM. È possibile avere massimo due chiavi di accesso. Se se ne hanno già due, è necessario eliminare una coppia di chiavi prima di crearne una nuova. Per visualizzare le istruzioni, consulta [Gestione delle chiavi di accesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey) nella *Guida per l'utente di IAM*.
## Sono un amministratore e desidero consentire ad altri di accedere a Device Farm
Per consentire ad altri di accedere a Device Farm, è necessario concedere l'autorizzazione alle persone o alle applicazioni che devono accedere. Se si utilizza AWS IAM Identity Center per gestire persone e applicazioni, si assegnano set di autorizzazioni a utenti o gruppi per definire il loro livello di accesso. I set di autorizzazioni creano e assegnano automaticamente le policy IAM ai ruoli IAM associati alla persona o all'applicazione. Per ulteriori informazioni, consulta [Set di autorizzazioni](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) nella *Guida per l'AWS IAM Identity Center utente*.
Se non utilizzi IAM Identity Center, devi creare entità IAM (utenti o ruoli) per le persone o le applicazioni che necessitano di accesso. È quindi necessario allegare una politica all'entità che concede loro le autorizzazioni corrette in Device Farm. Dopo aver concesso le autorizzazioni, fornite le credenziali all'utente o allo sviluppatore dell'applicazione. Utilizzeranno tali credenziali per accedere. AWS*Per ulteriori informazioni sulla creazione di utenti, gruppi, policy e autorizzazioni IAM, consulta [IAM Identities](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) and [Policies and permissions in IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) User Guide.*
## Desidero consentire a persone esterne al mio AWS account di accedere alle mie risorse di Device Farm
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Device Farm supporta queste funzionalità, vedere[Come funziona AWS Device Farm con IAM](security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
# Convalida della conformità per AWS Device Farm
I revisori esterni valutano la sicurezza e la conformità nell' AWS Device Farm ambito di più programmi di AWS conformità. Questi includono SOC, PCI, FedRAMP, HIPAA e altri. AWS Device Farm non rientra nell'ambito di alcun programma di conformità. AWS
Per un elenco di AWS servizi nell'ambito di programmi di conformità specifici, consulta [Servizi AWS nell'ambito del programma di conformità](https://aws.amazon.com/compliance/services-in-scope/) . Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Download dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
La responsabilità di conformità dell'utente nell'utilizzo di Device Farm è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. AWS fornisce le seguenti risorse per contribuire alla conformità:
+ [Security and Compliance Quick Start Guides (Guide Quick Start Sicurezza e compliance)](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): queste guide alla distribuzione illustrano considerazioni relative all'architettura e forniscono procedure per la distribuzione di ambienti di base incentrati sulla sicurezza e sulla conformità su AWS.
+ [AWS Risorse per](https://aws.amazon.com/compliance/resources/) la per la conformità: questa raccolta di cartelle di lavoro e guide potrebbe riguardare il settore e la località in cui operi.
+ [Evaluating Resources with Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) nella *AWS Config Developer Guide*: AWS Config valuta la conformità delle configurazioni delle risorse alle pratiche interne, alle linee guida del settore e alle normative.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Questo AWS servizio offre una visione completa dello stato di sicurezza dell'utente e consente di verificare la conformità agli standard e alle best practice del settore della sicurezza. AWS
# Protezione dei dati in AWS Device Farm
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati in AWS Device Farm (Device Farm). Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Device Farm o altro Servizi AWS utilizzando la console AWS CLI, l'API o AWS SDKs. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
## Crittografia dei dati in transito
Gli endpoint Device Farm supportano solo HTTPS firmato (SSL/TLS) requests except where otherwise noted. All content retrieved from or placed in Amazon S3 through upload URLs is encrypted using SSL/TLS. Per ulteriori informazioni su come vengono effettuate le richieste HTTPS AWS, consulta [Firmare le richieste AWS API](https://docs.aws.amazon.com//general/latest/gr/signing_aws_api_requests.html) nella Guida AWS generale.
La crittografia e la protezione di tutte le comunicazioni effettuate dalle applicazioni testate, nonché di eventuali applicazioni aggiuntive installate durante l'esecuzione di test sul dispositivo, è responsabilità dell'utente.
## Crittografia dei dati a riposo
La funzionalità di test del browser desktop di Device Farm supporta la crittografia a riposo per gli artefatti generati durante i test.
I dati di test fisici dei dispositivi mobili di Device Farm non sono crittografati quando sono inattivi.
## Conservazione dei dati
I dati in Device Farm vengono conservati per un periodo di tempo limitato. Dopo la scadenza del periodo di conservazione, i dati vengono rimossi dall'archivio di backup di Device Farm.
| Tipo di contenuto | Periodo di conservazione (giorni) | Periodo di conservazione dei metadati (giorni) |
| --- | --- | --- |
| Applicazioni caricate | 30 | 30 |
| Pacchetti di test caricati | 30 | 30 |
| Log | 400 | 400 |
| Registrazioni video e altri artefatti | 400 | 400 |
È responsabilità dell'utente archiviare qualsiasi contenuto che desidera conservare per periodi più lunghi.
## Gestione dei dati
I dati in Device Farm vengono gestiti in modo diverso a seconda delle funzionalità utilizzate. Questa sezione spiega come vengono gestiti i dati durante e dopo l'utilizzo di Device Farm.
### Test del browser desktop
Le istanze utilizzate durante le sessioni Selenium non vengono salvate. Tutti i dati generati come risultato delle interazioni del browser vengono scartati al termine della sessione.
Questa funzionalità attualmente supporta la crittografia a riposo per gli artefatti generati durante il test.
### Test fisici dei dispositivi
Le seguenti sezioni forniscono informazioni sui passaggi AWS necessari per pulire o distruggere i dispositivi dopo aver utilizzato Device Farm.
I dati di test sui dispositivi mobili fisici di Device Farm non sono crittografati quando sono inattivi.
#### Flotte di dispositivi pubblici
Una volta completata l'esecuzione del test, Device Farm esegue una serie di attività di pulizia su ogni dispositivo del parco dispositivi pubblici, inclusa la disinstallazione dell'app. Se non siamo in grado di confermare la disinstallazione della tua app o qualsiasi altra fase di pulizia, il dispositivo viene reimpostato ai valori di fabbrica prima di essere riutilizzato.
**Nota**
In alcuni casi è possibile che i dati persistano tra una sessione e l'altra, soprattutto se si utilizza il sistema del dispositivo al di fuori del contesto dell'app. Per questo motivo, e poiché Device Farm acquisisce video e registri delle attività che si svolgono durante l'utilizzo di ciascun dispositivo, consigliamo di non inserire informazioni sensibili (ad esempio, account Google o ID Apple), informazioni personali e altri dettagli sensibili alla sicurezza durante le sessioni di test automatizzate e di accesso remoto.
#### Dispositivi privati
Dopo la scadenza o la risoluzione del contratto relativo a un dispositivo privato, quest'ultimo viene ritirato dall'uso ed eliminato in modo sicuro in conformità con le policy di eliminazione di AWS. Per ulteriori informazioni, consulta [Dispositivi privati in AWS Device Farm](working-with-private-devices.md).
## Gestione delle chiavi
Attualmente, Device Farm non offre alcuna gestione di chiavi esterne per la crittografia dei dati, a riposo o in transito.
## Riservatezza del traffico Internet
Device Farm può essere configurato, solo per dispositivi privati, per utilizzare gli endpoint Amazon VPC per connettersi alle tue risorse. AWS L'accesso a qualsiasi AWS infrastruttura non pubblica associata al tuo account (ad esempio, EC2 istanze Amazon senza un indirizzo IP pubblico) deve utilizzare un endpoint Amazon VPC. Indipendentemente dalla configurazione degli endpoint VPC, Device Farm isola il traffico dagli altri utenti in tutta la rete Device Farm.
Non è garantito che le connessioni all'esterno della AWS rete siano protette o protette, ed è responsabilità dell'utente proteggere tutte le connessioni Internet create dalle applicazioni.
# Resilienza in AWS Device Farm
L'infrastruttura AWS globale è costruita attorno a AWS regioni e zone di disponibilità. AWS Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, puoi progettare e gestire applicazioni e database che eseguono automaticamente il failover tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
[Per ulteriori informazioni su AWS regioni e zone di disponibilità, consulta Global Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
Poiché Device Farm è disponibile solo nella `us-west-2` regione, si consiglia vivamente di implementare processi di backup e ripristino. Device Farm non dovrebbe essere l'unica fonte di contenuti caricati.
Device Farm non garantisce la disponibilità di dispositivi pubblici. Questi dispositivi vengono inseriti e rimossi dal pool di dispositivi pubblici in base a una varietà di fattori, come il tasso di errore e lo stato di quarantena. Si consiglia di non dipendere dalla disponibilità di un dispositivo nel pool di dispositivi pubblici.
# Sicurezza dell'infrastruttura in AWS Device Farm
In quanto servizio gestito, AWS Device Farm è protetto dalla sicurezza della rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Si utilizzano chiamate API AWS pubblicate per accedere a Device Farm attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. In alternativa è possibile utilizzare [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.
## Sicurezza dell'infrastruttura per il test dei dispositivi fisici
I dispositivi sono fisicamente separati durante il test fisico del dispositivo. L'isolamento della rete impedisce la comunicazione tra dispositivi su reti wireless.
I dispositivi pubblici sono condivisi e Device Farm fa del suo meglio per proteggere i dispositivi nel tempo. Alcune azioni, ad esempio i tentativi di acquisire diritti di amministratore completi su un dispositivo (una pratica denominata *rooting* o *jailbreak*) causano la messa in quarantena dei dispositivi pubblici. Vengono rimossi automaticamente dal pool pubblico e inseriti in revisione manuale.
I dispositivi privati sono accessibili solo da AWS account esplicitamente autorizzati a farlo. Device Farm isola fisicamente questi dispositivi dagli altri dispositivi e li mantiene su una rete separata.
Sui dispositivi gestiti privatamente, i test possono essere configurati per utilizzare un endpoint Amazon VPC per proteggere le connessioni in entrata e in uscita dal tuo account. AWS
## Sicurezza dell'infrastruttura per il test dei browser desktop
Quando si utilizza la caratteristica di test del browser desktop, tutte le sessioni di test sono separate l'una dall'altra. Le istanze Selenium non possono comunicare tra loro senza una terza parte intermedia, esterna a. AWS
Tutto il traffico verso i WebDriver controller Selenium deve essere effettuato tramite l'endpoint HTTPS generato con. `createTestGridUrl`
L'utente ha la responsabilità di assicurarsi che ogni istanza di test di Device Farm abbia accesso sicuro alle risorse da essa testate. Per impostazione predefinita, le istanze di test dei browser desktop di Device Farm hanno accesso alla rete Internet pubblica. Quando colleghi un'istanza a un VPC, si comporta come qualsiasi altra istanza EC2, con accesso alle risorse determinato dalla configurazione del VPC e dai componenti di rete associati. AWS fornisce [gruppi di sicurezza](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html) e [liste di controllo degli accessi di rete (ACLs)](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-network-acls.html) per aumentare la sicurezza nel tuo VPC. I gruppi di sicurezza controllano il traffico in entrata e in uscita per le tue risorse e la rete ACLs controlla il traffico in entrata e in uscita per le tue sottoreti. I gruppi di sicurezza forniscono un controllo di accesso sufficiente per la maggior parte delle sottoreti. Puoi usare la rete ACLs se desideri un ulteriore livello di sicurezza per il tuo VPC. Per linee guida generali sulle best practice di sicurezza per l'utilizzo di Amazon VPCs, consulta [le best practice di sicurezza](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-best-practices.html) per il tuo VPC nella *Amazon Virtual Private Cloud User* Guide.
# Analisi e gestione delle vulnerabilità di configurazione in Device Farm
Device Farm consente di eseguire software che non sono attivamente gestiti o aggiornati dal fornitore, ad esempio il fornitore del sistema operativo, il fornitore dell'hardware o l'operatore telefonico. Device Farm fa del suo meglio per mantenere aggiornato il software, ma non garantisce che una particolare versione del software su un dispositivo fisico sia aggiornata, poiché la progettazione consente l'utilizzo di software potenzialmente vulnerabili.
Ad esempio, se viene eseguito un test su un dispositivo con Android 4.4.2, Device Farm non garantisce che il dispositivo sia aggiornato contro la [vulnerabilità di Android](https://en.wikipedia.org/wiki/Stagefright_(bug)) nota come. StageFright Spetta al fornitore (e talvolta al gestore) del dispositivo fornire aggiornamenti per la sicurezza ai dispositivi. Non è possibile garantire che un'applicazione dannosa che utilizza questa vulnerabilità sia catturata dalla quarantena automatica.
I dispositivi privati vengono mantenuti in base al contratto stipulato con. AWS
*Device Farm compie ogni sforzo possibile per impedire alle applicazioni dei clienti di eseguire azioni come il *rooting o il jailbreak*.* Device Farm rimuove i dispositivi messi in quarantena dal pool pubblico fino a quando non vengono esaminati manualmente.
È tua responsabilità mantenere aggiornate tutte le librerie o le versioni del software che usi nei tuoi test, come Python wheels e Ruby gems. Device Farm consiglia di aggiornare le librerie di test.
Queste risorse consentono di mantenere aggiornate le dipendenze dei test:
+ Per informazioni su come proteggere le gemme Ruby, consulta [Security Practices](https://guides.rubygems.org/security/) sul RubyGems sito web.
+ [Per informazioni sul pacchetto di sicurezza utilizzato da Pipenv e approvato dalla Python Packaging Authority per scansionare il grafico delle dipendenze alla ricerca di vulnerabilità note, vedere Rilevamento delle vulnerabilità di sicurezza su.](https://github.com/pypa/pipenv/blob/master/docs/advanced.rst#-detection-of-security-vulnerabilities) GitHub
+ [Per informazioni sul correttore di dipendenze Maven dell'Open Web Application Security Project (OWASP), consulta OWASP sul sito Web OWASP. DependencyCheck](https://owasp.org/www-project-dependency-check/)
È importante ricordare che anche se un sistema automatizzato non ritiene che ci siano problemi di sicurezza noti, ciò non significa che non ci siano problemi di sicurezza. Utilizzare sempre la due diligence quando si utilizzano librerie o strumenti di terze parti e verificare le firme crittografiche quando possibile o ritenuto necessario.
# Risposta agli incidenti in Device Farm
Device Farm monitora continuamente i dispositivi per rilevare comportamenti che potrebbero indicare problemi di sicurezza. Se AWS viene a conoscenza di un caso in cui i dati del cliente, come i risultati dei test o i file scritti su un dispositivo pubblico, sono accessibili da un altro cliente, AWS contatta i clienti interessati, in base alle politiche standard di avviso e segnalazione degli incidenti utilizzate in tutti i servizi. AWS
# Registrazione e monitoraggio in Device Farm
Questo servizio supporta AWS CloudTrail, che è un servizio che registra AWS le chiamate Account AWS e invia i file di registro a un bucket Amazon S3. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare a quali richieste sono state inoltrate correttamente Servizi AWS, chi ha effettuato la richiesta, quando è stata effettuata e così via. Per ulteriori informazioni CloudTrail, incluso come attivarlo e trovare i file di registro, consulta la [Guida per l'AWS CloudTrail utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
Per informazioni sull'utilizzo CloudTrail con Device Farm, vedere[Registrazione delle chiamate API AWS Device Farm con AWS CloudTrail](logging-using-cloudtrail.md).
# Best practice di sicurezza per Device Farm
Device Farm offre una serie di funzionalità di sicurezza da prendere in considerazione durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l’ambiente, sono da considerare come considerazioni utili anziché prescrizioni.
+ Concedere a qualsiasi sistema di integrazione continua (CI) utilizzato i privilegi minimi possibili in IAM. Prendere in considerazione l'utilizzo di credenziali temporanee per ogni test di sistema CI in modo che, anche se un sistema CI è compromesso, non può effettuare richieste false. Per ulteriori informazioni sulle credenziali temporanee, consulta la [IAM User Guide](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerole).
+ Utilizzare i comandi `adb` in un ambiente di test personalizzato per pulire qualsiasi contenuto creato dall'applicazione. Per ulteriori informazioni sugli ambienti di test personalizzati, consulta [Ambienti di test personalizzati in AWS Device Farm](custom-test-environments.md)