Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Autenticazione reciproca con TLS in Application Load Balancer
L'autenticazione TLS reciproca è una variante del Transport Layer Security (TLS). Il TLS tradizionale stabilisce comunicazioni sicure tra un server e un client, in cui il server deve fornire la propria identità ai propri client. Con il TLS reciproco, un load balancer negozia l'autenticazione reciproca tra il client e il server mentre negozia TLS. Quando si utilizza Mutual TLS con Application Load Balancer, si semplifica la gestione dell'autenticazione e si riduce il carico sulle applicazioni.
Utilizzando il protocollo TLS reciproco, il sistema di bilanciamento del carico può gestire l'autenticazione dei client per garantire che solo client affidabili comunichino con le applicazioni di backend. Quando si utilizza questa funzionalità, il load balancer autentica i client utilizzando certificati di autorità di certificazione (CA) di terze parti o utilizzando AWS Autorità di certificazione privata (PCA), facoltativamente, con controlli di revoca. Il load balancer trasmette le informazioni sul certificato del client al backend utilizzando intestazioni HTTP, che le applicazioni possono utilizzare per l'autorizzazione.
Mutual TLS for Application Load Balancers offre le seguenti opzioni per la convalida dei certificati client X.509v3:
+ **Passthrough TLS reciproco:** il load balancer invia l'intera catena di certificati client alla destinazione, senza verificarla. Gli obiettivi devono verificare la catena di certificati client. Quindi, utilizzando la catena di certificati client, è possibile implementare l'autenticazione del bilanciamento del carico e la logica di autorizzazione del target nell'applicazione.
+ **Verifica TLS reciproca:** il load balancer esegue l'autenticazione del certificato client X.509 per i client quando un sistema di bilanciamento del carico negozia le connessioni TLS.
Per utilizzare il passthrough TLS reciproco, è necessario configurare il listener in modo che accetti i certificati dai client. Per utilizzare il TLS reciproco con verifica, vedi. [Configurazione del TLS reciproco su un Application Load Balancer](configuring-mtls-with-elb.md)
## Prima di iniziare a configurare il TLS reciproco sull'Application Load Balancer
Prima di iniziare a configurare Mutual TLS sul tuo Application Load Balancer, tieni presente quanto segue:
**Quote**
Gli Application Load Balancer includono alcuni limiti relativi alla quantità di trust store, certificati CA ed elenchi di revoca dei certificati in uso all'interno dell'account. AWS
Per ulteriori informazioni, consulta la [Quote per Application Load Balancer](load-balancer-limits.md).
**Requisiti per i certificati**
Gli Application Load Balancer supportano quanto segue per i certificati utilizzati con l'autenticazione TLS reciproca:
+ Certificato supportato: X.509v3
+ Chiavi pubbliche supportate: RSA 2K — 8K o ECDSA secp256r1, secp384r1, secp521r1
+ Algoritmi di SHA256 firma supportati: 384, 512 con 256.384.512 hash con RSA/SHA256, 384, 512 with EC/SHA RSASSA-PSS con MGF1
**Pacchetti di certificati CA**
Quanto segue si applica ai pacchetti di autorità di certificazione (CA):
+ Gli Application Load Balancer caricano ogni pacchetto di certificati dell'autorità di certificazione (CA) come batch. Gli Application Load Balancer non supportano il caricamento di singoli certificati. Se è necessario aggiungere nuovi certificati, è necessario caricare il file del pacchetto dei certificati.
+ Per sostituire un pacchetto di certificati CA, utilizza l'[ModifyTrustStore](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_ModifyTrustStore.html)API.
**Ordine di certificati per il passthrough**
Quando si utilizza il passthrough TLS reciproco, Application Load Balancer inserisce delle intestazioni per presentare la catena di certificati dei client alle destinazioni di backend. L'ordine di presentazione inizia con i certificati leaf e termina con il certificato root.
**Ripresa della sessione**
La ripresa della sessione non è supportata durante l'utilizzo del passthrough TLS reciproco o delle modalità di verifica con un Application Load Balancer.
**Intestazioni HTTP**
Gli Application Load Balancer utilizzano le `X-Amzn-Mtls` intestazioni per inviare le informazioni sui certificati quando negozia le connessioni client tramite TLS reciproco. Per ulteriori informazioni ed esempi di intestazioni, vedere. [Intestazioni HTTP e TLS reciproco](#mtls-http-headers)
**File di certificato CA**
I file di certificato CA devono soddisfare i seguenti requisiti:
+ Il file di certificato deve utilizzare il formato PEM (Privacy Enhanced Mail).
+ Il contenuto del certificato deve essere racchiuso entro i limiti `-----BEGIN CERTIFICATE-----` e`-----END CERTIFICATE-----`.
+ I commenti devono essere preceduti da un `#` carattere e non devono contenere alcun carattere. `-`
+ Non possono esserci righe vuote.
Esempio di certificato non accettato (non valido):
```
# comments
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 01
Signature Algorithm: ecdsa-with-SHA384
Issuer: C=US, O=EXAMPLE, OU=EXAMPLE, CN=EXAMPLE
Validity
Not Before: Jan 11 23:57:57 2024 GMT
Not After : Jan 10 00:57:57 2029 GMT
Subject: C=US, O=EXAMPLE, OU=EXAMPLE, CN=EXAMPLE
Subject Public Key Info:
Public Key Algorithm: id-ecPublicKey
Public-Key: (384 bit)
pub:
00:01:02:03:04:05:06:07:08
ASN1 OID: secp384r1
NIST CURVE: P-384
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature, Key Encipherment, Certificate Sign, CRL Sign
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Subject Key Identifier:
00:01:02:03:04:05:06:07:08
X509v3 Subject Alternative Name:
URI:EXAMPLE.COM
Signature Algorithm: ecdsa-with-SHA384
00:01:02:03:04:05:06:07:08
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----
```
Esempi di certificati accettati (validi):
1. Certificato singolo (con codifica PEM):
```
# comments
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----
```
1. Certificati multipli (con codifica PEM):
```
# comments
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----
# comments
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----
```
## Intestazioni HTTP e TLS reciproco
Questa sezione descrive le intestazioni HTTP utilizzate dagli Application Load Balancer per inviare informazioni sui certificati durante la negoziazione di connessioni con i client tramite TLS reciproco. Le `X-Amzn-Mtls` intestazioni specifiche utilizzate da Application Load Balancer dipendono dalla modalità TLS reciproca che hai specificato: modalità passthrough o modalità di verifica.
Per informazioni su altre intestazioni HTTP supportate da Application Load Balancers, consulta. [Intestazioni HTTP e Application Load Balancer](x-forwarded-headers.md)
### Intestazione HTTP per la modalità passthrough
Per il TLS reciproco in modalità passthrough, gli Application Load Balancer utilizzano l'intestazione seguente.
#### X-Amzn-Mtls-Clientcert
Questa intestazione contiene il formato PEM con codifica URL dell'intera catena di certificati client presentata nella connessione, con caratteri sicuri. `+=/`
**Contenuto dell'intestazione di esempio:**
```
X-Amzn-Mtls-Clientcert: -----BEGIN%20CERTIFICATE-----%0AMIID<...reduced...>do0g%3D%3D%0A-----END%20CERTIFICATE-----%0A-----BEGIN%20CERTIFICATE-----%0AMIID1<...reduced...>3eZlyKA%3D%3D%0A-----END%20CERTIFICATE-----%0A
```
### Intestazioni HTTP per la modalità di verifica
Per il TLS reciproco in modalità di verifica, gli Application Load Balancer utilizzano le seguenti intestazioni.
#### X-Amzn-Mtls-Clientcert-Serial-Number
Questa intestazione contiene una rappresentazione esadecimale del numero di serie del certificato Leaf.
**Contenuto dell'intestazione di esempio:**
```
X-Amzn-Mtls-Clientcert-Serial-Number: 03A5B1
```
#### X-Amzn-Mtls-Clientcert-Issuer
Questa intestazione contiene una rappresentazione in formato stringa del nome distinto (DN) dell'emittente RFC2253 .
**Contenuto dell'intestazione di esempio:**
```
X-Amzn-Mtls-Clientcert-Issuer: CN=rootcamtls.com,OU=rootCA,O=mTLS,L=Seattle,ST=Washington,C=US
```
#### X-Amzn-Mtls-Clientcert-Subject
Questa intestazione contiene una rappresentazione in RFC2253 formato stringa del nome distinto (DN) del soggetto.
**Contenuto dell'intestazione di esempio:**
```
X-Amzn-Mtls-Clientcert-Subject: CN=client_.com,OU=client-3,O=mTLS,ST=Washington,C=US
```
#### X-Amzn-Mtls-ClientCert-Validity
Questa intestazione contiene il formato e la data. ISO8601 `notBefore` `notAfter`
**Contenuto dell'intestazione di esempio:**
```
X-Amzn-Mtls-Clientcert-Validity: NotBefore=2023-09-21T01:50:17Z;NotAfter=2024-09-20T01:50:17Z
```
#### X-Amzn-Mtls-Clientcert-Leaf
Questa intestazione contiene un formato PEM con codifica URL del certificato leaf, con caratteri sicuri. `+=/`
**Esempio di contenuto dell'intestazione:**
```
X-Amzn-Mtls-Clientcert-Leaf: -----BEGIN%20CERTIFICATE-----%0AMIIG<...reduced...>NmrUlw%0A-----END%20CERTIFICATE-----%0A
```
## Pubblicizza il nome del soggetto della Certificate Authority (CA)
La pubblicità dei nomi dei soggetti della CA (Advertising Certificate Authority) migliora il processo di autenticazione aiutando i clienti a determinare quali certificati saranno accettati durante l'autenticazione TLS reciproca.
Quando abiliti Advertise CA Subject names, Application Load Balancer pubblicizzerà l'elenco dei nomi dei soggetti delle Autorità di Certificazione CAs () di cui si fida, in base al trust store a cui è associato. Quando un client si connette a una destinazione tramite Application Load Balancer, riceve l'elenco dei nomi di soggetti CA attendibili.
Durante l'handshake TLS, quando Application Load Balancer richiede un certificato client, include un elenco di CA Distinguished Names DNs () affidabili nel messaggio di richiesta di certificato. Questo aiuta i client a selezionare certificati validi che corrispondano ai nomi dei soggetti CA pubblicizzati, semplificando il processo di autenticazione e riducendo gli errori di connessione.
È possibile abilitare Advertise CA Subject Name sui listener nuovi ed esistenti. Per ulteriori informazioni, consulta [Aggiunta di un ascoltatore HTTPS](create-https-listener.md#add-https-listener).
## Registri di connessione per Application Load Balancers
Elastic Load Balancing fornisce log di connessione che acquisiscono gli attributi delle richieste inviate agli Application Load Balancer. I log di connessione contengono informazioni come l'indirizzo IP e la porta del client, le informazioni sul certificato del client, i risultati della connessione e i codici TLS utilizzati. Questi log di connessione possono quindi essere utilizzati per esaminare i modelli di richiesta e altre tendenze.
Per ulteriori informazioni sui log di connessione, consulta [Log di connessione per l'Application Load Balancer](load-balancer-connection-logs.md)
# Configurazione del TLS reciproco su un Application Load Balancer
Per utilizzare la modalità passthrough TLS reciproca, è sufficiente configurare il listener in modo che accetti qualsiasi certificato dai client. Quando si utilizza il passthrough TLS reciproco, Application Load Balancer invia l'intera catena di certificati client alla destinazione utilizzando intestazioni HTTP, che consentono di implementare la logica di autenticazione e autorizzazione corrispondente nell'applicazione. Per ulteriori informazioni, consulta [Creare un listener HTTPS per l'Application Load Balancer](create-https-listener.md).
Quando si utilizza il protocollo TLS reciproco in modalità di verifica, Application Load Balancer esegue l'autenticazione del certificato client X.509 per i client quando un sistema di bilanciamento del carico negozia connessioni TLS.
Per utilizzare la modalità di verifica TLS reciproca, effettuate le seguenti operazioni:
+ Crea una nuova risorsa Trust Store.
+ Carica il tuo pacchetto di autorità di certificazione (CA) e, facoltativamente, gli elenchi di revoca.
+ Collega il trust store al listener configurato per verificare i certificati client.
Utilizza le seguenti procedure per configurare la modalità di verifica TLS reciproca sull'Application Load Balancer.
**Topics**
+ [Crea un trust store](#create-trust-store)
+ [Associa un trust store](#associate-trust-store)
+ [Sostituisci un pacchetto di certificati CA](#replace-ca-cert-bundle)
+ [Aggiungere un elenco di revoca dei certificati](#add-cert-revocation-list)
+ [Eliminare un elenco di revoca dei certificati](#delete-cert-revocation-list)
+ [Eliminare un trust store](#delete-trust-store)
## Crea un trust store
Se aggiungi un trust store quando crei un load balancer o un listener, il trust store viene automaticamente associato al nuovo listener. Altrimenti, è necessario associarlo personalmente a un ascoltatore.
**Prerequisiti**
+ Per creare un trust store, è necessario disporre di un pacchetto di certificati rilasciato dall'Autorità di certificazione (CA).
------
#### [ Console ]
L'esempio seguente crea un trust store utilizzando la parte **Trust Store** della console. In alternativa, è possibile creare il trust store quando si crea un listener HTTP.
**Per creare un trust store**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione, scegli **Trust Stores**.
1. Scegli **Create Trust Store**.
1. **Configurazione del Trust Store**
1. Per il **nome del Trust Store**, inserisci un nome per il tuo Trust Store.
1. Per il **pacchetto di autorità di certificazione**, inserisci il percorso Amazon S3 del pacchetto di certificati ca da utilizzare.
1. (Facoltativo) Usa la **versione dell'oggetto** per selezionare una versione precedente del pacchetto di certificati ca. Altrimenti, viene utilizzata la versione corrente.
1. (Facoltativo) Per **le revoche**, puoi aggiungere un elenco di revoche dei certificati al tuo trust store.
1. Scegli **Aggiungi nuovo CRL** e inserisci la posizione dell'elenco di revoca dei certificati in Amazon S3.
1. (Facoltativo) Utilizza la **versione dell'oggetto** per selezionare una versione precedente dell'elenco di revoca dei certificati. In caso contrario, viene utilizzata la versione corrente.
1. (Facoltativo) Espandi i **tag Trust Store** e inserisci fino a 50 tag per il tuo Trust Store.
1. Scegli **Create trust store**.
------
#### [ AWS CLI ]
**Per creare un trust store**
Utilizza il comando [create-trust-store](https://docs.aws.amazon.com/cli/latest/reference/elbv2/create-trust-store.html).
```
aws elbv2 create-trust-store \
--name my-trust-store \
--ca-certificates-bundle-s3-bucket amzn-s3-demo-bucket \
--ca-certificates-bundle-s3-key certificates/ca-bundle.pem
```
------
#### [ CloudFormation ]
**Per creare un trust store**
Definire un tipo di risorsa [AWS::ElasticLoadBalancingV2::TrustStore](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-truststore.html).
```
Resources:
myTrustStore:
Type: 'AWS::ElasticLoadBalancingV2::TrustStore'
Properties:
Name: my-trust-store
CaCertificatesBundleS3Bucket: amzn-s3-demo-bucket
CaCertificatesBundleS3Key: certificates/ca-bundle.pem
```
------
## Associa un trust store
Dopo aver creato un trust store, è necessario associarlo a un listener prima che l'Application Load Balancer possa iniziare a utilizzare il trust store. È possibile associare un solo trust store a ciascuno dei listener sicuri, ma un trust store può essere associato a più listener.
------
#### [ Console ]
È possibile associare un trust store a un listener esistente, come illustrato nella procedura seguente. In alternativa, è possibile associare un trust store durante la creazione di un listener HTTPS. Per ulteriori informazioni, consulta [Creare un listener HTTPS](create-https-listener.md).
**Per associare un trust store**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Seleziona **Sistemi di bilanciamento del carico** nel riquadro di navigazione.
1. Selezionare il load balancer.
1. Nella scheda **Listener and rules**, selezionate il link nella colonna **Protocol:Port** per aprire la pagina dei dettagli del listener sicuro.
1. Nella scheda **Sicurezza**, scegli **Modifica** le impostazioni del listener sicuro.
1. Se il TLS reciproco non è abilitato, seleziona **Autenticazione reciproca (mTLS)** in **Gestione dei certificati del cliente**, quindi scegli **Verifica con trust store**.
1. Per **Trust store**, scegli Trust Store.
1. Scegli **Save changes** (Salva modifiche).
------
#### [ AWS CLI ]
**Per associare un trust store**
Utilizza il comando [modify-listener](https://docs.aws.amazon.com/cli/latest/reference/elbv2/modify-listener.html).
```
aws elbv2 modify-listener \
--listener-arn listener-arn \
--mutual-authentication "Mode=verify,TrustStoreArn=trust-store-arn"
```
------
#### [ CloudFormation ]
**Per associare un trust store**
Aggiorna la [AWS::ElasticLoadBalancingV2::Listener](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-listener.html)risorsa.
```
Resources:
myHTTPSListener:
Type: 'AWS::ElasticLoadBalancingV2::Listener'
Properties:
LoadBalancerArn: !Ref myLoadBalancer
Protocol: HTTPS
Port: 443
DefaultActions:
- Type: "forward"
TargetGroupArn: !Ref myTargetGroup
SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
Certificates:
- CertificateArn: certificate-arn
MutualAuthentication:
- Mode: verify
TrustStoreArn: trust-store-arn
```
------
## Sostituisci un pacchetto di certificati CA
Il pacchetto di certificati CA è un componente obbligatorio del trust store. È una raccolta di certificati root e intermedi affidabili che sono stati convalidati da un'autorità di certificazione. Questi certificati convalidati garantiscono che il client possa fidarsi che il certificato presentato sia di proprietà del sistema di bilanciamento del carico.
Un trust store può contenere solo un pacchetto di certificati CA alla volta, ma è possibile sostituire il pacchetto di certificati CA in qualsiasi momento dopo la creazione del trust store.
------
#### [ Console ]
**Per sostituire un pacchetto di certificati CA**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione, scegli **Trust Stores**.
1. Seleziona il trust store.
1. Scegli **Azioni**, **Sostituisci il pacchetto CA**.
1. Nella pagina **Replace CA bundle**, in **Certificate Authority bundle**, inserisci la posizione Amazon S3 del pacchetto CA desiderato.
1. (Facoltativo) Utilizza la **versione dell'oggetto** per selezionare una versione precedente dell'elenco di revoca dei certificati. In caso contrario, viene utilizzata la versione corrente.
1. Seleziona **Replace CA bundle.**
------
#### [ AWS CLI ]
**Per sostituire un pacchetto di certificati CA**
Utilizza il comando [modify-trust-store](https://docs.aws.amazon.com/cli/latest/reference/elbv2/modify-trust-store.html).
```
aws elbv2 modify-trust-store \
--trust-store-arn trust-store-arn \
--ca-certificates-bundle-s3-bucket amzn-s3-demo-bucket-new \
--ca-certificates-bundle-s3-key certificates/new-ca-bundle-pem
```
------
#### [ CloudFormation ]
**Per aggiornare il pacchetto di certificati CA**
Definire un tipo [AWS::ElasticLoadBalancingV2::TrustStore](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-truststore.html)di risorsa.
```
Resources:
myTrustStore:
Type: 'AWS::ElasticLoadBalancingV2::TrustStore'
Properties:
Name: my-trust-store
CaCertificatesBundleS3Bucket: amzn-s3-demo-bucket-new
CaCertificatesBundleS3Key: certificates/new-ca-bundle.pem
```
------
## Aggiungere un elenco di revoca dei certificati
Facoltativamente, è possibile creare un elenco di revoca dei certificati per un archivio attendibile. Gli elenchi di revoca vengono rilasciati dalle autorità di certificazione e contengono dati relativi ai certificati che sono stati revocati. Gli Application Load Balancer supportano solo gli elenchi di revoca dei certificati in formato PEM.
Quando un elenco di revoca dei certificati viene aggiunto a un archivio attendibile, gli viene assegnato un ID di revoca. Le revoche IDs aumentano per ogni elenco di revoche aggiunto al trust store e non possono essere modificate.
Gli Application Load Balancer non possono revocare i certificati con un numero di serie negativo all'interno di un elenco di revoca dei certificati.
------
#### [ Console ]
**Per aggiungere un elenco di revoche**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel riquadro di navigazione, scegli **Trust Stores**.
1. Seleziona il Trust Store per visualizzarne la pagina dei dettagli.
1. Nella scheda **Elenchi di revoca dei certificati**, seleziona **Azioni**, **Aggiungi elenco di revoca.**
1. Nella pagina **Aggiungi elenco di revoche, in Elenco** di **revoca dei certificati, inserisci la posizione Amazon S3 dell'elenco** di revoca dei certificati desiderato
1. (Facoltativo) Utilizza la **versione dell'oggetto** per selezionare una versione precedente dell'elenco di revoca dei certificati. Altrimenti viene utilizzata la versione corrente.
1. Seleziona **Aggiungi elenco di revoca**
------
#### [ AWS CLI ]
**Per aggiungere un elenco di revoche**
Utilizza il comando [add-trust-store-revocations](https://docs.aws.amazon.com/cli/latest/reference/elbv2/add-trust-store-revocations.html).
```
aws elbv2 add-trust-store-revocations \
--trust-store-arn trust-store-arn \
--revocation-contents "S3Bucket=amzn-s3-demo-bucket,S3Key=crl/revoked-list.crl,RevocationType=CRL"
```
------
#### [ CloudFormation ]
**Per aggiungere un elenco di revoche**
Definire una risorsa di tipo [AWS::ElasticLoadBalancingV2::TrustStoreRevoca](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-truststorerevocation.html).
```
Resources:
myRevocationContents:
Type: 'AWS:ElasticLoadBalancingV2::TrustStoreRevocation'
Properties:
TrustStoreArn: !Ref myTrustStore
RevocationContents:
- RevocationType: CRL
S3Bucket: amzn-s3-demo-bucket
S3Key: crl/revoked-list.crl
```
------
## Eliminare un elenco di revoca dei certificati
Quando non è più necessario un elenco di revoca dei certificati, è possibile eliminarlo. Quando si elimina un elenco di revoche di certificati da un archivio attendibile, viene eliminato anche il relativo ID di revoca e non viene riutilizzato per tutta la durata dell'archivio attendibile.
------
#### [ Console ]
**Per eliminare un elenco di revoche**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel riquadro di navigazione, scegli **Trust Stores**.
1. Seleziona il trust store.
1. Nella scheda **Elenchi di revoca dei certificati**, scegli **Azioni**, **Elimina elenco di revoca.**
1. Quando viene richiesta la conferma, immetti **confirm**.
1. Scegli **Elimina**.
------
#### [ AWS CLI ]
**Per eliminare un elenco di revoche**
Utilizza il comando [remove-trust-store-revocations](https://docs.aws.amazon.com/cli/latest/reference/elbv2/remove-trust-store-revocations.html).
```
aws elbv2 remove-trust-store-revocations \
--trust-store-arn trust-store-arn \
--revocation-ids id-1 id-2 id-3
```
------
## Eliminare un trust store
Quando non è più possibile utilizzare un archivio attendibile, è possibile eliminarlo. Non puoi eliminare un trust store associato a un listener.
------
#### [ Console ]
**Per eliminare un trust store**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione, scegli **Trust Stores**.
1. Seleziona il trust store.
1. Scegli **Elimina**.
1. Quando viene richiesta la conferma, immettere `confirm` e quindi scegliere **Elimina**.
------
#### [ AWS CLI ]
**Per eliminare un trust store**
Utilizza il comando [delete-trust-store](https://docs.aws.amazon.com/cli/latest/reference/elbv2/delete-trust-store.html).
```
aws elbv2 delete-trust-store \
--trust-store-arn trust-store-arn
```
------
# Condividi il tuo trust store Elastic Load Balancing per Application Load Balancer
Elastic Load Balancing si integra con AWS Resource Access Manager (AWS RAM) per abilitare la condivisione di trust store. AWS RAM è un servizio che consente di condividere in modo sicuro le risorse Account AWS del trust store Elastic Load Balancing all'interno e all'interno dell'organizzazione o delle unità OUs organizzative (). Se disponi di più account, puoi creare un trust store una sola volta e utilizzarlo AWS RAM per renderlo utilizzabile da altri account. Se il tuo account è gestito da AWS Organizations, puoi condividere gli archivi fiduciari con tutti gli account dell'organizzazione o solo con gli account all'interno di unità organizzative specificate (OUs).
Con AWS RAM, condividi le risorse di tua proprietà creando una *condivisione di risorse*. Una condivisione delle risorse specifica le risorse da condividere e gli utenti con cui condividerle. In questo modello, il Account AWS proprietario del trust store (proprietario) lo condivide con altri Account AWS (consumatori). I consumatori possono associare i trust store condivisi ai propri listener di Application Load Balancer nello stesso modo in cui associano i trust store nel proprio account.
Il proprietario di un trust store può condividere un trust store con:
+ Specifico Account AWS all'interno o all'esterno della sua organizzazione in AWS Organizations
+ Un'unità organizzativa all'interno della propria organizzazione in AWS Organizations
+ La sua intera organizzazione in AWS Organizations
**Topics**
+ [Prerequisiti](#sharing-prereqs)
+ [Permissions](#sharing-perms)
+ [Condividi un trust store](#sharing-share)
+ [Smetti di condividere un trust store](#sharing-unshare)
+ [Fatturazione e misurazione](#sharing-billing)
## Prerequisiti per la condivisione del trust store
+ È necessario creare una condivisione di risorse utilizzando AWS Resource Access Manager. Per ulteriori informazioni, consulta [Creare una condivisione di risorse](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create) nella *Guida AWS RAM per l'utente*.
+ Per condividere un trust store, devi possederlo nel tuo Account AWS. Non puoi condividere un trust store che è stato condiviso con te.
+ Per condividere un trust store con la tua organizzazione o un'unità organizzativa in AWS Organizations, devi abilitare la condivisione con AWS Organizations. Per ulteriori informazioni, consulta [ Abilita la condivisione con AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) nella *Guida per l'utente AWS RAM *.
## Autorizzazioni per gli archivi di fiducia condivisi
### Affidati ai proprietari di negozi
+ I proprietari di negozi fiduciari possono creare un trust store.
+ I proprietari di Trust Store possono utilizzare un trust store con sistemi di bilanciamento del carico nello stesso account.
+ I proprietari di Trust Store possono condividere un Trust Store con altri AWS account oppure. AWS Organizations
+ I proprietari di Trust Store possono annullare la condivisione di un trust store da qualsiasi AWS account o AWS Organizations.
+ I proprietari di Trust Store non possono impedire ai sistemi di bilanciamento del carico di utilizzare un trust store nello stesso account.
+ I proprietari di Trust Store possono elencare tutti gli Application Load Balancer utilizzando un trust store condiviso.
+ I proprietari di Trust Store possono eliminare un trust store se non ci sono associazioni correnti.
+ I proprietari di trust store possono eliminare le associazioni con un trust store condiviso.
+ I proprietari di negozi fiduciari ricevono CloudTrail i log quando viene utilizzato un archivio di fiducia condiviso.
### Fidati dei consumatori del negozio
+ I consumatori di Trust Store possono visualizzare i trust store condivisi.
+ I consumatori di Trust Store possono creare o modificare gli ascoltatori utilizzando un trust store nello stesso account.
+ I consumatori di Trust Store possono creare o modificare gli ascoltatori utilizzando un trust store condiviso.
+ I consumatori di Trust Store non possono creare un listener utilizzando un trust store che non è più condiviso.
+ I consumatori di Trust Store non possono modificare un trust store condiviso.
+ I consumatori di Trust Store possono visualizzare l'ARN di un trust store condiviso se associato a un listener.
+ I consumatori di Trust Store ricevono CloudTrail i log quando creano o modificano un listener utilizzando un trust store condiviso.
### Autorizzazioni gestite
Quando si condivide un trust store, la condivisione delle risorse utilizza le autorizzazioni gestite per controllare quali azioni sono consentite dal consumatore del trust store. Puoi utilizzare le autorizzazioni gestite predefinite`AWSRAMPermissionElasticLoadBalancingTrustStore`, che includono tutte le autorizzazioni disponibili, o creare autorizzazioni gestite dai clienti personalizzate. Le `DescribeTrustStoreAssociations` autorizzazioni `DescribeTrustStores``DescribeTrustStoreRevocations`, e sono sempre abilitate e non possono essere rimosse.
Le seguenti autorizzazioni sono supportate per le condivisioni di risorse Trust Store:
**bilanciamento elastico del carico: CreateListener**
Può collegare un trust store condiviso a un nuovo listener.
**bilanciamento elastico del carico: ModifyListener**
Può collegare un trust store condiviso a un listener esistente.
**bilanciamento elastico del carico: GetTrustStoreCaCertificatesBundle**
Può scaricare il pacchetto di certificati ca associato allo shared trust store.
**bilanciamento elastico del carico: GetTrustStoreRevocationContent**
Può scaricare il file di revoca associato all'archivio di fiducia condiviso.
**elasticloadbalancing: (impostazione predefinita) DescribeTrustStores **
Può elencare tutti i trust store posseduti e condivisi con l'account.
**elasticloadbalancing: (impostazione predefinita) DescribeTrustStoreRevocations **
Può elencare tutto il contenuto della revoca per il trust store arn specificato.
**elasticloadbalancing: (impostazione predefinita) DescribeTrustStoreAssociations **
Può elencare tutte le risorse nell'account consumer del trust store associate al trust store condiviso.
## Condividi un trust store
Per condividere un archivio attendibile, è necessario aggiungerlo a una condivisione di risorse. Una condivisione di risorse è una risorsa AWS RAM che consente di condividere le risorse tra Account AWS. Una condivisione di risorse specifica le risorse da condividere, i consumatori con cui vengono condivise e le azioni che i responsabili possono eseguire. Quando condividi un trust store utilizzando la console Amazon EC2, lo aggiungi a una condivisione di risorse esistente. Per aggiungere il trust store a una nuova condivisione di risorse, devi prima creare la condivisione di risorse utilizzando la [AWS RAM console](https://console.aws.amazon.com/ram).
Quando condividi un trust store di tua proprietà con altri Account AWS, consenti a tali account di associare i rispettivi listener di Application Load Balancer ai trust store del tuo account.
Se fai parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, ai consumatori dell'organizzazione viene automaticamente concesso l'accesso al trust store condiviso. In caso contrario, i consumatori ricevono un invito a partecipare alla condivisione di risorse e ottengono l'accesso allo Shared Trust Store dopo aver accettato l'invito.
Puoi condividere un trust store di tua proprietà utilizzando la console Amazon EC2, AWS RAM la console o il. AWS CLI
**Per condividere un trust store di tua proprietà utilizzando la console Amazon EC2**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione, in **Load Balancing**, scegli **Trust** Stores.
1. Seleziona il nome del Trust Store per visualizzarne la pagina dei dettagli.
1. Nella scheda **Condivisione**, scegli **Share trust store**.
1. Nella pagina **Share Trust Store**, in **Condivisioni di risorse**, seleziona le condivisioni di risorse con cui condividere il trust store.
1. (Facoltativo) Se devi creare una nuova condivisione di risorse, seleziona il link **Crea una condivisione di risorse nella console RAM**.
1. Seleziona **Share trust store**.
**Per condividere un trust store di tua proprietà utilizzando la AWS RAM console**
Consulta [Creazione di una condivisione di risorse](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create) in *Guida per l'utente di AWS RAM *.
**Per condividere un trust store di tua proprietà utilizzando il AWS CLI**
Utilizza il comando [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html).
## Smetti di condividere un trust store
Per interrompere la condivisione di un archivio attendibile di cui sei proprietario, devi rimuoverlo dalla condivisione di risorse. Le associazioni esistenti persistono dopo l'interruzione della condivisione del trust store, tuttavia non sono consentite nuove associazioni a un trust store precedentemente condiviso. Quando il proprietario del Trust Store o il consumatore del Trust Store elimina un'associazione, questa viene eliminata da entrambi gli account. Se un consumatore di Trust Store desidera abbandonare una condivisione di risorse, deve chiedere al proprietario della condivisione di risorse di rimuovere l'account.
**Eliminazione di associazioni**
I proprietari di Trust Store possono eliminare forzatamente le associazioni di archivi fiduciari esistenti utilizzando il [DeleteTrustStoreAssociation](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_DeleteSharedTrustStoreAssociation.html)comando. Quando un'associazione viene eliminata, tutti gli ascoltatori del sistema di bilanciamento del carico che utilizzano il trust store non possono più verificare i certificati client e falliranno gli handshake TLS.
Puoi interrompere la condivisione di un trust store utilizzando la console Amazon EC2, la AWS RAM console o il. AWS CLI
**Per interrompere la condivisione di un trust store di tua proprietà utilizzando la console Amazon EC2**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel pannello di navigazione, in **Load Balancing**, scegli **Trust** Stores.
1. Seleziona il nome del Trust Store per visualizzarne la pagina dei dettagli.
1. Nella scheda **Condivisione**, in **Condivisione delle risorse**, seleziona le condivisioni di risorse con cui interrompere la condivisione.
1. Scegli **Rimuovi**.
**Per interrompere la condivisione di un trust store di tua proprietà utilizzando la AWS RAM console**
Consulta [Aggiornamento di una condivisione di risorse](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update) in *Guida per l'utente di AWS RAM *.
**Per interrompere la condivisione di un trust store di tua proprietà, utilizza il AWS CLI**
Utilizza il comando [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html).
## Fatturazione e misurazione
Gli archivi trust condivisi prevedono la stessa tariffa standard di trust store, fatturata all'ora, per associazione di trust store con un Application Load Balancer.
Per ulteriori informazioni, inclusa la tariffa specifica per regione, consulta i prezzi di [Elastic Load Balancing](https://aws.amazon.com/elasticloadbalancing/pricing/)