Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione delle identità e degli accessi per Amazon Elastic VMware Service
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. IAM gli amministratori controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse di Amazon Elastic Service VMware (Amazon EVS). IAM è un software Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security-iam-audience)
+ [Autenticazione con identità](#security-iam-authentication)
+ [Gestione dell’accesso tramite policy](#security-iam-access-manage)
+ [Come funziona Amazon EVS con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità di Amazon EVS](security-iam-id-based-policy-examples.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon EVS](security-iam-troubleshoot.md)
+ [AWS politiche gestite per Amazon EVS](security-iam-awsmanpol.md)
+ [Utilizzo di ruoli collegati ai servizi per Amazon EVS](using-service-linked-roles.md)
## Destinatari
Il modo in cui usi AWS Identity and Access Management (IAM) varia a seconda del lavoro svolto in Amazon EVS.
**Utente del servizio**: se utilizzi il servizio Amazon EVS per svolgere il tuo lavoro, l'amministratore ti fornisce le credenziali e le autorizzazioni necessarie. Man mano che utilizzi più funzionalità di Amazon EVS per svolgere il tuo lavoro, potresti aver bisogno di autorizzazioni aggiuntive. La comprensione della gestione dell’accesso consente di richiedere le autorizzazioni corrette all’amministratore.
Se non riesci ad accedere a una funzionalità in Amazon EVS, consulta[Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon EVS](security-iam-troubleshoot.md).
**Amministratore del servizio**: se sei responsabile delle risorse Amazon EVS della tua azienda, probabilmente hai pieno accesso ad Amazon EVS. È tuo compito determinare a quali funzionalità e risorse di Amazon EVS devono accedere gli utenti del servizio. Devi quindi inviare richieste all' IAM amministratore per modificare le autorizzazioni degli utenti del servizio. Consulta le informazioni contenute in questa pagina per comprendere i concetti di base di IAM. Per ulteriori informazioni su come la tua azienda può utilizzare IAM Amazon EVS, consulta[Come funziona Amazon EVS con IAM](security_iam_service-with-iam.md).
** IAM amministratore**: se sei un IAM amministratore, potresti voler saperne di più su come scrivere politiche per gestire l'accesso ad Amazon EVS. Per visualizzare esempi di policy basate sull'identità di Amazon EVS che puoi utilizzare, consulta. IAM[Esempi di policy basate sull'identità di Amazon EVS](security-iam-id-based-policy-examples.md)
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. È necessario *autenticarsi* (accedere a AWS) come utente root dell' AWS account o assumere un Utente IAM ruolo. IAM
È possibile accedere AWS come identità federata utilizzando le credenziali fornite tramite una fonte di identità. AWS IAM Identity Center (IAM Identity Center) gli utenti, l'autenticazione Single Sign-On della tua azienda e le tue credenziali Google o Facebook sono esempi di identità federate. Quando accedi come identità federata, l'amministratore aveva precedentemente configurato la federazione delle identità utilizzando i ruoli. IAM Quando si accede AWS utilizzando la federazione, si assume indirettamente un ruolo.
A seconda del tipo di utente, puoi accedere al Console di gestione AWS o al portale di AWS accesso. Per ulteriori informazioni sull'accesso a AWS, vedi [Come accedere al tuo Account AWS nella](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) *Guida per l'utente di AWS accesso*.
Se accedi a AWS livello di codice, AWS fornisce un kit di sviluppo software (SDK) e un'interfaccia a riga di comando (CLI) per firmare crittograficamente le tue richieste utilizzando le tue credenziali. Se non utilizzi AWS strumenti, devi firmare tu stesso le richieste. Per ulteriori informazioni sull'utilizzo del metodo consigliato per firmare autonomamente le richieste, consulta il [processo di firma della versione 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) di Signature nella * AWS Guida generale*.
Indipendentemente dal metodo di autenticazione utilizzato, potrebbe essere necessario specificare ulteriori informazioni sulla sicurezza. Ad esempio, ti AWS consiglia di utilizzare l'autenticazione a più fattori (MFA) per aumentare la sicurezza del tuo account. *Per ulteriori informazioni, consulta [l'autenticazione a più fattori](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) nella Guida per l'utente di * AWS IAM Identity Center (successore di AWS Single Sign-On) e l'[utilizzo dell'autenticazione a più fattori (MFA) AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) nella Guida per l'utente* IAM.*
### AWS account (utente root)
La prima volta che si crea un account Account AWS, si inizia con un'identità con accesso singolo che ha accesso completo a tutte Servizi AWS le risorse dell'account. Questa identità è denominata utente root dell' AWS account ed è accessibile effettuando l'accesso con l'indirizzo e-mail e la password utilizzati per creare l'account. Si consiglia vivamente di non utilizzare l'utente root per le attività quotidiane. Conserva le credenziali dell'utente root e utilizzale per eseguire le operazioni che solo l'utente root può eseguire. Per l'elenco completo delle attività che richiedono l'accesso come utente root, consulta [Attività che richiedono le credenziali dell'utente root](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html) nella *Guida di riferimento per la gestione degli account*.
### Identità federata
Come procedura consigliata, richiedi agli utenti umani, compresi gli utenti che richiedono l'accesso come amministratore, di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'identità federata è un utente dell'elenco utenti aziendale, di un provider di identità Web AWS Directory Service, della directory Identity Center o di qualsiasi utente che accede utilizzando le Servizi AWS credenziali fornite tramite un'origine di identità. Quando le identità federate accedono Account AWS, assumono ruoli e i ruoli forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, consigliamo di utilizzare AWS IAM Identity Center. Puoi creare utenti e gruppi in IAM Identity Center oppure puoi connetterti e sincronizzarti con un set di utenti e gruppi nella tua fonte di identità per utilizzarli su tutte le tue applicazioni. Account AWS Per informazioni su IAM Identity Center, consulta [Cos'è IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)? nella Guida per l'* AWS utente di IAM Identity Center (successore di AWS Single Sign-On).*
### Utenti IAM e gruppi
An *[Utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*è un'identità interna all'utente Account AWS che dispone di autorizzazioni specifiche per una singola persona o applicazione. Laddove possibile, consigliamo di fare affidamento su credenziali temporanee anziché creare Utenti IAM utenti con credenziali a lungo termine come password e chiavi di accesso. Tuttavia, se hai casi d'uso specifici che richiedono credenziali a lungo termine Utenti IAM, ti consigliamo di ruotare le chiavi di accesso. Per ulteriori informazioni, consulta la pagina [Rotazione periodica delle chiavi di accesso per casi d’uso che richiedono credenziali a lungo termine](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) nella *Guida per l’utente IAM*.
Un [IAM gruppo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) è un'identità che specifica un insieme di. Utenti IAM Non è possibile eseguire l'accesso come gruppo. È possibile utilizzare gruppi per specificare le autorizzazioni per più utenti alla volta. I gruppi semplificano la gestione delle autorizzazioni di set di utenti di grandi dimensioni. Ad esempio, è possibile assegnare un nome a un gruppo *IAMAdmins*e concedere a tale gruppo le autorizzazioni per IAM amministrare le risorse.
Gli utenti sono diversi dai ruoli. Un utente è associato in modo univoco a una persona o un’applicazione, mentre un ruolo è destinato a essere assunto da chiunque ne abbia bisogno. Gli utenti dispongono di credenziali permanenti a lungo termine, ma i ruoli forniscono credenziali temporanee. Per ulteriori informazioni, consulta [Quando creare un Utente IAM (anziché un ruolo)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose) nella Guida per l'*utente IAM*.
### IAM ruoli
Un *[IAM ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un'identità interna all'utente Account AWS che dispone di autorizzazioni specifiche. È simile a una persona Utente IAM, ma non è associato a una persona specifica. È possibile assumere temporaneamente un IAM ruolo in Console di gestione AWS [cambiando ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). Puoi assumere un ruolo chiamando un'operazione AWS CLI o AWS API o utilizzando un URL personalizzato. Per ulteriori informazioni sui metodi di utilizzo dei ruoli, consulta [Using IAM roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) nella *IAM User Guide*.
IAM i ruoli con credenziali temporanee sono utili nelle seguenti situazioni:
+ **Accesso utente federato** - Per assegnare le autorizzazioni a una identità federata, è possibile creare un ruolo e definire le autorizzazioni per il ruolo. Quando un'identità federata viene autenticata, l'identità viene associata al ruolo e ottiene le autorizzazioni da esso definite. Per ulteriori informazioni sulla federazione dei ruoli, consulta [Creazione di un ruolo per un provider di identità di terza parte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) nella *Guida per l'utente IAM*. Se utilizzi IAM Identity Center, configura un set di autorizzazioni. Centro identità IAM mette in correlazione il set di autorizzazioni con un ruolo in IAM per controllare le risorse alle quali le identità possono accedere dopo l'autenticazione. Per informazioni sui set di autorizzazioni, consulta Set di autorizzazioni nella [Guida per l'utente](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) di * AWS IAM Identity Center (successore di AWS Single Sign-On*).
+ ** Utente IAM Autorizzazioni temporanee**: An Utente IAM può assumere il IAM ruolo di assumere temporaneamente autorizzazioni diverse per un'attività specifica.
+ **Accesso su più account**: puoi utilizzare un IAM ruolo per consentire a qualcuno (un responsabile fidato) di un altro account di accedere alle risorse del tuo account. I ruoli sono lo strumento principale per concedere l’accesso multi-account. Tuttavia, con alcuni Servizi AWS, è possibile allegare una policy direttamente a una risorsa (anziché utilizzare un ruolo come proxy). *Per conoscere la differenza tra i ruoli e le politiche basate sulle risorse per l'accesso tra account diversi, consulta [How IAM roles differiscono dalle policy basate sulle risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) nella IAM User Guide.*
+ **Accesso tra servizi: alcuni utilizzano funzionalità** in altri. Servizi AWS Servizi AWS Ad esempio, quando si effettua una chiamata in un servizio, è normale che quel servizio esegua applicazioni Amazon EC2 o in cui memorizzi oggetti. Amazon S3 Un servizio può eseguire questa operazione utilizzando le autorizzazioni dell'entità chiamante, un ruolo di servizio oppure un ruolo collegato al servizio.
+ **Autorizzazioni principali**: quando utilizzi un ruolo Utente IAM o per eseguire azioni AWS, sei considerato un principale. Le policy concedono autorizzazioni a un'entità. Quando si utilizzano alcuni servizi, è possibile eseguire un'azione che attiva un'altra azione in un servizio diverso. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le azioni.
+ **Ruolo** di servizio: un ruolo di servizio è un IAM ruolo che un servizio assume per eseguire azioni per conto dell'utente. Un IAM amministratore può creare, modificare ed eliminare un ruolo di servizio dall'interno IAM. Per ulteriori informazioni, consulta la sezione [Creazione di un ruolo per delegare le autorizzazioni a un Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l'utente di IAM*.
+ **Ruolo collegato al servizio: un ruolo** collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un IAM amministratore può visualizzare, ma non modificare le autorizzazioni per i ruoli collegati al servizio.
+ **Applicazioni in esecuzione Amazon EC2 **: è possibile utilizzare un IAM ruolo per gestire le credenziali temporanee per le applicazioni in esecuzione su un' Amazon EC2 istanza e che AWS CLI effettuano richieste API. AWS Ciò è preferibile alla memorizzazione delle chiavi di accesso all'interno dell' Amazon EC2 istanza. Per assegnare un AWS ruolo a un' Amazon EC2 istanza e renderlo disponibile per tutte le sue applicazioni, create un profilo di istanza collegato all'istanza. Un profilo di istanza contiene il ruolo e consente ai programmi in esecuzione sull' Amazon EC2 istanza di ottenere credenziali temporanee. Per ulteriori informazioni, consulta [Usare un IAM ruolo per concedere le autorizzazioni alle applicazioni in esecuzione su Amazon EC2 istanze](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) nella Guida per l'utente *IAM*.
Per sapere se utilizzare IAM i ruoli, consulta [Quando creare un IAM ruolo (anziché un utente) nella Guida per l'utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role) *IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy è un oggetto AWS che, se associato a un'identità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste politiche quando un principale (utente, utente root o sessione di ruolo) effettua una richiesta. Le autorizzazioni nelle policy determinano l’approvazione o il rifiuto della richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sulla struttura e sui contenuti dei documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente di IAM*.
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
Ogni IAM entità (utente o ruolo) inizia senza autorizzazioni. Di default, gli utenti non possono eseguire alcuna operazione, neppure modificare la propria password. Per autorizzare un utente a eseguire operazioni, un amministratore deve allegare una policy di autorizzazioni a tale utente. In alternativa, l’amministratore può aggiungere l’utente a un gruppo che dispone delle autorizzazioni desiderate. Quando un amministratore concede le autorizzazioni a un gruppo, a tutti gli utenti di quel gruppo vengono concesse tali autorizzazioni.
IAM le politiche definiscono le autorizzazioni per un'azione indipendentemente dal metodo utilizzato per eseguire l'operazione. Ad esempio, supponiamo di disporre di una policy che consente l’operazione `iam:GetRole`. Un utente con tale policy può ottenere informazioni sul ruolo dall' Console di gestione AWS AWS CLI, dall'o dall' AWS API.
### Policy basate sull’identità
Le politiche basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità, ad esempio un ruolo o un gruppo Utente IAM. Tali policy definiscono le azioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)
Le policy basate sull’identità possono essere ulteriormente classificate come *policy inline* o *policy gestite*. Le policy inline sono integrate direttamente in un singolo utente, gruppo o ruolo. Le policy gestite sono policy autonome che puoi allegare a più utenti, gruppi e ruoli all'interno del tuo. Account AWS Le politiche gestite includono politiche AWS gestite e politiche gestite dai clienti. Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scelta fra policy gestite e policy inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline) nella *Guida per l'utente IAM*.
### Policy basate su risorse
Le politiche basate sulle risorse sono documenti di policy JSON allegati a una risorsa come un bucket. Amazon S3 Gli amministratori di servizio possono utilizzare queste policy per definire quali operazioni può eseguire un principal specificato (membro, utente, ruolo account) su quella risorsa e in quali condizioni. Le policy basate su risorse sono policy inline. Non esistono policy basate su risorse gestite.
### Elenchi di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) sono un tipo di politica che controlla a quali responsabili (membri dell'account, utenti o ruoli) sono autorizzati ad accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON. Amazon S3 AWS WAF, e Amazon VPC sono esempi di servizi che supportano. ACLs Per ulteriori informazioni ACLs, consulta la [panoramica dell'Access Control List (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi e meno comuni. Questi tipi di policy possono impostare il numero massimo di autorizzazioni concesse dai più tipi di policy comuni.
+ **Limiti delle autorizzazioni**: un limite di autorizzazioni è una funzionalità avanzata in cui si impostano le autorizzazioni massime che una politica basata sull'identità può concedere a un'entità (o ruolo). IAM Utente IAM È possibile impostare un limite delle autorizzazioni per un’entità. Le autorizzazioni risultanti sono l'intersezione delle policy basate sull'identità dell'entità e i rispettivi limiti delle autorizzazioni. Le policy basate sulle risorse che specificano l'utente o il ruolo nel campo `Principal` non sono interessate dal limite delle autorizzazioni. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l’autorizzazione. *Per ulteriori informazioni sui limiti delle autorizzazioni, consulta Limiti delle autorizzazioni per le entità nella Guida per l'[utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) IAM. IAM *
+ Policy **di controllo del servizio (SCPs)**: SCPs sono politiche JSON che specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa (OU) in. AWS Organizations AWS Organizations è un servizio per il raggruppamento e la gestione centralizzata di più di proprietà dell' Account AWS azienda. Se abiliti tutte le funzionalità di un'organizzazione, puoi applicare le politiche di controllo del servizio (SCPs) a uno o tutti i tuoi account. L'SCP limita le autorizzazioni per le entità negli account dei membri, incluso ogni AWS utente root dell'account. Per ulteriori informazioni su Organizations and SCPs, consulta [How SCPs work](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) nella * AWS Organizations User Guide*.
+ **Policy di sessione** - Le policy di sessione sono policy avanzate che vengono trasmesse come parametro quando si crea in modo programmatico una sessione temporanea per un ruolo o un utente federato. Le autorizzazioni della sessione risultante sono l'intersezione delle policy basate sull'identità del ruolo o dell'utente e le policy di sessione. Le autorizzazioni possono anche provenire da una policy basata su risorse. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l’autorizzazione. Per ulteriori informazioni, consulta [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona Amazon EVS con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon EVS, scopri quali IAM funzionalità sono disponibili per l'uso con Amazon EVS.
| IAM funzionalità | Supporto Amazon EVS |
| --- | --- |
| [Policy basate sull'identità per Amazon EVS](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate sulle risorse all'interno di Amazon EVS](#security_iam_service-with-iam-resource-based-policies) | No |
| [Azioni politiche per Amazon EVS](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy per Amazon EVS](#security_iam_service-with-iam-id-based-policies-resources) | Parziale |
| [Chiavi relative alle condizioni delle politiche per Amazon EVS](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [Elenchi di controllo degli accessi (ACLs) in Amazon EVS](#security_iam_service-with-iam-acls) | No |
| [Controllo degli accessi basato sugli attributi (ABAC) con Amazon EVS](#security_iam_service-with-iam-tags) | Sì |
| [Utilizzo di credenziali temporanee con Amazon EVS](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Sessioni di accesso diretto per Amazon EVS](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio per Amazon EVS](#security_iam_service-with-iam-roles-service) | No |
| [Ruoli collegati ai servizi per Amazon EVS](#security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una panoramica di alto livello su come Servizi AWS funzionano Amazon EVS e altri IAM, consulta Servizi AWS la sezione Working [with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *IAM User* Guide.
## Policy basate sull'identità per Amazon EVS
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le politiche IAM basate sull'identità, puoi specificare azioni e risorse consentite o negate, nonché le condizioni in base alle quali le azioni sono consentite o negate. Non è possibile specificare il principale in una politica basata sull'identità perché si applica all'utente o al ruolo a cui è associata. *Per maggiori informazioni su tutti gli elementi utilizzati in una policy JSON, consulta il [riferimento agli elementi della policy IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella IAM User Guide.*
### Esempi di policy basate sull'identità per Amazon EVS
Per visualizzare esempi di policy basate sull'identità di Amazon EVS, consulta. [Esempi di policy basate sull'identità di Amazon EVS](security-iam-id-based-policy-examples.md)
### Policy basate sulle risorse all'interno di Amazon EVS
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le policy di attendibilità dei ruoli IAM e le policy di bucket Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. L’aggiunta di un’entità principale multi-account a una policy basata sulle risorse rappresenta solo una parte della relazione di trust. Quando il principale e la risorsa sono diversi Account AWS, un amministratore IAM dell'account affidabile deve inoltre concedere all'entità principale (utente o ruolo) l'autorizzazione ad accedere alla risorsa. L’autorizzazione viene concessa collegando all’entità una policy basata sull’identità. Tuttavia, se una policy basata su risorse concede l’accesso a un principale nello stesso account, non sono richieste ulteriori policy basate sull’identità. Per ulteriori informazioni, consulta [Cross Account Resource Access in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella IAM User Guide.
### Azioni politiche per Amazon EVS
**Supporta azioni Sì**
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'`Action`elemento di una policy IAM basata sull'identità descrive l'azione o le azioni specifiche che saranno consentite o negate dalla policy. Le azioni politiche in genere hanno lo stesso nome dell'operazione API associata AWS . L'operazione viene utilizzata in una policy per concedere le autorizzazioni di eseguire l'operazione associata.
Le azioni politiche in Amazon EVS utilizzano il seguente prefisso prima dell'azione:. `evs:` Ad esempio, per concedere a qualcuno l'autorizzazione a creare un ambiente con il funzionamento dell'`CreateEnvironment`API Amazon EVS, includi l'`evs:CreateEnvironment`azione nella sua politica. Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Amazon EVS definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
```
"Action": [
"evs:action1",
"evs:action2"
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `List`, includi la seguente azione:
```
"Action": "evs:List*"
```
Per visualizzare un elenco di azioni Amazon EVS, consulta [Actions Defined by Amazon EVS](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticvmwareservice.html#amazonelasticvmwareservice-actions-as-permissions) nel *Service Authorization* Reference.
### Risorse relative alle policy per Amazon EVS
**Supporto risorse policy:** Parziale
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Le istruzioni devono includere un elemento `Resource` o un elemento `NotResource`. Come best practice, specifica una risorsa utilizzando il suo nome della risorsa Amazon (ARN). È possibile eseguire questa operazione per operazioni che supportano un tipo di risorsa specifico, note come *autorizzazioni a livello di risorsa*.
Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di risorse Amazon EVS e relativi ARNs, consulta [Risorse definite da Amazon Elastic VMware Service nel Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticvmwareservice.html#amazonelasticvmwareservice-resources-for-iam-policies) *Authorization Reference*. Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta [Azioni definite da Amazon Elastic VMware Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticvwareservice.html#amazonelasticvmwareservice-actions-as-permissions).
Alcune azioni dell'API Amazon EVS supportano più risorse. Ad esempio, è possibile fare riferimento a più ambienti quando si chiama l'azione `ListEnvironments` API. Per specificare più risorse in una singola istruzione, separale ARNs con virgole.
```
"Resource": [
"EXAMPLE-RESOURCE-1",
"EXAMPLE-RESOURCE-2"
```
Ad esempio, la risorsa di ambiente Amazon EVS ha il seguente ARN:
```
arn:${Partition}:evs:${Region}:${Account}:environment/${EnvironmentId}
```
Per specificare gli ambienti `my-environment-1` e `my-environment-2` nella tua dichiarazione, usa il seguente esempio: ARNs
```
"Resource": [
"arn:aws:evs:us-east-1:123456789012:environment/my-environment-1",
"arn:aws:evs:us-east-1:123456789012:environment/my-environment-2"
```
Per specificare tutti gli ambienti che appartengono a un account specifico, usa il carattere jolly (\$1):
```
"Resource": "arn:aws:evs:us-east-1:123456789012:environment/*"
```
### Chiavi relative alle condizioni delle politiche per Amazon EVS
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'`Condition`elemento (o `Condition` blocco) consente di specificare le condizioni in cui un'istruzione è valida. L’elemento `Condition` è facoltativo. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.
Se specifichi più elementi `Condition` in un'istruzione o più chiavi in un singolo elemento `Condition`, questi vengono valutati da AWS utilizzando un'operazione `AND` logica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'`OR`operazione logica. Tutte le condizioni devono essere soddisfatte prima che vengano concesse le autorizzazioni della dichiarazione.
È possibile anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, puoi concedere l' Utente IAM autorizzazione ad accedere a una risorsa solo se è contrassegnata con Utente IAM il suo nome. Per ulteriori informazioni, consulta [gli elementi delle IAM policy: variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella *IAM User Guide*.
Amazon EVS definisce il proprio set di chiavi di condizione e supporta anche l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *Guida per l'utente IAM*.
Tutte Amazon EC2 le azioni supportano i tasti `aws:RequestedRegion` and `ec2:Region` condition. Per ulteriori informazioni, consulta [Esempio: limitazione dell'accesso a una regione specifica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region).
Per visualizzare un elenco di chiavi di condizione di Amazon EVS, consulta [Condition Keys for Amazon EVS](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticvmwareservice.html#amazonelasticvmwareservice-policy-keys) nel *Service Authorization* Reference. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Azioni definite da Amazon EVS.](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticvmwareservice.html#amazonelasticvmwareservice-actions-as-permissions)
## Elenchi di controllo degli accessi (ACLs) in Amazon EVS
**Supporti ACLs: No**
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## Controllo degli accessi basato sugli attributi (ABAC) con Amazon EVS
**Supporta ABAC (tag nelle policy):** sì
Il controllo dell’accesso basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. In AWS, questi attributi sono chiamati tag. Puoi allegare tag a entità IAM (utenti o ruoli) e a molte AWS risorse. L’assegnazione di tag alle entità e alle risorse è il primo passaggio di ABAC. Quindi si progettano politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa a cui sta tentando di accedere.
La strategia ABAC è utile in ambienti soggetti a una rapida crescita e aiuta in situazioni in cui la gestione delle policy diventa impegnativa.
Puoi allegare tag alle risorse Amazon EVS o passare i tag in una richiesta ad Amazon EVS. Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/`, `aws:RequestTag/` o `aws:TagKeys`. Per ulteriori informazioni sulle azioni con cui puoi utilizzare i tag nelle chiavi di condizione, consulta [Actions defined by Amazon EVS](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticvmwareservice.html#amazonelasticvmwareservice-actions-as-permissions) nel *Service Authorization Reference*.
## Utilizzo di credenziali temporanee con Amazon EVS
**Supporta le credenziali temporanee:** sì
Alcune Servizi AWS non funzionano quando accedi utilizzando credenziali temporanee. Per ulteriori informazioni, incluse quelle che Servizi AWS funzionano con credenziali temporanee, consulta Servizi AWS la sezione relativa alla funzionalità di [IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
Stai utilizzando credenziali temporanee se accedi Console di gestione AWS utilizzando qualsiasi metodo tranne nome utente e password. Ad esempio, quando accedi AWS utilizzando il link Single Sign-On (SSO) della tua azienda, tale processo crea automaticamente credenziali temporanee. Le credenziali temporanee vengono create in automatico anche quando si accede alla console come utente e poi si cambia ruolo. Per maggiori informazioni sullo scambio dei ruoli, consulta [Passaggio da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) nella *Guida per l’utente di IAM*.
È possibile creare manualmente credenziali temporanee utilizzando l'API or. AWS CLI AWS È quindi possibile utilizzare tali credenziali temporanee per accedere. AWS AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per maggiori informazioni, consulta [Credenziali di sicurezza provvisorie in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html).
## Sessioni di accesso diretto per Amazon EVS
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Quando utilizzi un utente o un ruolo IAM per eseguire azioni AWS, sei considerato un principale. Quando si utilizzano alcuni servizi, è possibile eseguire un’operazione che attiva un’altra operazione in un servizio diverso. FAS utilizza le autorizzazioni del principale che chiama an Servizio AWS, in combinazione con la richiesta Servizio AWS per effettuare richieste ai servizi downstream. Le richieste FAS vengono effettuate solo quando un servizio riceve una richiesta che richiede interazioni con altri Servizi AWS o risorse per essere completata. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le azioni. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per Amazon EVS
**Supporta i ruoli di servizio:** no
Un ruolo di servizio è un ruolo IAM che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
## Ruoli collegati ai servizi per Amazon EVS
**Supporta i ruoli collegati ai servizi:** Sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per dettagli sulla creazione o la gestione di ruoli collegati ai servizi Amazon EVS, consulta. [Utilizzo di ruoli collegati ai servizi per Amazon EVS](using-service-linked-roles.md)
# Esempi di policy basate sull'identità di Amazon EVS
Per impostazione predefinita, Utenti IAM i ruoli non dispongono dell'autorizzazione per creare o modificare risorse Amazon EVS. Inoltre, non possono eseguire attività utilizzando l' AWS API Console di gestione AWS AWS CLI, o. Un IAM amministratore deve creare IAM politiche che concedano a utenti e ruoli l'autorizzazione a eseguire operazioni API specifiche sulle risorse specifiche di cui ha bisogno. L'amministratore deve quindi allegare tali politiche agli Utenti IAM o ai gruppi che richiedono tali autorizzazioni.
*Per scoprire come creare una policy basata sull'identità IAM utilizzando questi esempi di documenti di policy JSON, consulta [Creating policies using the JSON editor](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) nella IAM User Guide.*
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Amazon EVS](#security-iam-id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security-iam-id-based-policy-examples-view-own-permissions)
+ [Crea e gestisci un ambiente Amazon EVS](#security-iam-id-based-policy-examples-create-env)
+ [Ottieni ed elenca ambienti, host Amazon EVS e VLANs](#security-iam-id-based-policy-examples-list-env)
## Best practice per le policy
Le policy basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon EVS nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le politiche AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni. AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applica le autorizzazioni con privilegi minimi: quando imposti le autorizzazioni** con le IAM politiche, concedi solo le autorizzazioni necessarie per eseguire un'attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. *Per ulteriori informazioni sull'utilizzo IAM per applicare le autorizzazioni, consulta [Policies and](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) permissions nella IAM User Guide. IAM*
+ **Utilizza le condizioni nelle IAM policy per limitare ulteriormente l'accesso**: puoi aggiungere una condizione alle tue policy per limitare l'accesso ad azioni e risorse. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. È inoltre possibile utilizzare le condizioni per concedere l'accesso alle azioni di servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per ulteriori informazioni, consulta [IAM JSON Policy elements: condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *IAM User Guide*.
+ ** IAM Access Analyzer Utilizzalo per convalidare le IAM policy per garantire autorizzazioni sicure e funzionali**: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio delle IAM policy (JSON) e alle best practice. IAM IAM Access Analyzer fornisce più di 100 controlli delle politiche e consigli pratici per aiutarti a creare policy sicure e funzionali. Per ulteriori informazioni, consulta la [convalida IAM Access Analyzer delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *IAM* User Guide.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che Utenti IAM richiede l'utilizzo di utenti root nel tuo account, attiva l'autenticazione a più fattori per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungi le condizioni MFA alle policy. Per ulteriori informazioni, consulta [Configurazione dell'accesso alle API protetto con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l'utente IAM*.
## Utilizzo della console Amazon EVS
Per accedere alla console Amazon EVS, un principale IAM deve disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentire al responsabile di elencare e visualizzare i dettagli sulle risorse Amazon EVS presenti nel tuo. Account AWS Se crei una policy di basata su identità più restrittiva delle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per i principali associati a tale policy.
Per garantire che i tuoi responsabili IAM possano ancora utilizzare la console Amazon EVS, crea una policy con il tuo nome univoco, ad esempio. `AmazonEVSAdminPolicy` Allega la politica ai principali. Per ulteriori informazioni, consulta la sezione [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l'utente di IAM*:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"evs:*"
],
"Resource": "*"
},
{
"Sid": "EVSServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/evs.amazonaws.com/AWSServiceRoleForEVS",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "evs.amazonaws.com"
}
}
}
]
}
```
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o l'API. AWS Al contrario, è possibile accedere solo alle operazioni che soddisfano l’operazione API che stai cercando di eseguire.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra come è possibile creare una politica che Utenti IAM consenta di visualizzare le politiche in linea e gestite allegate alla loro identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Crea e gestisci un ambiente Amazon EVS
Questa policy di esempio include le autorizzazioni necessarie per creare ed eliminare un ambiente Amazon EVS e aggiungere o eliminare host dopo la creazione dell'ambiente.
Puoi sostituirlo Regione AWS con Regione AWS quello in cui desideri creare un ambiente. Se il tuo account dispone già del ruolo `AWSServiceRoleForAmazonEVS`, puoi rimuovere l'azione `iam:CreateServiceLinkedRole` dalla policy. Se hai mai creato un ambiente Amazon EVS nel tuo account, esiste già un ruolo con queste autorizzazioni, a meno che tu non lo abbia eliminato.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadOnlyDescribeActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeInstanceStatus",
"ec2:DescribeHosts",
"ec2:DescribeDhcpOptions",
"ec2:DescribeAddresses",
"ec2:DescribeKeyPairs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstances",
"ec2:DescribeRouteServers",
"ec2:DescribeRouteServerEndpoints",
"ec2:DescribeRouteServerPeers",
"ec2:DescribePlacementGroups",
"ec2:DescribeVolumes",
"ec2:DescribeSecurityGroups",
"support:DescribeServices",
"support:DescribeSupportLevel",
"servicequotas:GetServiceQuota",
"servicequotas:ListServiceQuotas"
],
"Resource": "*"
},
{
"Sid": "ModifyNetworkInterfaceStatement",
"Effect": "Allow",
"Action": [
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "ModifyNetworkInterfaceStatementForSubnetAssociation",
"Effect": "Allow",
"Action": [
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws:ec2:*:*:subnet/*",
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "CreateNetworkInterfaceWithTag",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:RequestTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "CreateNetworkInterfaceAdditionalResources",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "TagOnCreateEC2Resources",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:subnet/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": [
"CreateNetworkInterface",
"RunInstances",
"CreateSubnet",
"CreateVolume"
]
},
"Null": {
"aws:RequestTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "DetachNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:DetachNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "RunInstancesWithTag",
"Effect": "Allow",
"Action": [
"ec2:RunInstances"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
],
"Condition": {
"Null": {
"aws:RequestTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "RunInstancesWithTagResource",
"Effect": "Allow",
"Action": [
"ec2:RunInstances"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "RunInstancesWithoutTag",
"Effect": "Allow",
"Action": [
"ec2:RunInstances"
],
"Resource": [
"arn:aws:ec2:*:*:image/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:key-pair/*",
"arn:aws:ec2:*:*:placement-group/*"
]
},
{
"Sid": "TerminateInstancesWithTag",
"Effect": "Allow",
"Action": [
"ec2:TerminateInstances",
"ec2:ModifyInstanceAttribute"
],
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "CreateSubnetWithTag",
"Effect": "Allow",
"Action": [
"ec2:CreateSubnet"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*"
],
"Condition": {
"Null": {
"aws:RequestTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "CreateSubnetWithoutTagForExistingVPC",
"Effect": "Allow",
"Action": [
"ec2:CreateSubnet"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
]
},
{
"Sid": "DeleteSubnetWithTag",
"Effect": "Allow",
"Action": [
"ec2:DeleteSubnet"
],
"Resource": "arn:aws:ec2:*:*:subnet/*",
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "VolumeDeletion",
"Effect": "Allow",
"Action": [
"ec2:DeleteVolume"
],
"Resource": "arn:aws:ec2:*:*:volume/*",
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "VolumeDetachment",
"Effect": "Allow",
"Action": [
"ec2:DetachVolume"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "RouteServerAccess",
"Effect": "Allow",
"Action": [
"ec2:GetRouteServerAssociations"
],
"Resource": "arn:aws:ec2:*:*:route-server/*"
},
{
"Sid": "EVSServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/evs.amazonaws.com/AWSServiceRoleForEVS",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "evs.amazonaws.com"
}
}
},
{
"Sid": "SecretsManagerCreateWithTag",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"StringEquals": {
"aws:RequestTag/AmazonEVSManaged": "true"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AmazonEVSManaged"
]
}
}
},
{
"Sid": "SecretsManagerTagging",
"Effect": "Allow",
"Action": [
"secretsmanager:TagResource"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"StringEquals": {
"aws:RequestTag/AmazonEVSManaged": "true",
"aws:ResourceTag/AmazonEVSManaged": "true"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AmazonEVSManaged"
]
}
}
},
{
"Sid": "SecretsManagerOps",
"Effect": "Allow",
"Action": [
"secretsmanager:DeleteSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:UpdateSecret"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"Null": {
"aws:ResourceTag/AmazonEVSManaged": "false"
}
}
},
{
"Sid": "SecretsManagerRandomPassword",
"Effect": "Allow",
"Action": [
"secretsmanager:GetRandomPassword"
],
"Resource": "*"
},
{
"Sid": "EVSPermissions",
"Effect": "Allow",
"Action": [
"evs:*"
],
"Resource": "*"
},
{
"Sid": "KMSKeyAccessInConsole",
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Sid": "KMSKeyAliasAccess",
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
}
]
}
```
## Ottieni ed elenca ambienti, host Amazon EVS e VLANs
Questa policy di esempio include le autorizzazioni minime richieste a un amministratore per ottenere ed elencare tutti gli ambienti Amazon EVS, gli host e VLANs all'interno di un determinato account in us-east-2. Regione AWS
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"evs:Get*",
"evs:List*"
],
"Resource": "*"
}
]
}
```
# Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon EVS
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Amazon EVS e. IAM
**Topics**
+ [AccessDeniedException](#security-iam-troubleshoot-access-denied)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon EVS](#security-iam-troubleshoot-cross-account-access)
## AccessDeniedException
Se ricevi un messaggio `AccessDeniedException` quando chiami un'operazione AWS API, le credenziali principali IAM che stai utilizzando non dispongono delle autorizzazioni necessarie per effettuare quella chiamata.
```
An error occurred (AccessDeniedException) when calling the CreateEnvironment operation:
User: arn:aws:iam::111122223333:user/user_name is not authorized to perform:
evs:CreateEnvironment on resource: arn:aws:evs:region:111122223333:environment/my-env
```
Nel messaggio di esempio precedente, l'utente non dispone delle autorizzazioni per chiamare l'operazione dell'`CreateEnvironment`API Amazon EVS. Per fornire le autorizzazioni di amministratore di Amazon EVS a un principale IAM, consulta. [Esempi di policy basate sull'identità di Amazon EVS](security-iam-id-based-policy-examples.md)
Per informazioni più generali su IAM, consulta [Controllare l'accesso alle AWS risorse utilizzando le policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) nella *IAM User Guide*.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon EVS
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Amazon EVS supporta queste funzionalità, consulta[Come funziona Amazon EVS con IAM](security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un Utente IAM altro Account AWS utente di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terzi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per capire come fornire l'accesso tramite la federazione delle identità, consulta [Fornire accesso a utenti autenticati esternamente (Federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente di IAM*.
+ *Per scoprire la differenza tra l'utilizzo dei ruoli e delle politiche basate sulle risorse per l'accesso tra account diversi, consulta [How IAM roles differiscono dalle policy basate sulle risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) nella IAM User Guide.*
# AWS politiche gestite per Amazon EVS
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti. Per ulteriori informazioni, consulta [le politiche AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida IAM per l'utente*.
## AWS politica gestita: Amazon EVSService RolePolicy
Non è possibile allegare `AmazonEVSServiceRolePolicy` alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente ad Amazon EVS di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon EVS](using-service-linked-roles.md). Quando crei un ambiente utilizzando un principale IAM che dispone dell'`iam:CreateServiceLinkedRole`autorizzazione, il ruolo `AWSServiceRoleforAmazonEVS` collegato al servizio viene creato automaticamente per te con questa policy associata.
Questa policy consente al ruolo `AWSServiceRoleForAmazonEVS` collegato al servizio di chiamare Servizi AWS per tuo conto.
**Dettagli delle autorizzazioni**
Questa politica include le seguenti autorizzazioni che consentono ad Amazon EVS di completare le seguenti attività.
+ `ec2`- Scopri i componenti di rete VPC, tra cui sottoreti e. VPCs Crea, modifica, etichetta ed elimina interfacce di rete elastiche utilizzate per stabilire una connessione persistente tra Amazon EVS e l'appliance SDDC Manager di VMware Virtual Cloud Foundation (VCF) nella tua sottorete VPC. Questa connettività è necessaria per Amazon EVS per distribuire, gestire e monitorare l'implementazione VCF.
+ `ec2`- Elimina le istanze EC2 create da Amazon EVS quando effettui una richiesta di eliminazione di un host EVS. Descrivi e modifica gli attributi delle istanze EC2 in modo che la chiusura e l'interruzione della protezione predefinite dell'istanza EC2 possano essere disabilitate, se necessario, per supportare l'eliminazione degli host EVS.
+ `ec2`- Gestisci i volumi EBS per l'installazione e la pulizia di Cloud Builder. Durante la creazione dell'ambiente, Cloud Builder viene installato su uno degli host distribuiti da Amazon EVS per eseguire modifiche alla configurazione VCF. Al termine, Amazon EVS rimuove Cloud Builder scollegando ed eliminando il volume EC2 su cui è archiviato.
+ `ec2`- Elimina le sottoreti VLAN EVS per tuo conto se richiedi l'eliminazione dell'ambiente.
+ `secretsmanager`- Elimina le password VCF che Amazon EVS crea e archivia in AWS Secrets Manager durante la creazione dell'ambiente. Amazon EVS elimina tutti i segreti che il servizio crea nel tuo account se la creazione dell'ambiente non riesce o se richiedi l'eliminazione dell'ambiente. Recupera le credenziali vCenter da Secrets AWS Manager quando configuri un connettore vCenter fornendo un ARN segreto. L'autorizzazione è soggetta a una condizione di tag di risorsa `EvsAccess=true` per garantire che Amazon EVS acceda solo ai segreti etichettati esplicitamente per l'accesso ad Amazon EVS vCenter.
+ `kms`- Decrittografa i segreti e descrivi le chiavi KMS quando le credenziali vCenter archiviate in Secrets Manager sono crittografate con chiavi KMS. L'autorizzazione è soggetta a una condizione di tag di risorsa `EvsAccess=true` per garantire che Amazon EVS acceda solo alle chiavi KMS etichettate esplicitamente per l'accesso a vCenter.
+ `cloudwatch`- Pubblica i parametri di AWS utilizzo CloudWatch per le risorse Amazon EVS con quote.
Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta [Amazon EVSService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEVSServiceRolePolicy.html) nella * AWS Managed Policy Reference Guide*.
## Aggiornamenti di Amazon EVS alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon EVS da quando questo servizio ha iniziato a tracciare queste modifiche. Per gli avvisi automatici sulle modifiche apportate alla pagina, iscriviti al feed RSS alla pagina [Cronologia dei documenti per la Amazon Elastic VMware Service User Guide](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| Amazon EVSService RolePolicy — Politica aggiornata | Amazon EVS ha aggiornato la policy per consentire al servizio di recuperare le credenziali vCenter da Secrets AWS Manager e di decrittografare i segreti crittografati con chiavi KMS. Per ulteriori informazioni, consulta [AWS politica gestita: Amazon EVSService RolePolicy](#security-iam-awsmanpol-amazonevsservicerolepolicy). | 23 marzo 2026 |
| Amazon EVSService RolePolicy — Politica aggiornata | Amazon EVS ha aggiornato la policy per aggiungere funzionalità complete di gestione delle risorse, tra cui la gestione delle istanze EC2, le operazioni sui volumi EBS e l'integrazione di AWS Secrets Manager. Per ulteriori informazioni, consulta [AWS politica gestita: Amazon EVSService RolePolicy](#security-iam-awsmanpol-amazonevsservicerolepolicy). | 14 agosto 2025 |
| Amazon EVSService RolePolicy — Politica aggiornata | Amazon EVS ha aggiornato la policy per consentire al servizio di eliminare le sottoreti VLAN EVS e di pubblicare i parametri di utilizzo di Amazon EVS su. CloudWatch Per ulteriori informazioni, consulta [AWS politica gestita: Amazon EVSService RolePolicy](#security-iam-awsmanpol-amazonevsservicerolepolicy). | 14 luglio 2025 |
| Amazon EVSService RolePolicy — Aggiunta una nuova politica | Amazon EVS ha aggiunto una nuova policy che consente al servizio di connettersi a una sottorete VPC nell'account del cliente. Questa connessione è necessaria per la funzionalità del servizio. Per ulteriori informazioni, consulta [AWS politica gestita: Amazon EVSService RolePolicy](#security-iam-awsmanpol-amazonevsservicerolepolicy). | 9 giugno 2025 |
| Amazon EVS ha iniziato a tracciare le modifiche | Amazon EVS ha iniziato a tracciare le modifiche per le sue politiche AWS gestite. | 9 giugno 2025 |
# Utilizzo di ruoli collegati ai servizi per Amazon EVS
Amazon Elastic VMware Service utilizza ruoli AWS collegati al [servizio Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-service-linked-role). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ad Amazon EVS. I ruoli collegati ai servizi sono predefiniti da Amazon EVS e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.
Un ruolo collegato al servizio semplifica la configurazione di Amazon EVS perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Amazon EVS definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Amazon EVS può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi le tue risorse Amazon EVS perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Yes** (Sì) nella colonna **Service-linked roles** (Ruoli collegati ai servizi). Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per Amazon EVS
Amazon EVS utilizza il ruolo collegato al servizio denominato. `AWSServiceRoleForAmazonEVS` Il ruolo consente ad Amazon EVS di gestire gli ambienti del tuo account. La policy allegata consente al ruolo di gestire le seguenti risorse: interfacce di rete elastiche EVS, sottoreti VLAN EVS, host EVS e metriche. VPCs CloudWatch
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio `AWSServiceRoleForAmazonEVS` considera attendibili i seguenti servizi:
+ `evs.amazonaws.com`
La politica di autorizzazione dei ruoli consente ad Amazon EVS di completare le seguenti azioni sulle risorse specificate:
+ [AmazonEVSServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEVSServiceRolePolicy.html)
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato ai servizi per Amazon EVS
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un ambiente nella AWS CLI o nell' AWS API, Amazon EVS crea il ruolo collegato al servizio per te. Console di gestione AWS
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei un ambiente, Amazon EVS crea nuovamente il ruolo collegato ai servizi per te.
## Modifica di un ruolo collegato ai servizi per Amazon EVS
Amazon EVS non consente di modificare il ruolo collegato al `AWSServiceRoleForAmazonEVS` servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Amazon EVS
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
### Pulizia di un ruolo collegato ai servizi
Prima di utilizzare IAM; per eliminare un ruolo collegato al servizio, è necessario prima rimuovere qualsiasi risorsa utilizzata dal ruolo. Per informazioni sulla procedura per eliminare un ambiente Amazon EVS con host, consulta[Eliminare gli host e l'ambiente Amazon EVS](getting-started.md#getting-started-cleanup-env-hosts).
**Nota**
Se il servizio Amazon EVS utilizza il ruolo quando tenti di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
### Eliminazione manuale del ruolo collegato ai servizi
Utilizza la console IAM, la AWS CLI o l' AWS API per eliminare il ruolo collegato al `AWSServiceRoleForAmazonEVS` servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi Amazon EVS
Amazon EVS supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta gli [endpoint e le quote di Amazon Elastic VMware Service](https://docs.aws.amazon.com/general/latest/gr/evs.html) nella * AWS General Reference Guide*.