Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in Amazon FSx
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Amazon Web Services Cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per informazioni sui programmi di conformità applicabili ad Amazon FSx for Windows File Server, consulta [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi Amazon FSx for Windows File Server. I seguenti argomenti mostrano come configurare Amazon FSx for Windows File Server per soddisfare i tuoi obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse Amazon FSx for Windows File Server.
**Topics**
+ [Protezione dei dati in Amazon FSx per Windows File Server](data-protection-encryption.md)
+ [Controllo degli accessi a livello di file e cartella tramite Windows ACLs](limit-access-file-folder.md)
+ [Controllo degli accessi ai file system con Amazon VPC](limit-access-security-groups.md)
+ [Registrazione dell'accesso dell'utente finale con il controllo dell'accesso ai file](file-access-auditing.md)
+ [Gestione delle identità e degli accessi per Amazon FSx for Windows File Server](security-iam.md)
+ [Convalida della conformità per Amazon FSx for Windows File Server](fsx-compliance.md)
+ [Amazon FSx per Windows File Server e endpoint VPC di interfaccia](fsx-vpc-endpoints.md)
# Protezione dei dati in Amazon FSx per Windows File Server
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon FSx per Windows File Server. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [Modello di responsabilità condivisa AWS e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *Blog sulla sicurezza AWS *.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l'autenticazione a più fattori (MFA) con ogni account.
+ Usa SSL/TLS per comunicare con le risorse. AWS È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò vale anche quando si lavora con FSx Windows File Server o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.
## Crittografia dei dati FSx per Windows File Server
Amazon FSx per Windows File Server supporta la crittografia dei dati inattivi e la crittografia dei dati in transito. La crittografia dei dati inattivi viene abilitata automaticamente durante la creazione di un FSx file system Amazon. La crittografia dei dati in transito è supportata su condivisioni di file mappate su un'istanza di calcolo che supporta il protocollo SMB 3.0 o successivo. Amazon crittografa FSx automaticamente i dati in transito utilizzando la crittografia SMB quando accedi al tuo file system senza che tu debba modificare le tue applicazioni.
### Quando usare la crittografia
Se la propria azienda è soggetto a politiche aziendali o normative che richiedono la crittografia dei dati e dei metadati memorizzati su disco, consigliamo di creare un file system crittografato montando il file system utilizzando la crittografia dei dati in transito.
Se la tua organizzazione è soggetta a politiche aziendali o normative che richiedono la crittografia dei dati e dei metadati inattivi, i tuoi dati vengono automaticamente crittografati quando sono inattivi. Si consiglia inoltre di abilitare la crittografia dei dati in transito installando il file system utilizzando la crittografia dei dati in transito.
# Crittografia dei dati a riposo
Tutti i FSx file system Amazon sono crittografati quando sono inattivi con chiavi gestite tramite AWS Key Management Service (AWS KMS). I dati vengono crittografati automaticamente prima di essere scritti nel file system e decrittografati automaticamente durante la lettura. Questi processi sono gestiti in modo trasparente da Amazon FSx, quindi non devi modificare le tue applicazioni.
Amazon FSx utilizza un algoritmo di crittografia AES-256 standard di settore per crittografare dati e metadati Amazon FSx inattivi. Per ulteriori informazioni, consulta [Elementi di base di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) nella *Guida per sviluppatori di AWS Key Management Service *.
**Nota**
L'infrastruttura di gestione delle AWS chiavi utilizza algoritmi crittografici approvati dal Federal Information Processing Standards (FIPS) 140-2. L'infrastruttura è compatibile con le raccomandazioni National Institute of Standards and Technology (NIST) 800-57.
## Come FSx utilizza Amazon AWS KMS
Amazon FSx si integra con AWS KMS per la gestione delle chiavi. Amazon FSx utilizza an AWS KMS key per crittografare il tuo file system. Scegli la chiave KMS utilizzata per crittografare e decrittografare i file system (dati e metadati). Puoi abilitare, disabilitare o revocare le concessioni su questa chiave KMS. Questa chiave KMS può essere di uno dei due tipi seguenti:
+ **Chiave gestita da AWS**— Questa è la chiave KMS predefinita ed è gratuita.
+ **Chiave gestita dal cliente** – Questa è la chiave KMS più flessibile da usare, perché è possibile configurare le policy della chiave e i permessi per più utenti o servizi. Per ulteriori informazioni sulla creazione di chiavi gestite dai clienti, consulta [Creating keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella * AWS Key Management Service Developer Guide*.
Se utilizzi una chiave gestita dal cliente come chiave KMS per la crittografia e la decrittografia dei dati dei file, puoi abilitare la rotazione delle chiavi. Quando si abilita la rotazione delle chiavi, AWS KMS fa ruotare automaticamente la chiave una volta all'anno. Inoltre, con una chiave gestita dal cliente, puoi scegliere quando disabilitare, riattivare, eliminare o revocare l'accesso alla tua chiave KMS in qualsiasi momento. *Per ulteriori informazioni, consulta [Rotating AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) nella Developer Guide. AWS Key Management Service *
## Politiche Amazon FSx Key per AWS KMS
Le policy chiave sono lo strumento principale per controllare l'accesso alle chiavi KMS. Per ulteriori informazioni sulle politiche chiave, consulta la sezione [Utilizzo delle politiche chiave AWS KMS nella](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Guida per gli AWS Key Management Service sviluppatori.*L'elenco seguente descrive tutte le autorizzazioni AWS KMS relative supportate da Amazon FSx per i file system crittografati a riposo:
+ **kms:Encrypt** - (Facoltativa) Crittografa testo normale in testo criptato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms:Decrypt** - (Obbligatoria) Decifra il testo criptato. Il testo cifrato è un testo normale che è stato precedentemente crittografato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: ReEncrypt** — (Facoltativo) Crittografa i dati sul lato server con una nuova chiave KMS, senza esporre il testo in chiaro dei dati sul lato client. I dati sono prima decifrati e quindi nuovamente crittografati. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: GenerateDataKeyWithoutPlaintext** — (Obbligatorio) Restituisce una chiave di crittografia dei dati crittografata con una chiave KMS. Questa autorizzazione è inclusa nella politica delle chiavi predefinita in **kms**: \$1. GenerateDataKey
+ **kms: CreateGrant** — (Obbligatorio) Aggiunge una concessione a una chiave per specificare chi può utilizzare la chiave e in quali condizioni. I grant sono meccanismi di autorizzazioni alternative alle policy sulle chiavi. Per ulteriori informazioni sulle sovvenzioni, consulta [Using grants](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) nella Developer Guide. AWS Key Management Service Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: DescribeKey** — (Obbligatorio) Fornisce informazioni dettagliate sulla chiave KMS specificata. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: ListAliases** — (Facoltativo) Elenca tutti gli alias chiave dell'account. Quando usi la console per creare un file system crittografato, questa autorizzazione compila l'elenco delle chiavi KMS. Consigliamo di usare questa autorizzazione per garantire la migliore esperienza utente. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
# Crittografia dei dati in transito
La crittografia dei dati in transito è supportata nelle condivisioni di file mappate su un'istanza di calcolo che supporta il protocollo SMB 3.0 o versione successiva. Ciò include tutte le versioni di Windows a partire da Windows Server 2012 e Windows 8 e tutti i client Linux con client Samba versione 4.2 o successiva. Amazon FSx for Windows File Server crittografa automaticamente i dati in transito utilizzando la crittografia SMB quando accedi al file system senza la necessità di modificare le applicazioni.
La crittografia SMB utilizza AES-128-GCM o AES-128-CCM (con la variante GCM scelta se il client supporta SMB 3.1.1) come algoritmo di crittografia e garantisce inoltre l'integrità dei dati con la firma tramite chiavi di sessione Kerberos SMB. L'uso di AES-128-GCM porta a prestazioni migliori, ad esempio, fino a 2 volte superiori quando si copiano file di grandi dimensioni su connessioni SMB crittografate.
Per soddisfare i requisiti di conformità per la crittografia continua data-in-transit, è possibile limitare l'accesso al file system in modo da consentire l'accesso solo ai client che supportano la crittografia SMB. È inoltre possibile abilitare o disabilitare la crittografia in transito per ogni condivisione di file o per l'intero file system. Ciò consente di disporre di una combinazione di condivisioni di file crittografate e non crittografate sullo stesso file system.
## Gestione della crittografia in transito
È possibile utilizzare un set di PowerShell comandi personalizzati per controllare la crittografia dei dati in transito tra il file system FSx per Windows File Server e i client. È possibile limitare l'accesso al file system solo ai client che supportano la crittografia SMB in modo che data-in-transit sia sempre crittografata. Quando è attivata la crittografia di data-in-transit, gli utenti che accedono al file system da client che non supportano la crittografia SMB 3.0 non saranno in grado di accedere alle condivisioni di file per le quali è attivata la crittografia.
È inoltre possibile controllare la crittografia a livello di data-in-transit condivisione di file anziché a livello di file server. È possibile utilizzare i controlli di crittografia a livello di condivisione di file per disporre di una combinazione di condivisioni di file crittografate e non crittografate sullo stesso file system se si desidera applicare la crittografia in transito per alcune condivisioni di file che contengono dati sensibili e consentire a tutti gli utenti di accedere ad altre condivisioni di file. La crittografia a livello di server ha la precedenza sulla crittografia a livello di condivisione. Se la crittografia globale è abilitata, non è possibile disabilitare selettivamente la crittografia per determinate condivisioni.
Puoi gestire la crittografia in transito sul tuo file system utilizzando l'Amazon FSx CLI per la gestione remota su. PowerShell Per informazioni su come utilizzare questa CLI, consulta. [Utilizzo dell'Amazon FSx CLI per PowerShell](administering-file-systems.md#remote-pwrshell)
Di seguito sono riportati i comandi che è possibile utilizzare per gestire la crittografia in transito degli utenti sul file system.
| Encryption in Transit Command | Descrizione |
| --- | --- |
| **Get-FSxSmbServerConfiguration** | Recupera la configurazione del server Server Message Block (SMB). Nella risposta del sistema è possibile determinare la crittografia nelle impostazioni di transito per il file system in base ai valori delle proprietà and. `EncryptData` `RejectUnencryptedAccess` |
| **Set-FSxSmbServerConfiguration** | Questo comando ha due opzioni per configurare la crittografia in transito a livello globale sul file system: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/encryption-in-transit.html) |
| **Set-FSxSmbShare -name *name* -EncryptData \$1True** | Imposta questo parametro su `True` per attivare la crittografia dei dati in transito per la condivisione. Imposta questo parametro su `False` per disattivare la crittografia dei dati in transito per la condivisione. |
La guida in linea di ogni comando fornisce un riferimento a tutte le opzioni di comando. Per accedere a questa guida, esegui il comando con**-?**, ad esempio**Get-FSxSmbServerConfiguration -?**.
# Controllo degli accessi a livello di file e cartella tramite Windows ACLs
Amazon FSx for Windows File Server supporta l'autenticazione basata sull'identità tramite il protocollo Server Message Block (SMB) tramite Microsoft Active Directory. Active Directory è il servizio di directory di Microsoft che consente di archiviare informazioni sugli oggetti presenti in rete e di semplificare la ricerca e l'utilizzo di tali informazioni da parte di amministratori e utenti. Questi oggetti includono in genere risorse condivise come file server e account di utenti e computer di rete. Per ulteriori informazioni sul supporto di Active Directory in Amazon FSx, consulta[Lavorare con Microsoft Active Directory](aws-ad-integration-fsxW.md).
Le tue istanze di calcolo aggiunte al dominio possono accedere alle condivisioni di file FSx Amazon utilizzando le credenziali di Active Directory. Utilizzi elenchi di controllo degli accessi standard di Windows (ACLs) per un controllo granulare degli accessi a livello di file e cartelle. I FSx file system Amazon verificano automaticamente le credenziali degli utenti che accedono ai dati del file system per applicare questi Windows. ACLs
Ogni FSx file system Amazon viene fornito con una condivisione di file Windows predefinita denominata`share`. Le finestre ACLs relative a questa cartella condivisa sono configurate per consentire l' read/write accesso agli **utenti autenticati**, inclusi gli utenti del dominio a cui fa parte il file system e gli utenti dei domini con una relazione di fiducia. Consentono inoltre il pieno controllo del gruppo di amministratori delegati di Active Directory, incaricato di eseguire azioni amministrative sui file system. Se stai integrando il tuo file system con AWS Managed Microsoft AD, questo gruppo è costituito da Amministratori AWS delegati FSx . Se stai integrando il tuo file system con la configurazione autogestita di Microsoft AD, questo gruppo può essere Domain Admins. Oppure può essere un gruppo di amministratori delegati personalizzato specificato durante la creazione del file system. Per modificare il ACLs, puoi mappare la condivisione come utente membro del gruppo di amministratori delegati.
| |
| --- |
| Amazon FSx richiede che l'utente SYSTEM disponga delle autorizzazioni ACL NTFS per il **controllo completo** su tutte le cartelle all'interno del file system. Non modificare le autorizzazioni ACL NTFS per questo utente sulle tue cartelle. In questo modo si può rendere inaccessibile la condivisione di file e impedire l'utilizzo dei backup del file system. |
## Collegamenti correlati
+ [Che cos'è il AWS Directory Service?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) nella Guida all' AWS Directory Service amministrazione.
+ [Crea la tua directory AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html) nella *AWS Directory Service Administration Guide*.
+ [Quando creare una relazione di fiducia](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html) nella *Guida all'AWS Directory Service amministrazione*.
+ [Passaggio 1. Configurazione di un Active Directory](getting-started.md#prereq-step1).
# Controllo degli accessi ai file system con Amazon VPC
Puoi accedere al tuo FSx file system Amazon tramite un'interfaccia di rete elastica. Questa interfaccia di rete risiede nel cloud privato virtuale (VPC) basato sul servizio Amazon Virtual Private Cloud (Amazon VPC) associato al file system. Ti connetti al tuo FSx file system Amazon tramite il nome DNS (Domain Name Service). Il nome DNS viene mappato all'indirizzo IP privato dell'interfaccia di rete elastica del file system nel tuo VPC. Solo le risorse all'interno del VPC associato, le risorse collegate al VPC associato tramite Direct Connect o VPN o le risorse all'interno del sistema peer VPCs possono accedere all'interfaccia di rete del file system. Per ulteriori informazioni, consulta [Cos'è Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)? nella Guida per l'*utente di Amazon VPC*.
**avvertimento**
Non è necessario modificare o eliminare le interfacce elastiche di rete associate al file system. La modifica o l'eliminazione dell'interfaccia di rete può causare una perdita permanente della connessione tra il VPC e il file system.
FSx per Windows File Server supporta la condivisione VPC, che consente di visualizzare, creare, modificare ed eliminare risorse in una sottorete condivisa in un VPC di proprietà di un altro account. AWS Per ulteriori informazioni, consulta [Working with Shared VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) nella *Amazon VPC User* Guide.
## Gruppi di sicurezza Amazon VPC
Per controllare ulteriormente il traffico di rete che attraversa le interfacce di rete elastiche del file system all'interno del VPC, utilizza i gruppi di sicurezza per limitare l'accesso ai file system. Un *gruppo di sicurezza* è un firewall a stato che controlla il traffico da e verso le interfacce di rete associate. In questo caso, la risorsa associata sono le interfacce di rete del file system.
Per utilizzare un gruppo di sicurezza per controllare l'accesso al tuo FSx file system Amazon, aggiungi regole in entrata e in uscita. Le regole in entrata controllano il traffico in entrata e le regole in uscita controllano il traffico in uscita dal tuo file system. Assicurati di avere le regole del traffico di rete corrette nel tuo gruppo di sicurezza per mappare la condivisione di FSx file del tuo file system Amazon su una cartella sull'istanza di calcolo supportata.
Per ulteriori informazioni sulle regole dei gruppi di sicurezza, consulta le [regole del gruppo di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules) nella Guida per l'*utente di Amazon EC2*.
**Per creare un gruppo di sicurezza per Amazon FSx**
1. [Apri la console Amazon EC2 in https://console.aws.amazon.com /ec2.](https://console.aws.amazon.com/ec2)
1. Fare clic su **Security Groups (Gruppi di sicurezza)** nel pannello di navigazione.
1. Scegliere **Create Security Group (Crea un gruppo di sicurezza)**.
1. Specificare un nome e una descrizione per il gruppo di sicurezza.
1. Per **VPC**, scegli Amazon VPC associato al tuo file system per creare il gruppo di sicurezza all'interno di quel VPC.
1. Aggiungi le seguenti regole per consentire il traffico di rete in uscita sulle seguenti porte:
1. Per i **gruppi di sicurezza VPC**, il gruppo di sicurezza predefinito per il tuo Amazon VPC predefinito è già aggiunto al file system nella console. Assicurati che il gruppo di sicurezza e la rete VPC ACLs per le sottoreti in cui stai creando il FSx file system consentano il traffico sulle porte e nelle direzioni mostrate nel diagramma seguente.
![\[FSx per i requisiti di configurazione delle porte di Windows File Server per i gruppi di sicurezza VPC e la rete ACLs per le sottoreti in cui viene creato il file system.\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
Nella tabella seguente è indicato il ruolo di ciascuna porta.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/limit-access-security-groups.html)
**Importante**
L'autorizzazione del traffico in uscita sulla porta TCP 9389 è necessaria per le implementazioni di file system Single-AZ 2 e Multi-AZ.
1. Assicurati che queste regole del traffico siano rispecchiate anche sui firewall che si applicano a ciascuno dei controller di dominio AD, server DNS, client e amministratori. FSx FSx
**Importante**
Sebbene i gruppi di sicurezza Amazon VPC richiedano l'apertura delle porte solo nella direzione di avvio del traffico di rete, la maggior parte dei firewall Windows e delle reti VPC richiedono che le porte siano aperte in ACLs entrambe le direzioni.
**Nota**
Se hai definito siti Active Directory, devi assicurarti che le sottoreti nel VPC associato al tuo file system FSx Amazon siano definite in un sito Active Directory e che non esistano conflitti tra le sottoreti nel tuo VPC e le sottoreti negli altri siti. È possibile visualizzare e modificare queste impostazioni utilizzando lo snap-in MMC di Active Directory Sites and Services.
**Nota**
In alcuni casi, è possibile che le regole del gruppo di AWS Managed Microsoft AD sicurezza siano state modificate rispetto alle impostazioni predefinite. In tal caso, assicurati che questo gruppo di sicurezza disponga delle regole in entrata necessarie per consentire il traffico proveniente dal tuo FSx file system Amazon. *Per ulteriori informazioni sulle regole in entrata richieste, consulta [AWS Managed Microsoft AD Prerequisiti nella Guida](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_prereqs.html) all'AWS Directory Service amministrazione.*
Ora che hai creato il tuo gruppo di sicurezza, puoi associarlo alle interfacce elastiche di rete del tuo FSx file system Amazon.
**Per associare un gruppo di sicurezza al tuo FSx file system Amazon**
1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Nella dashboard, scegli il tuo file system per visualizzarne i dettagli.
1. Scegli la scheda **Rete e sicurezza** e scegli le interfacce di rete del tuo file system, ad esempio **ENI-01234567890123456**. Per i file system Single-AZ, vedrai un'unica interfaccia di rete. Per i file system Multi-AZ, vedrete un'interfaccia di rete nella sottorete Preferred e una nella sottorete Standby.
1. **Per ogni interfaccia di rete, scegli l'interfaccia di rete e in **Azioni**, scegli Cambia gruppi di sicurezza.**
1. Nella finestra **di dialogo Modifica gruppi** di sicurezza, scegli i gruppi di sicurezza da utilizzare e scegli **Salva**.
### Impedisci l'accesso a un file system
Per impedire temporaneamente l'accesso di rete al file system da parte di tutti i client, è possibile rimuovere tutti i gruppi di sicurezza associati alle elastic network interface del file system e sostituirli con un gruppo privo di inbound/outbound regole.
## Rete Amazon VPC ACLs
Un'altra opzione per proteggere l'accesso al file system all'interno del VPC è la creazione di elenchi di controllo degli accessi alla rete ( ACLsrete). ACLs Le reti sono separate dai gruppi di sicurezza, ma hanno funzionalità simili per aggiungere un ulteriore livello di sicurezza alle risorse del tuo VPC. Per ulteriori informazioni sulla rete ACLs, consulta [Rete ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html) nella *Amazon VPC User* Guide.
# Registrazione dell'accesso dell'utente finale con il controllo dell'accesso ai file
Amazon FSx for Windows File Server supporta il controllo dell'accesso degli utenti finali a file, cartelle e condivisioni di file. Puoi scegliere di inviare i registri degli eventi di controllo di un file system ad altri AWS servizi che offrono un ricco set di funzionalità. Queste includono l'abilitazione delle interrogazioni, l'elaborazione, l'archiviazione e l'archiviazione dei log, l'emissione di notifiche e l'attivazione di azioni per migliorare ulteriormente gli obiettivi di sicurezza e conformità.
Per ulteriori informazioni sull'utilizzo del controllo degli accessi ai file per ottenere informazioni dettagliate sui modelli di accesso e implementare notifiche di sicurezza per l'attività degli utenti finali, vedere Informazioni sui [modelli di accesso allo storage dei file](https://aws.amazon.com/blogs/storage/file-storage-access-patterns-insights-using-amazon-fsx-for-windows-file-server/) e [Implementazione delle notifiche di sicurezza](https://aws.amazon.com/blogs/modernizing-with-aws/implementing-security-notifications-for-end-user-activity-on-amazon-fsx-for-windows-file-server/) per l'attività degli utenti finali.
**Nota**
Il controllo dell'accesso ai file è supportato solo sui FSx file system Windows con una capacità di trasmissione pari o superiore a 32 MBps . È possibile modificare la capacità di trasmissione dei file system esistenti. Per ulteriori informazioni, consulta [Gestione della capacità di throughput](managing-throughput-capacity.md).
Il controllo dell'accesso ai file consente di registrare gli accessi degli utenti finali a singoli file, cartelle e condivisioni di file in base ai controlli di controllo definiti dall'utente. I controlli di controllo sono noti anche come elenchi di controllo degli accessi al sistema NTFS (). SACLs Se hai già impostato i controlli di audit sui dati dei tuoi file esistenti, puoi sfruttare il controllo degli accessi ai file creando un nuovo file system Amazon FSx for Windows File Server e migrando i tuoi dati.
Amazon FSx supporta i seguenti eventi di controllo di Windows per gli accessi a file, cartelle e condivisioni di file:
+ Per l'accesso ai file, supporta: Tutti, Traverse folder/Execute file, List folder/Leggi dati, Leggi attributi, Crea file/Scrivi dati, Crea cartelle/ Aggiungi dati, Write attributes, Elimina sottocartelle e file, Elimina, Leggi le autorizzazioni, Cambia le autorizzazioni e Diventa proprietario.
+ Per gli accessi alla condivisione di file, supporta: Connect a una condivisione di file.
Per tutti gli accessi a file, cartelle e condivisioni di file, Amazon FSx supporta la registrazione dei tentativi riusciti (ad esempio un utente con autorizzazioni sufficienti che accede con successo a un file o a una condivisione di file), dei tentativi falliti o di entrambi.
Puoi configurare se desideri il controllo degli accessi solo su file e cartelle, solo sulle condivisioni di file o su entrambi. È inoltre possibile configurare i tipi di accesso da registrare (solo tentativi riusciti, solo tentativi falliti o entrambi). È inoltre possibile disattivare il controllo dell'accesso ai file in qualsiasi momento.
**Nota**
Il controllo dell'accesso ai file registra i dati di accesso degli utenti finali solo dal momento in cui è abilitato. In altre parole, il controllo dell'accesso ai file non genera registri degli eventi di controllo delle attività di accesso a file, cartelle e condivisioni di file effettuate dall'utente finale prima dell'attivazione del controllo dell'accesso ai file.
La frequenza massima di eventi di controllo degli accessi supportati è di 5.000 eventi al secondo. Gli eventi di controllo degli accessi non vengono generati per ogni operazione di lettura e scrittura dei file, ma una volta per operazione sui metadati dei file, ad esempio quando un utente crea, apre o elimina un file.
**Topics**
+ [Controlla le destinazioni del registro degli eventi](#faa-log-destinations)
+ [Migrazione dei controlli di audit](#migrate-faa)
+ [Visualizzazione dei registri degli eventi](#view-faa-logs)
+ [Impostazione dei controlli di controllo di file e cartelle](faa-audit-controls.md)
+ [Gestione del controllo degli accessi ai file](manage-faa.md)
## Controlla le destinazioni del registro degli eventi
Quando abiliti il controllo degli accessi ai file, devi configurare un AWS servizio a cui Amazon FSx invia i log degli eventi di controllo. Puoi inviare i log degli eventi di controllo a un flusso di log di Amazon CloudWatch Logs in un gruppo di log CloudWatch Logs o a un flusso di distribuzione Amazon Data Firehose. Puoi scegliere la destinazione dei log degli eventi di controllo quando crei il tuo file system Amazon FSx for Windows File Server o in qualsiasi momento dopo aggiornando un file system esistente. Per ulteriori informazioni, consulta [Gestione del controllo degli accessi ai file](manage-faa.md).
Di seguito sono riportati alcuni consigli che possono aiutarti a decidere quale destinazione scegliere per i log degli eventi di controllo:
+ Scegli CloudWatch Logs se desideri archiviare, visualizzare e cercare i log degli eventi di controllo nella CloudWatch console Amazon, eseguire query sui log utilizzando CloudWatch Logs Insights e attivare CloudWatch allarmi o funzioni Lambda.
+ Scegli Amazon Data Firehose se desideri trasmettere continuamente gli eventi allo storage in Amazon S3, a un database in Amazon Redshift, ad OpenSearch Amazon Service o a soluzioni partner come Splunk o AWS Datadog per ulteriori analisi.
Per impostazione predefinita, Amazon FSx creerà e utilizzerà un gruppo di log CloudWatch Logs predefinito nel tuo account come destinazione del registro degli eventi di controllo. Se si desidera utilizzare un gruppo di log CloudWatch Logs personalizzato o utilizzare Firehose come destinazione del registro degli eventi di controllo, ecco i requisiti per i nomi e le posizioni della destinazione del registro degli eventi di controllo:
+ Il nome del gruppo di CloudWatch log Logs deve iniziare con il prefisso. `/aws/fsx/` Se non disponi di un gruppo di log CloudWatch Logs esistente quando crei o aggiorni un file system sulla console, Amazon FSx può creare e utilizzare un flusso di log predefinito nel gruppo di `/aws/fsx/windows` log CloudWatch Logs. Se non desideri utilizzare il gruppo di log predefinito, l'interfaccia utente di configurazione ti consente di creare un gruppo di log CloudWatch Logs quando crei o aggiorni il file system sulla console.
+ Il nome del flusso di distribuzione di Firehose deve iniziare con il `aws-fsx-` prefisso. Se non disponi di un flusso di distribuzione Firehose esistente, puoi crearne uno quando crei o aggiorni il file system sulla console.
+ Il flusso di distribuzione Firehose deve essere configurato per essere utilizzato `Direct PUT` come sorgente. Non è possibile utilizzare un flusso di dati Kinesis esistente come origine dati per il flusso di distribuzione.
+ La destinazione ( CloudWatch Logs log group o Firehose delivery stream) deve trovarsi nella AWS stessa partizione Regione AWS e nel file Account AWS system Amazon FSx .
È possibile modificare la destinazione del registro degli eventi di controllo in qualsiasi momento (ad esempio, da CloudWatch Logs a Firehose). In tal caso, i nuovi registri degli eventi di controllo vengono inviati solo alla nuova destinazione.
### Il massimo impegno è controllare la consegna del registro degli eventi.
In genere, i record del registro degli eventi di controllo vengono consegnati a destinazione in pochi minuti, ma a volte possono richiedere più tempo. In occasioni molto rare, i record del registro degli eventi di controllo potrebbero non essere registrati. Se il tuo caso d'uso richiede una semantica particolare (ad esempio, garantendo che nessun evento di controllo venga perso), ti consigliamo di tenere conto degli eventi persi durante la progettazione dei flussi di lavoro. È possibile verificare la presenza di eventi persi eseguendo la scansione della struttura dei file e delle cartelle sul file system.
## Migrazione dei controlli di audit
Se hai già impostato audit controls (SACLs) sui tuoi dati di file esistenti, puoi creare un FSx file system Amazon e migrare i dati nel tuo nuovo file system. Ti consigliamo di AWS DataSync utilizzarlo per trasferire i dati e i dati associati SACLs al tuo FSx file system Amazon. Come soluzione alternativa, puoi usare Robocopy (Robust File Copy). Per ulteriori informazioni, consulta [Migrazione dello storage di file esistente su Amazon FSx](migrate-to-fsx.md).
## Visualizzazione dei registri degli eventi
Puoi visualizzare i log degli eventi di controllo dopo che Amazon FSx ha iniziato a emetterli. La posizione e il modo in cui vengono visualizzati i log dipendono dalla destinazione del registro degli eventi di controllo:
+ È possibile visualizzare CloudWatch i log dei log accedendo alla CloudWatch console e scegliendo il gruppo di log e il flusso di log a cui vengono inviati i log degli eventi di controllo. Per ulteriori informazioni, consulta [Visualizza i dati di log inviati a CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) nella *Amazon CloudWatch Logs User* Guide.
Puoi utilizzare CloudWatch Logs Insights per cercare e analizzare in modo interattivo i tuoi dati di log. Per ulteriori informazioni, consulta [Analyzing Log Data with CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html), nella *Amazon CloudWatch Logs* User Guide.
Puoi anche esportare i log degli eventi di controllo in Amazon S3. Per ulteriori informazioni, consulta [Esportazione dei dati di registro su Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html) S3, sempre nella * CloudWatch Amazon Logs* User Guide.
+ Non è possibile visualizzare i registri degli eventi di controllo su Firehose. Tuttavia, è possibile configurare Firehose per inoltrare i log a una destinazione da cui è possibile leggere. Le destinazioni includono Amazon S3, Amazon Redshift, OpenSearch Amazon Service e soluzioni partner come Splunk e Datadog. Per ulteriori informazioni, [consulta Choose destination nella *Amazon* Data Firehose Developer](https://docs.aws.amazon.com/firehose/latest/dev/create-destination.html) Guide.
### Controlla i campi degli eventi
Questa sezione fornisce descrizioni delle informazioni contenute nei registri degli eventi di controllo ed esempi di eventi di controllo.
Di seguito sono riportate le descrizioni dei campi salienti di un evento di controllo di Windows.
+ **EventID** si riferisce all'ID degli eventi del registro eventi di Windows definito da Microsoft. Consulta la documentazione Microsoft per informazioni sugli eventi [del file system e sugli eventi](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-system) di [condivisione dei file](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-share).
+ **SubjectUserName**si riferisce all'utente che effettua l'accesso.
+ **ObjectName**si riferisce al file, alla cartella o alla condivisione di file di destinazione a cui è stato effettuato l'accesso.
+ **ShareName**è disponibile per gli eventi generati per l'accesso alla condivisione di file. Ad esempio, `EventID 5140` viene generato quando si accede a un oggetto di condivisione di rete.
+ **IpAddress**si riferisce al client che ha avviato l'evento per gli eventi di condivisione di file.
+ **Le parole chiave**, se disponibili, indicano se l'accesso ai file è riuscito o meno. Per gli accessi riusciti, il valore è`0x8020000000000000`. Per gli accessi non riusciti, il valore è. `0x8010000000000000`
+ **TimeCreated SystemTime**si riferisce all'ora in cui l'evento è stato generato nel sistema e visualizzato nel formato z. DDThh
+ **Computer** si riferisce al nome DNS del file system Windows Remote Endpoint e può essere utilizzato per identificare il file system. PowerShell
+ **AccessMask**, se disponibile, si riferisce al tipo di accesso ai file eseguito (ad esempio ReadData, WriteData).
+ **AccessList**si riferisce all'accesso richiesto o concesso a un oggetto. Per i dettagli, consulta la tabella seguente e la documentazione Microsoft (ad esempio nell'[evento 4556](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4656)).
| Tipo di accesso | Maschera di accesso | Valore |
| --- | --- | --- |
| Leggi i dati o la directory degli elenchi | 0x1 | %%4416 |
| Scrivi dati o aggiungi file | 0x2 | %%4417 |
| Aggiungi dati o aggiungi sottodirectory | 0x4 | %%4418 |
| Leggi gli attributi estesi | 0x8 | %%4419 |
| Scrivi attributi estesi | 0x10 | %%4420 |
| Eseguire/Traversa | 0x20 | %%4421 |
| Elimina bambino | 0x40 | %4422 |
| Leggi gli attributi | 0x80 | %%4423 |
| Attributi di scrittura | 0x100 | %%4424 |
| Elimina | 0x10000 | %%1537 |
| Leggi ACL | 0x20000 | %%1538 |
| Scrivi ACL | 0x40000 | %%1539 |
| Scrivi proprietario | 0x80000 | %%1540 |
| Sincronizza | 0x100000 | %%1541 |
| Access Security ACL | 0x1000000 | %%1542 |
Di seguito sono riportati alcuni eventi chiave con esempi. Si noti che il codice XML è formattato per garantire la leggibilità.
**L'ID evento 4660** viene registrato quando un oggetto viene eliminato.
```
466000
128000
0x8020000000000000
315452
Security
amznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x50932f71Security
0x12e00x4
{00000000-0000-0000-0000-000000000000}
```
**L'ID evento 4659** viene registrato su una richiesta di eliminazione di un file.
```
465900128000
0x8020000000000000
308888
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\shar\event.txt
0x0{00000000-0000-0000-0000-000000000000}
%%1537
%%4423
0x10080-
0x4
```
**L'ID evento 4663** viene registrato quando è stata eseguita un'operazione specifica sull'oggetto. L'esempio seguente mostra la lettura di dati da un file, da cui è possibile interpretare. `AccessList %%4416`
```
4663< /EventID>10128000
0x8020000000000000
308831
Securityamznfsxgyzohmw8.example.com
< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\event.txt
0x101c%%4416
0x10x4
S:AI
```
L'esempio seguente mostra write/append i dati di un file, da cui è possibile interpretare`AccessList %%4417`.
```
466310128000
0x8020000000000000
308838
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\event.txt
0xa38%%4417
0x20x4
S:AI
```
**L'ID evento 4656** indica che è stato richiesto un accesso specifico per un oggetto. Nell'esempio seguente, la richiesta di lettura è stata avviata su ObjectName «permtest» ed è stata un tentativo fallito, come indicato nel valore Keywords di. `0x8010000000000000`
```
465610128000
0x8010000000000000
308919
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\permtest
0x0{00000000-0000-0000-0000-000000000000}
%%1541
%%4416
%%4423
%%1541: %%1805
%%4416: %%1805
%%4423: %%1811 D:(A;OICI;0x1301bf;;;AU)
0x100081-
00x4
-
```
**L'ID evento 4670** viene registrato quando vengono modificate le autorizzazioni per un oggetto. L'esempio seguente mostra che l'utente «admin» ha modificato l'autorizzazione su «permtest» per aggiungere autorizzazioni al SID ObjectName «S-1-5-21-658495921-4185342820-3824891517-1113". Consulta la documentazione Microsoft per ulteriori informazioni su come interpretare le autorizzazioni.
```
467000
1357000x8020000000000000
308992
Security
amznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\permtest
0xcc8
D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)
D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)0x4
```
**L'ID evento 5140** viene registrato ogni volta che si accede a una condivisione di file.
```
514010128080
0x8020000000000000
308947
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-2620
EC2AMAZ-1GP4HMN$example
0x2d4ca529File172.45.6.789
49730\\AMZNFSXCYDKLDZZ\share
\??\D:\share0x1%%4416
```
**L'ID evento 5145** viene registrato quando l'accesso viene negato a livello di condivisione dei file. L'esempio seguente mostra che l'accesso a ShareName «demoshare01" è stato negato.
```
514500
1281100x8010000000000000
282939
Security
amznfsxtmn9autz.example.com
S-1-5-21-658495921-4185342820-3824891517-
1113Adminexample
0x95b3fb7File
172.31.7.11259979
\\AMZNFSXDPNTE0DC\demoshare01\??\D:\demoshare01
Desktop.ini0x120089
%%1538 %%1541 %%4416 %%4419 %%4423 %%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805
```
Se si utilizza CloudWatch Logs Insights per cercare i dati di registro, è possibile eseguire query sui campi degli eventi, come illustrato dai seguenti esempi:
+ Per richiedere un ID evento specifico:
```
fields @message
| filter @message like /4660/
```
+ Per interrogare tutti gli eventi che corrispondono a un particolare nome di file:
```
fields @message
| filter @message like /event.txt/
```
Per ulteriori informazioni sul linguaggio di query CloudWatch Logs Insights, consulta [Analyzing Log Data with CloudWatch Logs Insights, nella *Amazon CloudWatch Logs*](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) User Guide.
# Impostazione dei controlli di controllo di file e cartelle
È necessario impostare i controlli di controllo sui file e sulle cartelle che si desidera controllare per i tentativi di accesso degli utenti. I controlli di controllo sono noti anche come elenchi di controllo degli accessi al sistema NTFS ()SACLs.
I controlli di controllo vengono configurati utilizzando l'interfaccia GUI nativa di Windows o a livello di codice utilizzando i comandi di Windows. PowerShell Se l'ereditarietà è abilitata, in genere è necessario impostare i controlli di controllo solo sulle cartelle di primo livello per le quali si desidera registrare gli accessi.
## Utilizzo della GUI di Windows per impostare l'accesso di controllo
Per utilizzare una GUI per impostare i controlli di controllo su file e cartelle, utilizzate Windows File Explorer. Su un determinato file o cartella, apri Windows File Explorer e seleziona la scheda **Proprietà > Sicurezza > Avanzate > Controllo**.
Il seguente esempio di controllo di controllo verifica gli eventi riusciti per una cartella. Una voce del registro degli eventi di Windows verrà emessa ogni volta che l'handle viene aperto per la lettura correttamente dall'utente amministratore.
![\[\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/images/faa-audit-control-gui.png)
Il campo **Tipo** indica le azioni che si desidera controllare. Imposta questo campo su Operazione **riuscita** per controllare i tentativi riusciti, Controllo **non** riuscito dei tentativi falliti o **Tutto** per controllare sia i tentativi riusciti che quelli non riusciti.
Per ulteriori informazioni sui campi di immissione di controllo, consulta [Applicare un criterio di controllo di base su un file o una cartella nella](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/apply-a-basic-audit-policy-on-a-file-or-folder) documentazione Microsoft.
## Utilizzo dei PowerShell comandi per impostare l'accesso di controllo
È possibile utilizzare il `Set-Acl` comando Microsoft Windows per impostare il SACL di controllo su qualsiasi file o cartella. Per informazioni su questo comando, vedere la documentazione di Microsoft [Set-Acl](https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-acl?view=powershell-7.1).
Di seguito è riportato un esempio di utilizzo di una serie di PowerShell comandi e variabili per impostare l'accesso di controllo in caso di tentativi riusciti. È possibile adattare questi comandi di esempio alle esigenze del file system.
```
$path = "C:\Users\TestUser\Desktop\DemoTest\"
$ACL = Get-Acl $path
$ACL | Format-List
$AuditUser = "TESTDOMAIN\TestUser"
$AuditRules = "FullControl"
$InheritType = "ContainerInherit,ObjectInherit"
$AuditType = "Success"
$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType)
$ACL.SetAuditRule($AccessRule)
$ACL | Set-Acl $path
Get-Acl $path -Audit | Format-List
```
# Gestione del controllo degli accessi ai file
Puoi abilitare il controllo dell'accesso ai file quando crei un nuovo file system Amazon FSx for Windows File Server. Il controllo dell'accesso ai file è disattivato per impostazione predefinita quando crei un file system dalla FSx console Amazon.
Sui file system esistenti in cui è abilitato il controllo dell'accesso ai file, puoi modificare le impostazioni di controllo dell'accesso ai file, inclusa la modifica dei tipi di tentativo di accesso per gli accessi a file e condivisioni di file e della destinazione del registro degli eventi di controllo. Puoi eseguire queste attività utilizzando la FSx console Amazon o AWS CLI l'API.
**Nota**
Il controllo dell'accesso ai file è supportato solo sui file system Amazon FSx per Windows File Server con una capacità di throughput pari MBps o superiore a 32. Non è possibile creare o aggiornare un file system con una capacità di throughput inferiore a 32 MBps se il controllo dell'accesso ai file è abilitato. È possibile modificare la capacità di trasmissione in qualsiasi momento dopo aver creato il file system. Per ulteriori informazioni, consulta [Gestione della capacità di throughput](managing-throughput-capacity.md).
## Per abilitare il controllo dell'accesso ai file durante la creazione di un file system (console)
1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Segui la procedura per creare un nuovo file system descritta [Fase 5. Crea il tuo file system](getting-started.md#getting-started-step1) nella sezione Guida introduttiva.
1. Apri la sezione **Auditing - opzionale**. Il controllo dell'accesso ai file è disabilitato per impostazione predefinita.
![\[\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/images/faa-create-wizard.png)
1. Per abilitare e configurare il controllo dell'accesso ai file, procedi come segue.
+ Per **Log access a file e cartelle**, selezionate la registrazione dei tentativi and/or falliti riusciti. La registrazione è disattivata per file e cartelle se non si effettua una selezione.
+ Per **Log access alle condivisioni di file**, seleziona la registrazione dei tentativi and/or falliti riusciti. La registrazione è disabilitata per le condivisioni di file se non si effettua una selezione.
+ Per **Scegli una destinazione per il registro degli eventi di controllo**, scegli **CloudWatch Logs o **Firehose****. Quindi scegli un registro o un flusso di consegna esistente o creane uno nuovo. Per CloudWatch i log, Amazon FSx può creare e utilizzare un flusso di log predefinito nel gruppo CloudWatch Logs `/aws/fsx/windows` log.
Di seguito è riportato un esempio di configurazione di controllo dell'accesso ai file che verificherà i tentativi di accesso riusciti e falliti degli utenti finali per file, cartelle e condivisioni di file. I registri degli eventi di controllo verranno inviati alla destinazione predefinita del gruppo di `/aws/fsx/windows` log CloudWatch Logs.
![\[\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/images/faa-create-advanced.png)
1. Continuare con la sezione successiva della procedura guidata per la creazione del file system.
Quando il file system è **disponibile**, la funzionalità di controllo dell'accesso ai file è abilitata.
## Per abilitare il controllo dell'accesso ai file durante la creazione di un file system (CLI)
1. Quando create un nuovo file system, utilizzate la `AuditLogConfiguration` proprietà con l'operazione [CreateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateFileSystem.html)API per abilitare il controllo dell'accesso ai file per il nuovo file system.
```
aws fsx create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--subnet-ids subnet-123456 \
--windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
FileShareAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
```
1. Quando il file system è **disponibile**, la funzionalità di controllo dell'accesso ai file è abilitata.
## Per modificare la configurazione del controllo dell'accesso ai file (console)
1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Passa a **File system** e scegli il file system Windows per cui desideri gestire il controllo degli accessi ai file.
1. Scegli la scheda **Amministrazione**.
1. Nel pannello **File Access Auditing**, scegli **Gestisci**.
![\[FSx console Pannello di controllo dell'accesso ai file, che mostra la configurazione del controllo dell'accesso ai file.\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/images/faa-admin-panel.png)
1. Nella finestra di dialogo **Gestisci le impostazioni di controllo dell'accesso ai file, modifica le impostazioni** desiderate.
![\[FSx console Pannello di controllo dell'accesso ai file, utilizza questo pannello per modificare le configurazioni di controllo dell'accesso ai file.\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/images/faa-update-config.png)
+ Per **Log access a file e cartelle**, seleziona la registrazione dei tentativi falliti riusciti. and/or La registrazione è disattivata per file e cartelle se non si effettua una selezione.
+ Per **Log access alle condivisioni di file**, seleziona la registrazione dei tentativi and/or falliti riusciti. La registrazione è disabilitata per le condivisioni di file se non si effettua una selezione.
+ Per **Scegli una destinazione per il registro degli eventi di controllo**, scegli **CloudWatch Logs o **Firehose****. Quindi scegli un registro o un flusso di consegna esistente o creane uno nuovo.
1. Scegli **Save** (Salva).
## Per modificare la configurazione di controllo dell'accesso ai file (CLI)
+ Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html)CLI o l'operazione [https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html)API equivalente.
```
aws fsx update-file-system \
--file-system-id fs-0123456789abcdef0 \
--windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \
FileShareAccessAuditLogLevel="FAILURE_ONLY", \
AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
```
# Gestione delle identità e degli accessi per Amazon FSx for Windows File Server
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) da utilizzare FSx per le risorse di Windows File Server. IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona Amazon FSx per Windows File Server con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per Amazon FSx for Windows File Server](security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per Amazon FSx for Windows File Server](security-iam-awsmanpol.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon FSx for Windows File Server](security_iam_troubleshoot.md)
+ [Usare i tag con Amazon FSx](using-tags-fsx.md)
+ [Utilizzo di ruoli collegati ai servizi FSx per Windows File Server](using-service-linked-roles.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon FSx for Windows File Server](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Amazon FSx per Windows File Server con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per Amazon FSx for Windows File Server](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona Amazon FSx per Windows File Server con IAM
Prima di utilizzare IAM FSx per gestire l'accesso a Windows File Server, scopri quali funzionalità IAM sono disponibili per l'uso FSx per Windows File Server.
**Funzionalità IAM che puoi utilizzare con Amazon FSx for Windows File Server**
| Funzionalità IAM | FSx supporto |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Inoltro delle sessioni di accesso](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | No |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una panoramica di alto livello su come FSx e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per FSx
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di politiche basate sull'identità per FSx
Per visualizzare esempi di politiche basate FSx sull'identità di Windows File Server, vedere. [Esempi di policy basate sull'identità per Amazon FSx for Windows File Server](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno FSx
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per FSx
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco di FSx azioni, consulta [Actions defined by Amazon FSx for Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions) nel *Service Authorization Reference*.
Le azioni politiche in FSx uso utilizzano il seguente prefisso prima dell'azione:
```
fsx
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"fsx:action1",
"fsx:action2"
]
```
Per visualizzare esempi di politiche FSx basate sull'identità di Windows File Server, vedere. [Esempi di policy basate sull'identità per Amazon FSx for Windows File Server](security_iam_id-based-policy-examples.md)
## Risorse politiche per FSx
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di FSx risorse e relativi ARNs, consulta [Resources defined by Amazon FSx for Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies) nel *Service Authorization Reference*. Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta [Azioni definite da Amazon FSx for Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).
Per visualizzare esempi di politiche FSx basate sull'identità di Windows File Server, consulta. [Esempi di policy basate sull'identità per Amazon FSx for Windows File Server](security_iam_id-based-policy-examples.md)
## Chiavi relative alle condizioni delle politiche per FSx
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco di chiavi di FSx condizione, consulta [Condition keys for Amazon FSx for Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-policy-keys) nel *Service Authorization Reference*. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Azioni definite da Amazon FSx for Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).
Per visualizzare esempi di FSx politiche basate sull'identità di Windows File Server, consulta. [Esempi di policy basate sull'identità per Amazon FSx for Windows File Server](security_iam_id-based-policy-examples.md)
## ACLs in FSx
**Supporti: No ACLs**
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con FSx
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con FSx
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Sessioni di accesso diretto per FSx
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per FSx
**Supporta i ruoli di servizio:** no
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe compromettere FSx la funzionalità. Modifica i ruoli di servizio solo quando viene FSx fornita una guida in tal senso.
## Ruoli collegati ai servizi per FSx
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per informazioni dettagliate sulla creazione o la gestione di ruoli collegati FSx ai servizi di Windows File Server, vedere. [Utilizzo di ruoli collegati ai servizi FSx per Windows File Server](using-service-linked-roles.md)
# Esempi di policy basate sull'identità per Amazon FSx for Windows File Server
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione FSx per creare o modificare le risorse di Windows File Server. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per dettagli sulle azioni e sui tipi di risorse definiti da FSx, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon FSx for Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html) nel *Service Authorization Reference*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console FSx](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse FSx di Windows File Server nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console FSx
Per accedere alla console Amazon FSx for Windows File Server, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare dettagli sulle risorse FSx per Windows File Server presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano ancora utilizzare la FSx console, allega anche la policy FSx `AmazonFSxConsoleReadOnlyAccess` AWS gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS politiche gestite per Amazon FSx for Windows File Server
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## Amazon FSx ServiceRolePolicy
Consente FSx ad Amazon di gestire AWS le risorse per tuo conto. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi FSx per Windows File Server](using-service-linked-roles.md).
## AWS politica gestita: Amazon FSx DeleteServiceLinkedRoleAccess
Non è possibile collegare `AmazonFSxDeleteServiceLinkedRoleAccess`alle entità IAM. Questa politica è collegata a un servizio e utilizzata solo con il ruolo collegato al servizio per quel servizio. Non è possibile collegare, scollegare, modificare o eliminare questa policy. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi FSx per Windows File Server](using-service-linked-roles.md).
Questa politica concede autorizzazioni amministrative che consentono FSx ad Amazon di eliminare il suo Service Linked Role per l'accesso ad Amazon S3, utilizzato solo da Amazon FSx for Lustre.
**Dettagli delle autorizzazioni**
Questa policy include le autorizzazioni `iam` per consentire FSx ad Amazon di visualizzare, eliminare e visualizzare lo stato di eliminazione per i FSx Service Linked Roles for Amazon S3 access.
Per visualizzare le autorizzazioni per questa politica, consulta [Amazon FSx DeleteServiceLinkedRoleAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/FSxDeleteServiceLinkedRoleAccess.html) nella AWS Managed Policy Reference Guide.
## AWS politica gestita: Amazon FSx FullAccess
Puoi collegare Amazon FSx FullAccess alle tue entità IAM. Amazon attribuisce questa politica FSx anche a un ruolo di servizio che consente FSx ad Amazon di eseguire azioni per tuo conto.
Fornisce accesso completo ad Amazon FSx e accesso ai AWS servizi correlati.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `fsx`— Consente ai mandanti l'accesso completo per eseguire tutte le FSx azioni di Amazon, ad eccezione `BypassSnaplockEnterpriseRetention` di.
+ `ds`— Consente ai dirigenti di visualizzare le informazioni sulle Directory Service directory.
+ `ec2`
+ Consente ai mandanti di creare tag nelle condizioni specificate.
+ Fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC.
+ `iam`— Consente ai principi di creare un ruolo collegato al FSx servizio Amazon per conto dell'utente. Ciò è necessario affinché Amazon FSx possa gestire AWS le risorse per conto dell'utente.
+ `firehose`— Consente ai mandanti di scrivere record su Amazon Data Firehose. Ciò è necessario FSx per consentire agli utenti di monitorare l'accesso al file system di Windows File Server inviando registri di accesso di controllo a Firehose.
+ `logs`— Consente ai responsabili di creare gruppi di log, flussi di log e scrivere eventi nei flussi di log. Ciò è necessario FSx per consentire agli utenti di monitorare l'accesso al file system di Windows File Server inviando i registri di accesso di controllo a Logs. CloudWatch
Per visualizzare le autorizzazioni per questa politica, consulta [Amazon FSx FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html) nella AWS Managed Policy Reference Guide.
## AWS politica gestita: Amazon FSx ConsoleFullAccess
È possibile allegare la policy `AmazonFSxConsoleFullAccess` alle identità IAM.
Questa politica concede autorizzazioni amministrative che consentono l'accesso completo ad Amazon FSx e l'accesso ai AWS servizi correlati tramite. Console di gestione AWS
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `fsx`— Consente ai responsabili di eseguire tutte le azioni nella console di FSx gestione Amazon, ad eccezione `BypassSnaplockEnterpriseRetention` di.
+ `cloudwatch`— Consente ai responsabili di visualizzare CloudWatch allarmi e metriche nella console di gestione Amazon FSx .
+ `ds`— Consente ai responsabili di elencare le informazioni su una directory. Directory Service
+ `ec2`
+ Consente ai mandanti di creare tag sulle tabelle di routing, elencare le interfacce di rete, le tabelle di routing, i gruppi di sicurezza, le sottoreti e il VPC associato a un file system Amazon. FSx
+ Consente ai responsabili di fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC.
+ Consente ai responsabili di visualizzare le interfacce di rete elastiche associate a un FSx file system Amazon.
+ `kms`— Consente ai principali di elencare gli alias per le chiavi. AWS Key Management Service
+ `s3`— Consente ai responsabili di elencare alcuni o tutti gli oggetti in un bucket Amazon S3 (fino a 1000).
+ `secretsmanager`— Consente ai responsabili di elencare i segreti per la selezione delle credenziali degli Gestione dei segreti AWS account del servizio di accesso al dominio.
+ `iam`— Concede l'autorizzazione a creare un ruolo collegato al servizio che consente FSx ad Amazon di eseguire azioni per conto dell'utente.
Per visualizzare le autorizzazioni per questa politica, consulta [Amazon FSx ConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleFullAccess.html) nella AWS Managed Policy Reference Guide.
## AWS politica gestita: Amazon FSx ConsoleReadOnlyAccess
È possibile allegare la policy `AmazonFSxConsoleReadOnlyAccess` alle identità IAM.
Questa politica concede autorizzazioni di sola lettura ad FSx Amazon e ai servizi AWS correlati in modo che gli utenti possano visualizzare le informazioni su questi servizi in. Console di gestione AWS
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `fsx`— Consente ai responsabili di visualizzare le informazioni sui FSx file system Amazon, inclusi tutti i tag, nella Console di FSx gestione Amazon.
+ `cloudwatch`— Consente ai responsabili di visualizzare CloudWatch allarmi e metriche nella Console di gestione Amazon FSx .
+ `ds`— Consente ai responsabili di visualizzare le informazioni su una Directory Service directory nella Console di FSx gestione Amazon.
+ `ec2`
+ Consente ai responsabili di visualizzare interfacce di rete, gruppi di sicurezza, sottoreti e il VPC associato a un FSx file system Amazon nella Console di gestione Amazon. FSx
+ Consente ai responsabili di fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC.
+ Consente ai responsabili di visualizzare le interfacce di rete elastiche associate a un FSx file system Amazon.
+ `kms`— Consente ai mandanti di visualizzare gli alias per le AWS Key Management Service chiavi nella Console di FSx gestione Amazon.
+ `log`— Consente ai responsabili di descrivere i gruppi di log di Amazon CloudWatch Logs associati all'account che effettua la richiesta. Ciò è necessario affinché i responsabili possano visualizzare la configurazione esistente di controllo dell'accesso ai file per un file system FSx per Windows File Server.
+ `secretsmanager`— Consente ai responsabili di elencare i segreti per la selezione delle credenziali degli Gestione dei segreti AWS account del servizio di accesso al dominio.
+ `firehose`— Consente ai mandanti di descrivere i flussi di distribuzione di Amazon Data Firehose associati all'account che effettua la richiesta. Ciò è necessario affinché i responsabili possano visualizzare la configurazione esistente di controllo dell'accesso ai file per un file system FSx per Windows File Server.
Per visualizzare le autorizzazioni per questa politica, consulta [Amazon FSx ConsoleReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleReadOnlyAccess.html) nella AWS Managed Policy Reference Guide.
## AWS politica gestita: Amazon FSx ReadOnlyAccess
È possibile allegare la policy `AmazonFSxReadOnlyAccess` alle identità IAM.
+ `fsx`— Consente ai responsabili di visualizzare le informazioni sui FSx file system Amazon, inclusi tutti i tag, nella Console di FSx gestione Amazon.
+ `ec2`— Fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC.
Per visualizzare le autorizzazioni per questa politica, consulta [Amazon FSx ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxReadOnlyAccess.html) nella AWS Managed Policy Reference Guide.
## FSx Aggiornamenti Amazon alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon FSx da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS sulla pagina Amazon FSx [Cronologia dei documenti](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `secretsmanager:ListSecrets` che consente ai responsabili di elencare i segreti Gestione dei segreti AWS per la selezione delle credenziali dell'account del servizio di accesso al dominio. | 5 novembre 2025 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `secretsmanager:ListSecrets` che consente ai responsabili di elencare i segreti Gestione dei segreti AWS per la selezione delle credenziali dell'account del servizio di accesso al dominio. | 3 novembre 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `ec2:AssignIpv6Addresses` che consente ai mandanti di assegnare IPv6 indirizzi alle interfacce di rete dei clienti dotate di un tag. `AmazonFSx.FileSystemId` | 22 luglio 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `ec2:UnassignIpv6Addresses` che consente ai mandanti di annullare l'assegnazione IPv6 degli indirizzi dalle interfacce di rete dei clienti che dispongono di un tag. `AmazonFSx.FileSystemId` | 22 luglio 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `fsx:CreateAndAttachS3AccessPoint` che consente ai responsabili di creare un punto di accesso S3 e collegarlo a un FSx volume. | 25 giugno 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `fsx:DescribeS3AccessPointAttachments` che consente ai responsabili di elencare tutti i punti di accesso S3 Account AWS in un colpo solo. Regione AWS | 25 giugno 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `fsx:DetachAndDeleteS3AccessPoint` che consente ai responsabili di eliminare un punto di accesso S3. | 25 giugno 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `fsx:CreateAndAttachS3AccessPoint` che consente ai responsabili di creare un punto di accesso S3 e collegarlo a un FSx volume. | 25 giugno 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `fsx:DescribeS3AccessPointAttachments` che consente ai responsabili di elencare tutti i punti di accesso S3 Account AWS in un colpo solo. Regione AWS | 25 giugno 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `fsx:DetachAndDeleteS3AccessPoint` che consente ai responsabili di eliminare un punto di accesso S3. | 25 giugno 2025 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `ec2:DescribeNetworkInterfaces` che consente ai responsabili di visualizzare le interfacce di rete elastiche associate al proprio file system. | 25 febbraio 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `ec2:DescribeNetworkInterfaces` che consente ai responsabili di visualizzare le interfacce di rete elastiche associate al proprio file system. | 07 febbraio 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `ec2:GetSecurityGroupsForVpc` che consente ai responsabili di fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC. | 9 gennaio 2024 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `ec2:GetSecurityGroupsForVpc` che consente ai responsabili di fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC. | 9 gennaio 2024 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `ec2:GetSecurityGroupsForVpc` che consente ai responsabili di fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC. | 9 gennaio 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `ec2:GetSecurityGroupsForVpc` che consente ai responsabili di fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC. | 9 gennaio 2024 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `ec2:GetSecurityGroupsForVpc` che consente ai responsabili di fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC. | 9 gennaio 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire agli utenti di eseguire la replica dei dati tra regioni e account FSx per i file system OpenZFS. | 20 dicembre 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire agli utenti di eseguire la replica dei dati tra regioni e account FSx per i file system OpenZFS. | 20 dicembre 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire agli utenti di eseguire la replica su richiesta dei volumi FSx per i file system OpenZFS. | 26 novembre 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire agli utenti di eseguire la replica su richiesta dei volumi FSx per i file system OpenZFS. | 26 novembre 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire agli utenti di visualizzare, abilitare e disabilitare il supporto VPC condiviso FSx per i file system ONTAP Multi-AZ. | 14 novembre 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire agli utenti di visualizzare, abilitare e disabilitare il supporto VPC condiviso FSx per i file system ONTAP Multi-AZ. | 14 novembre 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ad Amazon di FSx gestire le configurazioni di rete FSx per i file system OpenZFS Multi-AZ. | 9 agosto 2023 |
| [AWS politica gestita: Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Aggiornamento a una politica esistente | Amazon ha FSx modificato l'`cloudwatch:PutMetricData`autorizzazione esistente in modo che Amazon FSx pubblichi le CloudWatch metriche nel namespace. `AWS/FSx` | 24 luglio 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiornato la politica per rimuovere l'`fsx:*`autorizzazione e aggiungere `fsx` azioni specifiche. | 13 luglio 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiornato la politica per rimuovere l'`fsx:*`autorizzazione e aggiungere `fsx` azioni specifiche. | 13 luglio 2023 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire agli utenti di visualizzare metriche di prestazioni migliorate e azioni consigliate FSx per i file system Windows File Server nella console Amazon FSx . | 21 settembre 2022 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire agli utenti di visualizzare metriche di prestazioni migliorate e azioni consigliate FSx per i file system Windows File Server nella console Amazon FSx . | 21 settembre 2022 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) — Avviata la politica di tracciamento | Questa politica garantisce l'accesso in sola lettura a tutte le FSx risorse Amazon e a tutti i tag ad esse associati. | 4 febbraio 2022 |
| [Amazon FSx DeleteServiceLinkedRoleAccess](#security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess) — Avviata la politica di tracciamento | Questa politica concede autorizzazioni amministrative che consentono FSx ad Amazon di eliminare il suo Service Linked Role per l'accesso ad Amazon S3. | 7 gennaio 2022 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ad Amazon di FSx gestire le configurazioni di rete per i file system Amazon FSx for NetApp ONTAP. | 2 settembre 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ad Amazon FSx di creare tag sulle tabelle di routing EC2 per chiamate con ambito limitato. | 2 settembre 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ad Amazon di FSx creare file system Amazon FSx for NetApp ONTAP Multi-AZ. | 2 settembre 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ad Amazon FSx di creare tag sulle tabelle di routing EC2 per chiamate con ambito limitato. | 2 settembre 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ad Amazon di FSx descrivere e scrivere su CloudWatch Logs i flussi di log. Ciò è necessario per consentire agli utenti di visualizzare i registri di controllo degli accessi ai file FSx per i file system Windows File Server utilizzando Logs. CloudWatch | 08 giugno 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ad Amazon di FSx descrivere e scrivere nei flussi di distribuzione di Amazon Data Firehose. Ciò è necessario per consentire agli utenti di visualizzare i log di controllo degli accessi ai file FSx per un file system Windows File Server utilizzando Amazon Data Firehose. | 08 giugno 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ai responsabili di descrivere e creare gruppi di log di CloudWatch Logs, log stream e scrivere eventi nei flussi di log. Ciò è necessario affinché i responsabili possano visualizzare i log di controllo degli accessi ai file FSx per i file system di Windows File Server utilizzando Logs. CloudWatch | 08 giugno 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ai mandanti di descrivere e scrivere record su Amazon Data Firehose. Ciò è necessario per consentire agli utenti di visualizzare i log di controllo degli accessi ai file FSx per un file system Windows File Server utilizzando Amazon Data Firehose. | 08 giugno 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ai responsabili di descrivere i gruppi di log di Amazon CloudWatch Logs associati all'account che effettua la richiesta. Ciò è necessario affinché i responsabili possano scegliere un gruppo di log CloudWatch Logs esistente durante la configurazione del controllo dell'accesso ai file per un FSx file system per Windows File Server. | 08 giugno 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ai mandanti di descrivere i flussi di distribuzione di Amazon Data Firehose associati all'account che effettua la richiesta. Ciò è necessario affinché i responsabili possano scegliere un flusso di distribuzione Firehose esistente durante la configurazione del controllo dell'accesso ai file per FSx un file system Windows File Server. | 08 giugno 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ai responsabili di descrivere i gruppi di log di Amazon CloudWatch Logs associati all'account che effettua la richiesta. Ciò è necessario per consentire ai responsabili di visualizzare la configurazione esistente di controllo dell'accesso ai file per un file system FSx per Windows File Server. | 08 giugno 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ai mandanti di descrivere i flussi di distribuzione di Amazon Data Firehose associati all'account che effettua la richiesta. Ciò è necessario per consentire ai responsabili di visualizzare la configurazione esistente di controllo dell'accesso ai file per un FSx file system per Windows File Server. | 08 giugno 2021 |
| Amazon FSx ha iniziato a tracciare le modifiche | Amazon FSx ha iniziato a tracciare le modifiche alle sue politiche AWS gestite. | 08 giugno 2021 |
# Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon FSx for Windows File Server
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con FSx Windows File Server e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in FSx](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie FSx risorse](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in FSx
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `fsx:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fsx:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `fsx:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, i tuoi criteri devono essere aggiornati per consentirti di passare un ruolo a FSx for Windows File Server.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio anziché creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console FSx per eseguire un'azione in Windows File Server. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie FSx risorse
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se FSx per Windows File Server supporta queste funzionalità, consulta. [Come funziona Amazon FSx per Windows File Server con IAM](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM di un altro Account AWS utente di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*. Account AWS
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.
# Usare i tag con Amazon FSx
Puoi utilizzare i tag per controllare l'accesso alle FSx risorse Amazon e implementare il controllo degli accessi basato sugli attributi (ABAC). Gli utenti devono avere l'autorizzazione per applicare tag alle FSx risorse Amazon durante la creazione.
## Concessione dell'autorizzazione all'applicazione di tag per le risorse durante la creazione
Alcune azioni di creazione di risorse FSx per l'API Windows File Server consentono di specificare i tag quando si crea la risorsa. È possibile utilizzare i tag delle risorse per implementare il controllo degli accessi basato sugli attributi (ABAC). *Per ulteriori informazioni, consulta [What is ABAC AWS nella IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html).*
Per consentire agli utenti di applicare tag alle risorse durante la creazione, essi devono disporre delle autorizzazioni per utilizzare l'operazione che crea la risorsa, come `fsx:CreateFileSystem` o `fsx:CreateBackup`. Se i tag vengono specificati nell'azione di creazione delle risorse, Amazon esegue autorizzazioni aggiuntive per l'azione `fsx:TagResource` per verificare se gli utenti dispongono delle autorizzazioni per creare tag. Pertanto, gli utenti devono disporre anche di autorizzazioni esplicite a utilizzare l’azione `fsx:TagResource`.
L'esempio seguente illustra una politica che consente agli utenti di creare file system e applicare tag ai file system durante la creazione in uno specifico. Account AWS
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*"
}
]
}
```
Analogamente, la seguente policy consente agli utenti di creare backup su un file system specifico e di applicare eventuali tag al backup durante la creazione del backup.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:backup/*"
}
]
}
```
L'operazione `fsx:TagResource` viene valutata solo se i tag vengono applicati durante l'operazione di creazione di risorse. Pertanto, un utente con le autorizzazioni per la creazione di una risorsa (presupponendo che non siano presenti condizioni di assegnazione di tag) non necessità delle autorizzazioni per utilizzare l'operazione `fsx:TagResource` se nella richiesta non viene specificato alcun tag. Tuttavia, se l'utente tenta di creare una risorsa con tag, la richiesta ha esito negativo se non dispone delle autorizzazioni per utilizzare l'operazione `fsx:TagResource`.
Per ulteriori informazioni sull'etichettatura FSx delle risorse Amazon, consulta[Taggare le tue risorse Amazon FSx](tag-resources.md). Per ulteriori informazioni sull'uso dei tag per controllare l'accesso alle FSx risorse, consulta[Utilizzo dei tag per controllare l'accesso alle FSx risorse Amazon](#restrict-fsx-access-tags).
## Utilizzo dei tag per controllare l'accesso alle FSx risorse Amazon
Per controllare l'accesso alle FSx risorse e alle azioni di Amazon, puoi utilizzare policy AWS Identity and Access Management (IAM) basate su tag. È possibile fornire il controllo in due modi:
1. Controlla l'accesso alle FSx risorse Amazon in base ai tag presenti su tali risorse.
1. Controllare quali tag possono essere trasferiti in una condizione di richiesta IAM.
Per informazioni su come utilizzare i tag per controllare l'accesso alle AWS risorse, consulta [Controlling access using tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) nella *IAM User Guide*. Per ulteriori informazioni sull'etichettatura FSx delle risorse Amazon al momento della creazione, consulta[Concessione dell'autorizzazione all'applicazione di tag per le risorse durante la creazione](#supported-iam-actions-tagging). Per ulteriori informazioni sull'assegnazione di tag alle risorse, consulta [Taggare le tue risorse Amazon FSx](tag-resources.md).
### Controllo dell'accesso in base ai tag di una risorsa
Per controllare le azioni che un utente o un ruolo può eseguire su una FSx risorsa Amazon, puoi utilizzare i tag sulla risorsa. Ad esempio, è possibile consentire o negare operazioni API specifiche su una risorsa di gateway di file in base alla coppia chiave-valore del tag sulla risorsa.
**Example policy: crea un file system attivo quando fornisci un tag specifico**
Questa politica consente all'utente di creare un file system solo quando lo contrassegna con una coppia chiave-valore specifica, in questo esempio`key=Department, value=Finance`.
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example policy — Crea backup solo dei FSx file system Amazon con un tag specifico**
Questa policy consente agli utenti di creare backup solo dei file system etichettati con la coppia `key=Department, value=Finance` chiave-valore e il backup verrà creato con il tag. `Deparment=Finance`
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example policy: crea un file system con un tag specifico dai backup con un tag specifico**
Questa politica consente agli utenti di creare file system etichettati con `Department=Finance` solo a partire da backup contrassegnati con. `Department=Finance`
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example policy: elimina i file system con tag specifici**
Questa politica consente a un utente di eliminare solo i file system contrassegnati con`Department=Finance`. Se creano un backup finale, deve essere contrassegnato con`Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
# Utilizzo di ruoli collegati ai servizi FSx per Windows File Server
Amazon FSx for Windows File Server utilizza ruoli [collegati ai servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a Windows File FSx Server. I ruoli collegati ai servizi sono predefiniti da FSx for Windows File Server e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per conto dell'utente. AWS
Un ruolo collegato ai servizi semplifica la configurazione FSx di Windows File Server perché non è necessario aggiungere manualmente le autorizzazioni necessarie. FSx per Windows File Server definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo FSx per Windows File Server può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo si proteggono le risorse FSx per Windows File Server, in quanto non è possibile rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per Windows File Server FSx
FSx per Windows File Server utilizza il ruolo collegato al servizio denominato `AWSServiceRoleForAmazonFSx` — che esegue determinate azioni nel tuo account, come la creazione di interfacce di rete elastiche per i tuoi file system nel tuo VPC.
La politica di autorizzazione dei ruoli consente FSx a Windows File Server di completare le seguenti azioni su tutte le risorse applicabili: AWS
Non puoi collegare Amazon FSx ServiceRolePolicy alle tue entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente di gestire AWS le risorse FSx per tuo conto. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi FSx per Windows File Server](#using-service-linked-roles).
Per gli aggiornamenti a questa policy, consulta [Amazon FSx ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonFSxServiceRolePolicy).
Questa politica concede autorizzazioni amministrative che consentono di gestire AWS le risorse FSx per conto dell'utente.
**Dettagli delle autorizzazioni**
Le autorizzazioni dei FSx ServiceRolePolicy ruoli Amazon sono definite dalla policy FSx ServiceRolePolicy AWS gestita di Amazon. Amazon FSx ServiceRolePolicy dispone delle seguenti autorizzazioni:
**Nota**
Amazon FSx ServiceRolePolicy è utilizzato da tutti i tipi di FSx file system Amazon; alcune delle autorizzazioni elencate potrebbero non essere applicabili FSx a Windows.
+ `ds`— Consente di FSx visualizzare, autorizzare e non autorizzare le applicazioni presenti nella directory. Directory Service
+ `ec2`— Consente di FSx effettuare le seguenti operazioni:
+ Visualizza, crea e dissocia le interfacce di rete associate a un FSx file system Amazon.
+ Visualizza uno o più indirizzi IP elastici associati a un FSx file system Amazon.
+ Visualizza Amazon VPCs, i gruppi di sicurezza e le sottoreti associati a un FSx file system Amazon.
+ Assegna IPv6 indirizzi alle interfacce di rete dei clienti che dispongono di un tag. `AmazonFSx.FileSystemId`
+ Annulla l'assegnazione IPv6 degli indirizzi dalle interfacce di rete dei clienti che dispongono di un tag. `AmazonFSx.FileSystemId`
+ Fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC.
+ Crea un'autorizzazione per un utente AWS autorizzato a eseguire determinate operazioni su un'interfaccia di rete.
+ `cloudwatch`— Consente di FSx pubblicare punti dati metrici nello spazio dei CloudWatch nomi AWS FSx /.
+ `route53`— Consente FSx di associare un Amazon VPC a una zona ospitata privata.
+ `logs`— Consente di FSx descrivere e scrivere nei log i flussi di CloudWatch log. In questo modo gli utenti possono inviare i registri di controllo degli accessi ai file per un file system FSx per Windows File Server a un CloudWatch flusso di log.
+ `firehose`— Consente di FSx descrivere e scrivere sui flussi di distribuzione di Amazon Data Firehose. In questo modo gli utenti possono pubblicare i log di controllo degli accessi ai file per un file system FSx per Windows File Server su un flusso di distribuzione di Amazon Data Firehose.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
},
{
"Sid": "PutCloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
},
{
"Sid": "ManageAuditLogs",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
}
]
}
```
------
Eventuali aggiornamenti a questa politica sono descritti in. [FSx Aggiornamenti Amazon alle politiche AWS gestite](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
## Creazione di un ruolo collegato al servizio FSx per Windows File Server
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un file system nella CLI Console di gestione AWS IAM o nell'API IAM, FSx per Windows File Server crea automaticamente il ruolo collegato al servizio.
**Importante**
Questo ruolo collegato ai servizi può apparire nell'account se è stata completata un'operazione in un altro servizio che utilizza le funzionalità supportate dal ruolo. Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei un file system, FSx per Windows File Server crea nuovamente il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato al servizio per Windows File Server FSx
FSx per Windows File Server non consente di modificare il ruolo collegato al servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Windows File Server FSx
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario eliminare tutti i file system e i backup prima di poter eliminare manualmente il ruolo collegato al servizio.
**Nota**
Se il servizio FSx per Windows File Server utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Usa la console IAM, la CLI IAM oppure l’API IAM per eliminare il ruolo collegato al servizio . Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
## Aree supportate FSx per i ruoli collegati al servizio Windows File Server
FSx per Windows File Server supporta l'utilizzo di ruoli collegati al servizio in tutte le aree geografiche in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Regioni ed endpoint di AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Convalida della conformità per Amazon FSx for Windows File Server
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta [Servizi AWS Ambito per programma di conformitàServizi AWS](https://aws.amazon.com/compliance/services-in-scope/) di conformità e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta [AWS la documentazione sulla sicurezza](https://docs.aws.amazon.com/security/).
# Amazon FSx per Windows File Server e endpoint VPC di interfaccia
Puoi migliorare il livello di sicurezza del tuo VPC configurando FSx Amazon per utilizzare un endpoint VPC di interfaccia. Gli endpoint VPC di interfaccia sono basati su una tecnologia che consente di [AWS PrivateLink](https://aws.amazon.com/privatelink)accedere ad FSx APIs Amazon in modo privato senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per comunicare con Amazon. FSx APIs Il traffico tra il tuo VPC e Amazon FSx non esce dalla AWS rete.
Ogni endpoint VPC di interfaccia è rappresentato da una o più interfacce di rete elastiche nelle sottoreti. Un'interfaccia di rete fornisce un indirizzo IP privato che funge da punto di ingresso per il traffico verso l' FSx API Amazon. Amazon FSx supporta endpoint VPC configurati con tipi di indirizzi IP IPv4 -only e dual-stack (e). IPv4 IPv6 Per ulteriori informazioni, consulta [Creazione di un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) nella Amazon *VPC* User Guide.
## Considerazioni sugli endpoint VPC con FSx interfaccia Amazon
*Prima di configurare un endpoint VPC di interfaccia per Amazon FSx, assicurati di esaminare le proprietà [e le limitazioni dell'endpoint VPC dell'interfaccia nella Amazon VPC User Guide](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations).*
Puoi chiamare qualsiasi operazione dell' FSx API Amazon dal tuo VPC. Ad esempio, puoi creare un file system FSx per Windows File Server chiamando l' CreateFileSystem API dall'interno del tuo VPC. Per l'elenco completo di Amazon FSx APIs, consulta [Actions](https://docs.aws.amazon.com/fsx/latest/APIReference/API_Operations.html) in the Amazon FSx API Reference.
### Considerazioni sul peering VPC
Puoi connetterne altri VPCs al VPC con endpoint VPC di interfaccia utilizzando il peering VPC. Il peering VPC è una connessione di rete tra due. VPCs Puoi stabilire una connessione peering VPC tra i tuoi due VPCs o con un VPC in un altro. Account AWS VPCs Possono essere disponibili anche in due versioni diverse. Regioni AWS
Il traffico tra utenti VPCs peer rimane sulla AWS rete e non attraversa la rete Internet pubblica. Una volta VPCs eseguito il peering, risorse come le istanze Amazon Elastic Compute Cloud EC2 (Amazon) in entrambe VPCs possono accedere all' FSx API Amazon tramite endpoint VPC di interfaccia creati in uno dei. VPCs
## Creazione di un endpoint VPC di interfaccia per Amazon API FSx
Puoi creare un endpoint VPC per l' FSx API Amazon utilizzando la console Amazon VPC o il (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta [Creazione di un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) nella Amazon *VPC* User Guide.
Per creare un endpoint VPC di interfaccia per Amazon FSx, usa uno dei seguenti:
+ `com.amazonaws.region.fsx`— Crea un endpoint per le operazioni delle FSx API Amazon.
+ **`com.amazonaws.region.fsx-fips`**— Crea un endpoint per l' FSx API Amazon conforme al [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.
Per utilizzare l'opzione DNS privato, devi impostare `enableDnsSupport` gli attributi `enableDnsHostnames` e del tuo VPC. Per ulteriori informazioni, consulta [Visualizzazione e aggiornamento del supporto DNS per il tuo VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) nella *Amazon VPC* User Guide.
Ad eccezione Regioni AWS della Cina, se abiliti il DNS privato per l'endpoint, puoi effettuare richieste API ad Amazon FSx con l'endpoint VPC utilizzando il suo nome DNS predefinito per, ad esempio. Regione AWS`fsx.us-east-1.amazonaws.com` Per la Cina (Pechino) e la Cina (Ningxia) Regioni AWS, puoi effettuare richieste API con l'endpoint VPC utilizzando e, rispettivamente. `fsx-api---cn-north-1.amazonaws.com.rproxy.goskope.com.cn` `fsx-api---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn`
Per ulteriori informazioni, consulta [Accesso a un servizio tramite un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) nella Amazon *VPC* User Guide.
## Creazione di una policy sugli endpoint VPC per Amazon FSx
Per controllare ulteriormente l'accesso all' FSx API Amazon, puoi opzionalmente allegare una policy AWS Identity and Access Management (IAM) al tuo endpoint VPC. La policy specifica quanto segue:
+ Il principale che può eseguire azioni.
+ Le azioni che possono essere eseguite.
+ Le risorse su cui è possibile eseguire le azioni.
Per ulteriori informazioni, consulta [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) nella *Guida per l'utente di Amazon VPC.*