Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in AWS Outposts
La sicurezza AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo modello come sicurezza del cloud e sicurezza nel cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per maggiori informazioni sui programmi di conformità applicabili AWS Outposts, consulta la sezione [AWS Servizi rientranti nell'ambito del programma di conformitàAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Per ulteriori informazioni sulla sicurezza e la conformità per AWS Outposts, consulta le [domande frequenti ](https://aws.amazon.com/outposts/rack/faqs/#Security_.26_compliance).
Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa durante l'utilizzo AWS Outposts. Illustra come soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche a utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse.
**Topics**
+ [Protezione dei dati](data-protection.md)
+ [Gestione dell’identità e degli accessi](identity-access-management.md)
+ [Sicurezza dell’infrastruttura](infrastructure-security.md)
+ [Resilienza](disaster-recovery-resiliency.md)
+ [Convalida della conformità](compliance-validation.md)
+ [Accesso a Internet](internet-access.md)
# Protezione dei dati in AWS Outposts
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di di si applica alla protezione dei dati in AWS Outposts. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. Questo contenuto include le attività di configurazione e gestione della sicurezza relative a Servizi AWS ciò che utilizzi.
Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e configurare singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti.
Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
## Crittografia dei dati a riposo
Con AWS Outposts, tutti i dati sono crittografati quando sono inattivi. Sul materiale della chiave viene eseguito il wrapping in una chiave esterna archiviata in un dispositivo rimovibile, la chiave di sicurezza Nitro (NSK).
Puoi utilizzare la crittografia Amazon EBS per i tuoi volumi EBS e gli snapshot. La crittografia Amazon EBS utilizza AWS Key Management Service (AWS KMS) e chiavi KMS. Per ulteriori informazioni, consulta [Amazon EBS Encryption](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) nella *Amazon EBS User Guide.*
## Crittografia dei dati in transito
AWS crittografa i dati in transito tra Outpost e la sua regione. AWS Per ulteriori informazioni, consulta [Connettività tramite collegamento al servizio](service-links.md).
Puoi utilizzare un protocollo di crittografia quale Transport Layer Security (TLS) per eseguire la crittografia dei dati sensibili in transito attraverso il gateway locale verso la tua rete locale.
## Eliminazione dei dati
Quando si interrompe o termina un'istanza EC2, la memoria a essa allocata viene annullata (impostata su zero) dall'hypervisor prima che venga allocata a una nuova istanza e ogni blocco di archiviazione viene ripristinato.
La distruzione della chiave di sicurezza Nitro elimina crittograficamente i dati presenti nel tuo Outpost.
# Gestione delle identità e degli accessi (IAM) per AWS Outposts
AWS Identity and Access Management (IAM) è un AWS servizio che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere autenticato (effettuato l'accesso) e autorizzato (disporre delle autorizzazioni) a utilizzare le risorse. AWS Outposts Puoi utilizzare IAM senza alcun costo aggiuntivo.
**Topics**
+ [Come funziona AWS Outposts con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy](security_iam_id-based-policy-examples.md)
+ [Ruoli collegati ai servizi](using-service-linked-roles.md)
+ [AWS politiche gestite](security-iam-awsmanpol.md)
# Come funziona AWS Outposts con IAM
Prima di utilizzare IAM per gestire l'accesso a AWS Outposts, scopri quali funzionalità IAM sono disponibili per l'uso con AWS Outposts.
| Funzionalità IAM | AWS Supporto Outposts |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| Policy basate sulle risorse | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| ACLs | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-principal-permissions) | Sì |
| Ruoli di servizio | No |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
## Politiche basate sull'identità per Outposts AWS
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di policy basate sull'identità per Outposts AWS
Per visualizzare esempi di politiche basate sull'identità di AWS Outposts, consulta. [AWS Esempi di policy di Outposts](security_iam_id-based-policy-examples.md)
## Azioni politiche per AWS Outposts
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco delle azioni AWS Outposts, vedere [Azioni definite da AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions) nel *Service Authorization* Reference.
Le azioni politiche in AWS Outposts utilizzano il seguente prefisso prima dell'azione:
```
outposts
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"outposts:action1",
"outposts:action2"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `List`, includi la seguente azione:
```
"Action": "outposts:List*"
```
## Risorse politiche per AWS Outposts
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Alcune azioni dell'API AWS Outposts supportano più risorse. Per specificare più risorse in un'unica istruzione, separale ARNs con virgole.
```
"Resource": [
"resource1",
"resource2"
]
```
Per visualizzare un elenco dei tipi di risorse AWS Outposts e relativi ARNs, vedere Tipi di [risorse definiti da AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-resources-for-iam-policies) nel *Service Authorization* Reference. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta la sezione [Operazioni definite da AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions).
## Chiavi relative alle condizioni delle policy per AWS Outposts
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco delle chiavi di condizione di AWS Outposts, consulta [Condition keys for AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-policy-keys) nel *Service Authorization* Reference. Per sapere con quali azioni e risorse puoi usare una chiave di condizione, vedi [Azioni definite da AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions).
Per visualizzare esempi di politiche basate sull'identità di AWS Outposts, consulta. [AWS Esempi di policy di Outposts](security_iam_id-based-policy-examples.md)
## ABAC con Outposts AWS
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con Outposts AWS
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali multiservizio per Outposts AWS
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso diretto (FAS) utilizzano le autorizzazioni del principale chiamante e, in combinazione con la richiesta Servizio AWS, di effettuare richieste ai servizi Servizio AWS a valle. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli collegati ai servizi per Outposts AWS
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati in Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per informazioni dettagliate sulla creazione o la gestione dei ruoli collegati ai servizi AWS Outposts, consulta. [Ruoli collegati ai servizi per AWS Outposts](using-service-linked-roles.md)
# AWS Esempi di policy di Outposts
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare le AWS risorse Outposts. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per i dettagli sulle azioni e sui tipi di risorse definiti da AWS Outposts, incluso il formato di ARNs per ogni tipo di risorsa, vedere [Azioni, risorse e chiavi di condizione AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html) nel *Service Authorization* Reference.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Esempio: Utilizzo delle autorizzazioni a livello di risorsa](#outposts-policy-examples)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse AWS Outposts nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le politiche AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Esempio: Utilizzo delle autorizzazioni a livello di risorsa
L'esempio seguente utilizza le autorizzazioni a livello di risorsa per concedere l'autorizzazione al fine di ottenere informazioni sull'Outpost specificato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetOutpost",
"Resource": "arn:aws:outposts:us-east-1:111122223333:outpost/op-1234567890abcdef0"
}
]
}
```
------
L'esempio seguente utilizza le autorizzazioni a livello di risorsa per concedere l'autorizzazione al fine di ottenere informazioni sul sito specificato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetSite",
"Resource": "arn:aws:outposts:us-east-1:111122223333:site/os-0abcdef1234567890"
}
]
}
```
------
# Ruoli collegati ai servizi per AWS Outposts
AWS Outposts utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato al servizio è un tipo di ruolo di servizio a cui è collegato direttamente. AWS Outposts AWS Outposts definisce i ruoli collegati ai servizi e include tutte le autorizzazioni necessarie per chiamare altri AWS servizi per conto dell'utente.
Un ruolo collegato ai servizi rende la configurazione AWS Outposts più efficiente perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Outposts definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Outposts Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo avere eliminato le risorse correlate. In questo modo proteggi AWS Outposts le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
## Autorizzazioni di ruolo collegate al servizio per AWS Outposts
AWS Outposts **utilizza il ruolo collegato al servizio denominato \$1. AWSService RoleForOutposts *OutpostID*** Questo ruolo concede a Outposts le autorizzazioni per gestire le risorse di rete per abilitare la connettività privata per tuo conto. Questo ruolo consente inoltre a Outposts di creare e configurare interfacce di rete, gestire gruppi di sicurezza e collegare interfacce alle istanze degli endpoint service link. Queste autorizzazioni sono necessarie per stabilire e mantenere la connessione privata e sicura tra Outpost locale e i AWS servizi, garantendo un funzionamento affidabile della distribuzione di Outpost.
Il ruolo AWSService RoleForOutposts \$1 *OutpostID* service-linked prevede che i seguenti servizi assumano il ruolo:
+ `outposts.amazonaws.com`
### Politiche relative ai ruoli collegati ai servizi
Il ruolo AWSService RoleForOutposts \$1 *OutpostID* service-linked include le seguenti politiche:
+ [AWSOutpostsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOutpostsServiceRolePolicy.html)
+ AWSOutpostsPrivateConnectivityPolicy\$1*OutpostID*
#### AWSOutpostsServiceRolePolicy
La `AWSOutpostsServiceRolePolicy` policy consente l'accesso alle AWS risorse gestite da. AWS Outposts
Questa politica consente di AWS Outposts completare le seguenti azioni sulle risorse specificate:
+ Azione: `ec2:DescribeNetworkInterfaces` su tutte le AWS risorse
+ Azione: `ec2:DescribeSecurityGroups` su tutte le AWS risorse
+ Azione: `ec2:DescribeSubnets` su tutte le AWS risorse
+ Azione: `ec2:DescribeVpcEndpoints` su tutte le AWS risorse
+ Azione: `ec2:CreateNetworkInterface` sulle seguenti AWS risorse:
```
"arn:*:ec2:*:*:vpc/*",
"arn:*:ec2:*:*:subnet/*",
"arn:*:ec2:*:*:security-group/*"
```
+ Azione: `ec2:CreateNetworkInterface` sulla AWS risorsa `"arn:*:ec2:*:*:network-interface/*"` che soddisfa la seguente condizione:
```
"ForAnyValue:StringEquals" : { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
+ Azione: `ec2:CreateSecurityGroup` sulle seguenti AWS risorse:
```
"arn:*:ec2:*:*:vpc/*"
```
+ Azione: `ec2:CreateSecurityGroup` sulla AWS risorsa `"arn:*:ec2:*:*:security-group/*"` che soddisfa la seguente condizione:
```
"ForAnyValue:StringEquals": { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
#### AWSOutpostsPrivateConnectivityPolicy\$1OutpostID
La `AWSOutpostsPrivateConnectivityPolicy_OutpostID` politica consente di AWS Outposts completare le seguenti azioni sulle risorse specificate:
+ Azione: `ec2:AuthorizeSecurityGroupIngress` su tutte AWS le risorse che soddisfano la seguente condizione:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Azione: `ec2:AuthorizeSecurityGroupEgress` su tutte AWS le risorse che soddisfano la seguente condizione:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Azione: `ec2:CreateNetworkInterfacePermission` su tutte AWS le risorse che soddisfano la seguente condizione:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Azione: `ec2:CreateTags` su tutte AWS le risorse che soddisfano la seguente condizione:
```
{ "StringLike" : { "aws:RequestTag/outposts:private-connectivity-resourceId" : "{{OutpostId}}*"}},
"StringEquals": {"ec2:CreateAction" : ["CreateSecurityGroup", "CreateNetworkInterface"]}
```
+ Azione: `ec2:RevokeSecurityGroupIngress` su tutte AWS le risorse che soddisfano la seguente condizione:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Azione: `ec2:RevokeSecurityGroupEgress` su tutte AWS le risorse che soddisfano la seguente condizione:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Azione: `ec2:DeleteNetworkInterface` su tutte AWS le risorse che soddisfano la seguente condizione:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Azione: `ec2:DeleteSecurityGroup` su tutte AWS le risorse che soddisfano la seguente condizione:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Crea un ruolo collegato al servizio per AWS Outposts
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando configuri la connettività privata per Outpost in Console di gestione AWS, AWS Outposts crea automaticamente il ruolo collegato al servizio.
Per ulteriori informazioni, consulta [Opzioni di connettività privata Service Link](private-connectivity.md).
## Modifica un ruolo collegato al servizio per AWS Outposts
AWS Outposts non consente di modificare il ruolo collegato al *OutpostID* servizio AWSService RoleForOutposts \$1. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. *Per ulteriori informazioni, consulta [Aggiornare un ruolo collegato al servizio nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html) per l'utente IAM.*
## Elimina un ruolo collegato al servizio per AWS Outposts
Se non occorre più utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare tale ruolo. In questo modo si evita di avere un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
Se il AWS Outposts servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
Devi eliminare Outpost prima di poter eliminare il ruolo AWSService RoleForOutposts \$1 *OutpostID* service-linked.
Prima di iniziare, assicurati che il tuo Outpost non venga condiviso utilizzando (). AWS Resource Access Manager AWS RAM Per ulteriori informazioni, vedi [Annullamento della condivisione di una risorsa Outpost condivisa](https://docs.aws.amazon.com/outposts/latest/network-userguide/sharing-outposts.html#sharing-unshare).
**Per eliminare AWS Outposts le risorse utilizzate da \$1 AWSService RoleForOutposts *OutpostID***
Contatta AWS Enterprise Support per eliminare il tuo Outpost.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Per ulteriori dettagli, consulta [Delete a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) nella *Guida per l’utente IAM*.
## Regioni supportate per i ruoli collegati AWS Outposts ai servizi
AWS Outposts supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta i FAQs rack per [Outposts](https://aws.amazon.com/outposts/rack/faqs/).
# AWS politiche gestite per AWS Outposts
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AWSOutposts ServiceRolePolicy
Questa politica è associata a un ruolo collegato al servizio che consente a AWS Outposts di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta [Ruoli collegati ai servizi](using-service-linked-roles.md).
## AWS Outposts: aggiornamenti alle AWS politiche gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per AWS Outposts da quando questo servizio ha iniziato a tenere traccia di queste modifiche.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| Aggiornamenti al ruolo collegato al servizio \$1 AWS Identity and Access Management AWSService RoleForOutposts OutpostID | Le autorizzazioni dei ruoli AWSServiceRoleForOutposts\$1 OutpostID service-linked vengono aggiornate per perfezionare la AWS Outposts gestione delle risorse di rete per la connettività privata, con controlli più precisi sull'interfaccia di rete e sulle operazioni dei gruppi di sicurezza necessari per le istanze degli endpoint service link. | 18 aprile 2025 |
| AWS Outposts ha iniziato a tracciare le modifiche | AWS Outposts ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 03 dicembre 2019 |
# Sicurezza dell'infrastruttura in AWS Outposts
In quanto servizio gestito, AWS Outposts è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzi chiamate API AWS pubblicate per accedere a AWS Outposts attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Per ulteriori informazioni sulla sicurezza dell'infrastruttura fornita per le istanze EC2 e i volumi EBS in esecuzione su Outpost, consulta [Sicurezza dell'infrastruttura in Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/infrastructure-security.html).
I log di flusso VPC funzionano allo stesso modo in cui funzionano in una regione. AWS Ciò significa che possono essere pubblicati su CloudWatch Logs, Amazon S3 o GuardDuty Amazon per l'analisi. I dati devono essere rispediti alla regione per essere pubblicati su questi servizi, quindi non sono visibili da CloudWatch o da altri servizi quando Outpost si trova in uno stato disconnesso.
## Monitoraggio delle manomissioni sulle apparecchiature AWS Outposts
Assicuratevi che nessuno modifichi, alteri, decodifichi o manometta l'apparecchiatura. AWS Outposts AWS Outposts [le apparecchiature possono essere dotate di un sistema di monitoraggio delle manomissioni per garantire la conformità ai Termini di servizio.AWS](https://aws.amazon.com/service-terms/)
# Resilienza in AWS Outposts
AWS Outposts è progettato per essere altamente disponibile. I rack Outposts sono progettati con apparecchiature di alimentazione e rete ridondanti. Per una maggiore resilienza, consigliamo di dotare l'Outpost di una doppia sorgente di alimentazione e di una connettività di rete ridondante.
Per un'elevata disponibilità, puoi fornire capacità aggiuntiva integrata e sempre attiva sui rack Outposts. Le configurazioni di capacità degli Outpost sono progettate per funzionare in ambienti di produzione e supportano N\$11 istanze per ogni famiglia di istanze se si fornisce la capacità necessaria. AWS consiglia di allocare una capacità aggiuntiva sufficiente per le applicazioni mission-critical per consentire il ripristino e il failover in caso di problemi con l'host sottostante. Puoi utilizzare i parametri di disponibilità della CloudWatch capacità di Amazon e impostare allarmi per monitorare lo stato delle tue applicazioni, creare CloudWatch azioni per configurare le opzioni di ripristino automatico e monitorare l'utilizzo della capacità dei tuoi Outposts nel tempo.
Quando crei un Outpost, selezioni una zona di disponibilità da una regione. AWS Questa zona di disponibilità supporta operazioni sul piano di controllo come la risposta alle chiamate API, il monitoraggio dell'Outpost e l'aggiornamento dell'Outpost. Per sfruttare la resilienza fornita dalle zone di disponibilità, puoi distribuire le applicazioni su più Outpost, ciascuno dei quali sarebbe collegato a una zona di disponibilità diversa. Ciò consente di creare una resilienza aggiuntiva delle applicazioni e di evitare la dipendenza da una singola zona di disponibilità. Per ulteriori informazioni sulle regioni e sulle zone di disponibilità, consulta [Infrastruttura globale di AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
Puoi utilizzare un gruppo di posizionamento con una strategia di distribuzione per garantire che le istanze vengano posizionate su rack Outposts distinti. Così facendo si contribuisce a ridurre gli errori correlati. Per ulteriori informazioni, consulta [Gruppi di collocazione su Outposts](outposts-optimizations.md#placement-groups-outpost).
Puoi avviare istanze in Outposts mediante Dimensionamento automatico Amazon EC2 e creare un Application Load Balancer per distribuire il traffico tra le istanze. Per ulteriori informazioni, consulta [Configurazione di un Application Load Balancer in AWS Outposts](https://aws.amazon.com/blogs/networking-and-content-delivery/configuring-an-application-load-balancer-on-aws-outposts/).
# Convalida della conformità per AWS Outposts
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
# Accesso a Internet per AWS Outposts carichi di lavoro
Questa sezione spiega in che modo AWS Outposts i carichi di lavoro possono accedere a Internet nei seguenti modi:
+ Tramite la regione madre AWS
+ Tramite la rete del data center locale
## Accesso a Internet tramite la AWS regione madre
In questa opzione, i carichi di lavoro negli Outposts accedono a Internet tramite il collegamento al servizio e quindi tramite il gateway Internet (IGW) nella regione madre. AWS Il traffico in uscita verso Internet può avvenire attraverso il gateway NAT istanziato nel tuo VPC. Per una maggiore sicurezza del traffico in ingresso e in uscita, puoi utilizzare servizi AWS di sicurezza come AWS WAF AWS Shield, e Amazon CloudFront nella AWS regione.
Per l'impostazione della tabella di routing nella sottorete Outposts, vedere Tabelle di routing del [gateway locale](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html).
### Considerazioni
+ Utilizzate questa opzione quando:
+ È necessaria flessibilità per proteggere il traffico Internet con più AWS servizi nella AWS regione.
+ Non disponete di un punto di presenza Internet nel data center o nella struttura di co-ubicazione.
+ In questa opzione, il traffico deve attraversare la AWS regione principale, il che introduce la latenza.
+ Analogamente ai costi di trasferimento dei dati nelle AWS aree geografiche, il trasferimento dei dati dalla zona di disponibilità principale all'Outpost comporta dei costi. Per ulteriori informazioni sul trasferimento dei dati, consulta la pagina dei prezzi [on demand di Amazon EC2](https://aws.amazon.com/ec2/pricing/on-demand/).
+ L'utilizzo della larghezza di banda del servizio di collegamento aumenterà.
L'immagine seguente mostra il traffico tra il carico di lavoro nell'istanza Outposts e Internet che attraversa la AWS regione principale.
![\[Mostra il traffico tra il carico di lavoro nell'istanza Outposts e Internet che attraversa la AWS regione principale.\]](http://docs.aws.amazon.com/it_it/outposts/latest/userguide/images/racks-internet-access-via-region.png)
## Accesso a Internet tramite la rete del data center locale
In questa opzione, i carichi di lavoro che risiedono negli Outposts accedono a Internet tramite il data center locale. Il traffico del carico di lavoro che accede a Internet attraversa il punto di presenza Internet locale e esce localmente. Il livello di sicurezza della rete del data center locale è responsabile della protezione del traffico del carico di lavoro Outposts.
Per l'impostazione della tabella di routing nella sottorete Outposts, vedere Tabelle di routing del [gateway locale](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html).
### Considerazioni
+ Utilizzate questa opzione quando:
+ I tuoi carichi di lavoro richiedono un accesso a bassa latenza ai servizi Internet.
+ Preferisci evitare di incorrere in costi DTO (Data Transfer Out).
+ Desiderate preservare la larghezza di banda del collegamento di servizio per il controllo del traffico aereo.
+ Il tuo livello di sicurezza è responsabile della protezione del traffico del carico di lavoro Outposts.
+ Se opti per Direct VPC Routing (DVR), devi assicurarti che gli Outposts CIDRs non siano in conflitto con quelli locali. CIDRs
+ Se la route predefinita (0/0) viene propagata tramite il gateway locale (LGW), le istanze potrebbero non essere in grado di raggiungere gli endpoint del servizio. In alternativa, puoi scegliere gli endpoint VPC per raggiungere il servizio desiderato.
L'immagine seguente mostra il traffico tra il carico di lavoro nell'istanza Outposts e Internet che attraversa il data center locale.
![\[Mostra il traffico tra il carico di lavoro nell'istanza Outposts e Internet che attraversa la rete del data center.\]](http://docs.aws.amazon.com/it_it/outposts/latest/userguide/images/racks-internet-access-via-customer-network.png)