Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in AWS Resource Access Manager
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per ulteriori informazioni sui programmi di conformità che si applicano ad AWS Resource Access Manager 8 AWS RAM), consulta [Servizi coperti dal programma di conformitàAWS](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa durante l'utilizzo AWS RAM. I seguenti argomenti mostrano come configurare per AWS RAM soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche a utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere AWS RAM le tue risorse.
**Topics**
+ [Protezione dei dati in AWS Resource Access Manager](data-protection.md)
+ [Gestione delle identità e degli accessi per AWS Resource Access Manager](security-iam.md)
+ [Registrazione e monitoraggio AWS RAM](security-monitoring.md)
+ [Convalida della conformità per AWS Resource Access Manager](compliance-validation.md)
+ [Resilienza in AWS Resource Access Manager](disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in AWS Resource Access Manager](infrastructure-security.md)
+ [Accesso AWS Resource Access Manager tramite un endpoint di interfaccia ()AWS PrivateLink](vpc-interface-endpoints.md)
# Protezione dei dati in AWS Resource Access Manager
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di di si applica alla protezione dei dati in AWS Resource Access Manager. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori AWS RAM o Servizi AWS utilizzi la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
# Gestione delle identità e degli accessi per AWS Resource Access Manager
AWS Identity and Access Management (IAM) è un AWS servizio che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori di IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (dispone delle autorizzazioni) a utilizzare le risorse. AWS Utilizzando IAM, crei i principali, come ruoli, utenti e gruppi, all'interno del tuo. Account AWS Sei tu a controllare le autorizzazioni di cui dispongono i responsabili per eseguire attività utilizzando le risorse. AWS Puoi utilizzare IAM senza alcun costo aggiuntivo. Per ulteriori informazioni sulla gestione e la creazione di policy IAM personalizzate, consulta [Managing IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) nella *IAM User Guide*.
**Topics**
+ [Come AWS RAM funziona con IAM](security-iam-policies.md)
+ [AWS politiche gestite per AWS Resource Access Manager](security-iam-awsmanpol.md)
+ [Utilizzo di ruoli collegati ai servizi per AWS RAM](using-service-linked-roles.md)
+ [Esempi di politiche IAM per AWS RAM](security-iam-policies-examples.md)
+ [Esempi di politiche di controllo dei servizi per AWS Organizations e AWS RAM](security-scp.md)
+ [Disabilitazione della condivisione delle risorse con AWS Organizations](security-disable-sharing-with-orgs.md)
# Come AWS RAM funziona con IAM
Per impostazione predefinita, i responsabili IAM non sono autorizzati a creare o modificare AWS RAM risorse. Per consentire ai dirigenti IAM di creare o modificare risorse ed eseguire attività, esegui una delle seguenti operazioni. Queste azioni concedono il permesso di utilizzare risorse e azioni API specifiche.
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
AWS RAM fornisce diverse politiche AWS gestite che è possibile utilizzare per soddisfare le esigenze di molti utenti. Per ulteriori informazioni su queste impostazioni, consulta [AWS politiche gestite per AWS Resource Access Manager](security-iam-awsmanpol.md).
Se hai bisogno di un controllo più preciso sulle autorizzazioni concesse ai tuoi utenti, puoi creare le tue policy nella console IAM. *Per informazioni sulla creazione di policy e sulla loro associazione ai ruoli e agli utenti IAM, consulta [Policies and permissions in IAM nella](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) User Guide.AWS Identity and Access Management *
Le seguenti sezioni forniscono i dettagli AWS RAM specifici per la creazione di una policy di autorizzazione IAM.
**Contents**
+ [Struttura delle policy](#structure)
+ [Effetto](#iam-policies-effect)
+ [Azione](#iam-policies-action)
+ [Risorsa](#iam-policies-resource)
+ [Condizione](#iam-policies-condition)
## Struttura delle policy
Una policy di autorizzazione IAM è un documento JSON che include le seguenti dichiarazioni: Effect, Action, Resource e Condition. Una policy IAM assume in genere la forma seguente.
```
{
"Statement":[{
"Effect":"",
"Action":"",
"Resource":"",
"Condition":{
"":{
"":""
}
}
}]
}
```
### Effetto
L'istruzione *Effect* indica se la policy consente o nega l'autorizzazione principale per eseguire un'azione. I valori possibili includono: `Allow` e`Deny`.
### Azione
L'istruzione *Action* specifica le azioni AWS RAM API per le quali la policy consente o nega l'autorizzazione. Per un elenco completo delle azioni consentite, consulta [Actions defined by AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-actions-as-permissions) nella *IAM User Guide*.
### Risorsa
La dichiarazione *Resource* specifica le AWS RAM risorse interessate dalla policy. Per specificare una risorsa nell'istruzione, devi utilizzare il relativo Amazon Resource Name (ARN) univoco. Per un elenco completo delle risorse consentite, consulta [Resources defined by AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-resources-for-iam-policies) nella *IAM User Guide*.
### Condizione
Le istruzioni sulle *condizioni* sono facoltative. Possono essere utilizzate per perfezionare ulteriormente le condizioni alle quali si applica la politica. AWS RAM supporta le seguenti chiavi di condizione:
+ `aws:RequestTag/${TagKey}`— Verifica se la richiesta di servizio include un tag con la chiave di tag specificata esiste e ha il valore specificato.
+ `aws:ResourceTag/${TagKey}`— Verifica se alla risorsa su cui si basa la richiesta di servizio è associata un'etichetta con una chiave di tag specificata nella policy.
La condizione di esempio seguente verifica che la risorsa a cui si fa riferimento nella richiesta di servizio abbia un tag allegato con il nome chiave «Owner» e il valore «Dev Team».
```
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/Owner" : "Dev Team"
}
}
```
+ `aws:TagKeys`— Speciifica le chiavi dei tag che devono essere utilizzate per creare o contrassegnare una condivisione di risorse.
+ `ram:AllowsExternalPrincipals`— Verifica se la condivisione di risorse nella richiesta di servizio consente la condivisione con responsabili esterni. Un principale esterno è una persona Account AWS esterna all'organizzazione in AWS Organizations. Se il risultato è positivo`False`, puoi condividere questa condivisione di risorse con gli account solo della stessa organizzazione.
+ `ram:PermissionArn`— Verifica se l'ARN di autorizzazione specificato nella richiesta di servizio corrisponde a una stringa ARN specificata nella policy.
+ `ram:PermissionResourceType`— Verifica se l'autorizzazione specificata nella richiesta di servizio è valida per il tipo di risorsa specificato nella politica. Specificate i tipi di risorse utilizzando il formato mostrato nell'elenco dei [tipi di risorse condivisibili](shareable.md).
+ `ram:Principal`— Verifica se l'ARN del principale specificato nella richiesta di servizio corrisponde a una stringa ARN specificata nella policy.
+ `ram:RequestedAllowsExternalPrincipals`— Verifica se la richiesta di servizio include il `allowExternalPrincipals` parametro e se il relativo argomento corrisponde al valore specificato nella politica.
+ `ram:RequestedResourceType`— Verifica se il tipo di risorsa su cui si agisce corrisponde a una stringa di tipo di risorsa specificata nella politica. Specificate i tipi di risorse utilizzando il formato mostrato nell'elenco dei [tipi di risorse condivisibili](shareable.md).
+ `ram:ResourceArn`— Verifica se l'ARN della risorsa su cui agisce la richiesta di servizio corrisponde a un ARN specificato nella policy.
+ `ram:ResourceShareName`— Verifica se il nome della condivisione di risorse su cui agisce la richiesta di servizio corrisponde a una stringa specificata nella policy.
+ `ram:ShareOwnerAccountId`— Verifica che il numero ID dell'account della condivisione di risorse su cui agisce la richiesta di servizio corrisponda a una stringa specificata nella politica.
# AWS politiche gestite per AWS Resource Access Manager
AWS Resource Access Manager attualmente fornisce diverse politiche AWS RAM gestite, descritte in questo argomento.
**Topics**
+ [AWSResourceAccessManagerReadOnlyAccess](#security-iam-managed-policies-AWSResourceAccessManagerReadOnlyAccess)
+ [AWSResourceAccessManagerFullAccess](#security-iam-managed-policies-AWSResourceAccessManagerFullAccess)
+ [AWSResourceAccessManagerResourceShareParticipantAccess](#security-iam-managed-policies-AWSResourceAccessManagerResourceShareParticipantAccess)
+ [AWSResourceAccessManagerServiceRolePolicy](#security-iam-managed-policies-AWSResourceAccessManagerServiceRolePolicy)
+ [Aggiornamenti delle policy](#security-iam-awsmanpol-updates)
Nell'elenco precedente, puoi allegare le prime tre policy ai ruoli, ai gruppi e agli utenti IAM per concedere le autorizzazioni. L'ultima policy dell'elenco è riservata al ruolo collegato al AWS RAM servizio.
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AWSResource AccessManagerReadOnlyAccess
È possibile allegare la policy `AWSResourceAccessManagerReadOnlyAccess` alle identità IAM.
Questo criterio fornisce autorizzazioni di sola lettura per le condivisioni di risorse di proprietà dell'utente. Account AWS
Lo fa concedendo il permesso di eseguire una qualsiasi delle operazioni o. `Get*` `List*` Non fornisce alcuna possibilità di modificare alcuna condivisione di risorse.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ram`— Consente ai responsabili di visualizzare i dettagli sulle quote di risorse possedute dall'account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:Get*",
"ram:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AWSResource AccessManagerFullAccess
È possibile allegare la policy `AWSResourceAccessManagerFullAccess` alle identità IAM.
Questa politica fornisce l'accesso amministrativo completo per visualizzare o modificare le condivisioni di risorse di proprietà dell'utente Account AWS.
Lo fa concedendo il permesso di eseguire qualsiasi `ram` operazione.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ram`— Consente ai responsabili di visualizzare o modificare qualsiasi informazione sulle condivisioni di risorse di proprietà di. Account AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AWSResource AccessManagerResourceShareParticipantAccess
È possibile allegare la policy `AWSResourceAccessManagerResourceShareParticipantAccess` alle identità IAM.
Questa politica offre ai mandanti la possibilità di accettare o rifiutare le condivisioni di risorse condivise con questo Account AWS provider e di visualizzare i dettagli su tali condivisioni di risorse. Non offre alcuna possibilità di modificare tali condivisioni di risorse.
Lo fa concedendo il permesso di eseguire alcune `ram` operazioni.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ram`— Consente ai responsabili di accettare o rifiutare gli inviti alla condivisione delle risorse e di visualizzare i dettagli sulle condivisioni di risorse condivise con l'account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:GetResourcePolicies",
"ram:GetResourceShareInvitations",
"ram:GetResourceShares",
"ram:ListPendingInvitationResources",
"ram:ListPrincipals",
"ram:ListResources",
"ram:RejectResourceShareInvitation"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AWSResource AccessManagerServiceRolePolicy
La policy AWS gestita `AWSResourceAccessManagerServiceRolePolicy` può essere utilizzata solo con il ruolo collegato al servizio per. AWS RAM Non puoi allegare, scollegare, modificare o eliminare questa politica.
Questa politica fornisce AWS RAM l'accesso in sola lettura alla struttura dell'organizzazione. Quando abiliti l'integrazione tra AWS RAM e AWS Organizations, crea AWS RAM automaticamente un ruolo collegato al servizio denominato [AWSServiceRoleForResourceAccessManager](https://console.aws.amazon.com/iam/home#/roles/AWSServiceRoleForResourceAccessManager)che il servizio assume quando deve cercare informazioni sull'organizzazione e sui relativi account, ad esempio quando si visualizza la struttura dell'organizzazione nella console. AWS RAM
A tale scopo, concede l'autorizzazione di sola lettura per eseguire `organizations:List` le operazioni `organizations:Describe` e le operazioni che forniscono dettagli sulla struttura e sugli account dell'organizzazione.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `organizations`— Consente ai dirigenti di visualizzare le informazioni sulla struttura dell'organizzazione, comprese le unità organizzative, e il contenuto in esse contenuto. Account AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListRoots"
],
"Resource": "*"
},
{
"Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
"Effect": "Allow",
"Action": [
"iam:DeleteRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
]
}
]
}
```
------
## AWS RAM aggiornamenti alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS RAM da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei AWS RAM documenti.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| AWS Resource Access Manager ha iniziato a tenere traccia delle modifiche | AWS RAM ha documentato le politiche gestite esistenti e ha iniziato a tenere traccia delle modifiche. | 16 settembre 2021 |
# Utilizzo di ruoli collegati ai servizi per AWS RAM
AWS Resource Access Manager utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato al servizio è un tipo unico di ruolo IAM collegato direttamente al servizio. AWS RAM I ruoli collegati ai servizi sono predefiniti AWS e includono tutte le autorizzazioni necessarie per chiamare altri servizi per AWS RAM tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione AWS RAM perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS RAM definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumere i ruoli collegati al servizio. AWS RAM Le autorizzazioni definite includono sia una politica di fiducia che una politica di autorizzazioni e tale politica di autorizzazioni non può essere associata a nessun'altra entità IAM.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni di ruolo collegate al servizio per AWS RAM
AWS RAM utilizza il ruolo collegato al servizio denominato `AWSServiceRoleForResourceAccessManager` quando abiliti la condivisione con. AWS Organizations Questo ruolo concede al AWS RAM servizio le autorizzazioni per visualizzare i dettagli dell'organizzazione, come l'elenco degli account dei membri e le unità organizzative in cui si trova ciascun account.
Questo ruolo collegato al servizio si affida al seguente servizio per l'assunzione del ruolo:
+ `ram.amazonaws.com`
La politica di autorizzazione del ruolo denominata AWSResource AccessManagerServiceRolePolicy è allegata a questo ruolo collegato al servizio e consente di AWS RAM completare le seguenti azioni sulle risorse specificate:
+ Azioni: azioni di sola lettura che recuperano dettagli sulla struttura dell'organizzazione. Per l'elenco completo delle azioni, puoi visualizzare la policy nella console IAM:. [AWSResourceAccessManagerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceAccessManagerServiceRolePolicy$jsonEditor)
Affinché un responsabile attivi la AWS RAM condivisione all'interno dell'organizzazione, tale responsabile (un'entità IAM come un utente, un gruppo o un ruolo) deve disporre dell'autorizzazione per creare un ruolo collegato al servizio. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
## Creazione di un ruolo collegato ai servizi per AWS RAM
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando attivi la AWS RAM condivisione all'interno della tua organizzazione o la Console di gestione AWS esegui [EnableSharingWithAwsOrganization](https://docs.aws.amazon.com/ram/latest/APIReference/API_EnableSharingWithAwsOrganization.html)nel tuo account utilizzando AWS CLI o un' AWS API, AWS RAM crea automaticamente il ruolo collegato al servizio.
Chiama `enable-sharing-with-aws-organizations` per creare il ruolo collegato al servizio nel tuo account.
Se elimini questo ruolo collegato al servizio, AWS RAM non hai più le autorizzazioni per visualizzare i dettagli della struttura della tua organizzazione.
## Modifica di un ruolo collegato al servizio per AWS RAM
AWS RAM non consente di modificare il ruolo collegato al AWSResource AccessManagerServiceRolePolicy servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per AWS RAM
Puoi utilizzare la console IAM, AWS CLI o l' AWS API per eliminare manualmente il ruolo collegato al servizio.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al `AWSResourceAccessManagerServiceRolePolicy` servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
## Regioni supportate per i ruoli collegati ai servizi AWS RAM
AWS RAM supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta la sezione relativa a [regioni ed endpoint AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) nella *Riferimenti generali di Amazon Web Services*.
# Esempi di politiche IAM per AWS RAM
Questo argomento include esempi di politiche IAM AWS RAM che dimostrano la condivisione di risorse e tipi di risorse specifici e la limitazione della condivisione.
**Topics**
+ [Consenti la condivisione di risorse specifiche](#owner-share-specific-resources)
+ [Consenti la condivisione di tipi di risorse specifici](#owner-share-resource-types)
+ [Limita la condivisione con soggetti esterni Account AWS](#control-access-owner-external)
## Esempio 1: consentire la condivisione di risorse specifiche
Puoi utilizzare una policy di autorizzazione IAM per limitare i principali all'associazione solo di risorse specifiche a condivisioni di risorse.
Ad esempio, la seguente policy limita i principali alla condivisione della sola regola del resolver con l'Amazon Resource Name (ARN) specificato. L'operatore `StringEqualsIfExists` consente una richiesta se la richiesta non include un `ResourceArn` parametro o, se include quel parametro, se il suo valore corrisponde esattamente all'ARN specificato.
[Per ulteriori informazioni su quando e perché utilizzare gli `...IfExists` operatori, consulta... IfExists condition operator](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) nella *IAM User Guide*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
}
}
}]
}
```
------
## Esempio 2: consentire la condivisione di tipi di risorse specifici
Puoi utilizzare una policy IAM per limitare i principali all'associazione solo di tipi di risorse specifici alle condivisioni di risorse.
Le azioni `AssociateResourceShare` e `CreateResourceShare` possono accettare i principi e `resourceArns` come parametri di input indipendenti. Pertanto, AWS RAM autorizza ogni principale e risorsa in modo indipendente, quindi potrebbero esserci più contesti di [richiesta](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-reqcontext.html). Ciò significa che quando un principale viene associato a una condivisione di AWS RAM risorse, la chiave di `ram:RequestedResourceType` condizione non è presente nel contesto della richiesta. Allo stesso modo, quando una risorsa viene associata a una condivisione di AWS RAM risorse, la chiave di `ram:Principal` condizione non è presente nel contesto della richiesta. Pertanto, per consentire `AssociateResourceShare` e `CreateResourceShare` quando si associano i principali alla condivisione di AWS RAM risorse, è possibile utilizzare l'operatore [`Null`condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Null).
Ad esempio, la seguente policy limita i principali a condividere solo le regole del resolver Amazon Route 53 e consente loro di associare qualsiasi principale a quella condivisione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowOnlySpecificResourceType",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:RequestedResourceType": "route53resolver:ResolverRule"
}
}
},
{
"Sid": "AllowAssociatingPrincipals",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
## Esempio 3: limita la condivisione con siti esterni Account AWS
Puoi utilizzare una policy IAM per impedire ai responsabili di condividere risorse con Account AWS soggetti esterni all' AWS organizzazione.
Ad esempio, la seguente policy IAM impedisce ai responsabili di aggiungere elementi esterni Account AWS alle condivisioni di risorse.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ram:CreateResourceShare",
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "false"
}
}
}]
}
```
------
# Esempi di politiche di controllo dei servizi per AWS Organizations e AWS RAM
AWS RAM supporta le politiche di controllo del servizio (SCPs). SCPs sono politiche che allegate agli elementi di un'organizzazione per gestire le autorizzazioni all'interno di tale organizzazione. Un SCP si applica a tutti gli elementi Account AWS [inclusi nell'elemento a cui si collega l'](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html)SCP. SCPs offrite il controllo centralizzato sulle autorizzazioni massime disponibili per tutti gli account della vostra organizzazione. Possono aiutarvi a garantire che rispettiate le Account AWS linee guida per il controllo degli accessi della vostra organizzazione. Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) nella *Guida per l'utente di AWS Organizations *.
## Prerequisiti
Per utilizzarlo SCPs, devi prima fare quanto segue:
+ Abilitazione di tutte le caratteristiche nell'organizzazione. Per ulteriori informazioni, vedere [Abilitazione di tutte le funzionalità dell'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) nella *Guida AWS Organizations per l'utente*
+ Abilita SCPs per l'uso all'interno della tua organizzazione. Per ulteriori informazioni, vedere [Abilitazione e disabilitazione dei tipi di policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) nella Guida per l'*AWS Organizations utente*
+ Crea quello SCPs che ti serve. Per ulteriori informazioni sulla creazione SCPs, consulta [Creazione e aggiornamento SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html) nella *Guida AWS Organizations per l'utente*.
## Policy di controllo dei servizi di esempio
**Contents**
+ [Esempio 1: Impedire la condivisione esterna](#example-one)
+ [Esempio 2: Impedisci agli utenti di accettare inviti alla condivisione di risorse da account esterni all'organizzazione](#example-two)
+ [Esempio 3: consentire ad account specifici di condividere tipi di risorse specifici](#example-three)
+ [Esempio 4: Impedire la condivisione con l'intera organizzazione o con le unità organizzative](#example-four)
+ [Esempio 5: consenti la condivisione solo con principali specifici](#example-five)
+ [Esempio 6: Impedisci la condivisione delle risorse se abilitato RetainSharingOnAccountLeaveOrganization](#example-six)
Di seguito sono riportati alcuni esempi che mostrano come controllare vari aspetti della condivisione delle risorse in un'organizzazione.
### Esempio 1: Impedire la condivisione esterna
Il seguente SCP impedisce agli utenti di creare condivisioni di risorse che consentano la condivisione con responsabili esterni all'organizzazione dell'utente che condivide.
AWS RAM autorizza APIs separatamente per ogni principale e risorsa elencati nella chiamata.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
]
}
```
------
### Esempio 2: Impedisci agli utenti di accettare inviti alla condivisione di risorse da account esterni all'organizzazione
Il seguente SCP impedisce a qualsiasi principale di un account interessato di accettare un invito a utilizzare una condivisione di risorse. Le condivisioni di risorse condivise con altri account della stessa organizzazione dell'account di condivisione non generano inviti e pertanto non sono interessate da questo SCP.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ram:AcceptResourceShareInvitation",
"Resource": "*"
}
]
}
```
------
### Esempio 3: consentire ad account specifici di condividere tipi di risorse specifici
Il seguente SCP consente *solo* di `222222222222` creare account `111111111111` e nuove condivisioni di risorse che condividono elenchi di prefissi Amazon EC2 o di associare elenchi di prefissi a condivisioni di risorse esistenti.
AWS RAM autorizza APIs separatamente per ogni principale e risorsa elencati nella chiamata.
L'operatore `StringEqualsIfExists` consente una richiesta se la richiesta non include un parametro del tipo di risorsa o, se include quel parametro, se il suo valore corrisponde esattamente al tipo di risorsa specificato. Se stai includendo un preside devi averlo`...IfExists`.
Per ulteriori informazioni su quando e perché utilizzare `...IfExists` gli operatori, consulta[... IfExists condition operator](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) nella *IAM User Guide*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
},
"StringEqualsIfExists": {
"ram:RequestedResourceType": "ec2:PrefixList"
}
}
}
]
}
```
------
### Esempio 4: Impedire la condivisione con l'intera organizzazione o con le unità organizzative
Il seguente SCP impedisce agli utenti di creare condivisioni di risorse che condividano risorse con un'intera organizzazione o con qualsiasi unità organizzativa. Gli utenti *possono* condividerle con singoli Account AWS membri dell'organizzazione o con ruoli o utenti IAM.
AWS RAM autorizza APIs separatamente per ogni principale e risorsa elencati nella chiamata.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:organization/*",
"arn:aws:organizations::*:ou/*"
]
}
}
}
]
}
```
------
### Esempio 5: consenti la condivisione solo con principali specifici
L'esempio seguente SCP consente agli utenti di condividere risorse *solo* con l'unità `o-12345abcdef,` `ou-98765fedcba` organizzativa dell'organizzazione e. Account AWS `111111111111`
Se si utilizza un `"Effect": "Deny"` elemento con un operatore di condizione negata, ad esempio`StringNotEqualsIfExists`, la richiesta viene comunque negata anche se la chiave di condizione non è presente. Utilizza un operatore di condizione `Null` per verificare se una chiave di condizione è presente o meno al momento dell'autorizzazione.
AWS RAM autorizza APIs separatamente per ogni principale e risorsa elencati nella chiamata.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": [
"arn:aws:organizations::123456789012:organization/o-12345abcdef",
"arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
"111111111111"
]
},
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
### Esempio 6: Impedisci la condivisione delle risorse se abilitato RetainSharingOnAccountLeaveOrganization
Il seguente SCP impedisce agli utenti di creare o modificare condivisioni di risorse quando la chiave di `ram:RetainSharingOnAccountLeaveOrganization` condizione è impostata su. `true`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare",
"ram:DisassociateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RetainSharingOnAccountLeaveOrganization": "true"
}
}
}
]
}
```
# Disabilitazione della condivisione delle risorse con AWS Organizations
Se in precedenza hai abilitato la condivisione con AWS Organizations e non hai più bisogno di condividere le risorse con l'intera organizzazione o le unità organizzative (OUs), puoi disabilitare la condivisione. Quando disabiliti la condivisione con AWS Organizations, tutte le organizzazioni OUs vengono rimosse dalle condivisioni di risorse che hai creato e perdono l'accesso alle risorse condivise. Gli account esterni (account aggiunti alla condivisione di risorse tramite invito) non subiranno alcun impatto e continueranno a essere associati alla condivisione di risorse.
**Per disabilitare la condivisione con AWS Organizations**
1. Disabilita l'accesso affidabile all' AWS Organizations utilizzo del AWS Organizations [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) AWS CLI comando.
```
$ aws organizations disable-aws-service-access --service-principal ram.amazonaws.com
```
**Importante**
Quando si disabilita l'accesso affidabile a AWS Organizations, i responsabili all'interno dell'organizzazione vengono rimossi da tutte le condivisioni di risorse e perdono l'accesso a tali risorse condivise.
1. Utilizza la console IAM AWS CLI, o le operazioni dell'API IAM per eliminare il ruolo collegato al **AWSServiceRoleForResourceAccessManager**servizio. Per ulteriori informazioni, consultare [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente di IAM*.
# Registrazione e monitoraggio AWS RAM
Il monitoraggio è un elemento importante per mantenere l'affidabilità, la disponibilità e le prestazioni delle AWS RAM AWS soluzioni esistenti. È necessario raccogliere i dati di monitoraggio da tutte le parti della AWS soluzione in modo da poter eseguire più facilmente il debug di un errore multipunto, se si verifica. AWS fornisce diversi strumenti per monitorare le AWS RAM risorse e rispondere a potenziali incidenti:
**Amazon EventBridge**
Fornisce un near-real-time flusso di eventi di sistema che descrivono i cambiamenti nelle AWS risorse. EventBridge abilita l'elaborazione automatizzata basata sugli eventi, poiché è possibile scrivere regole che controllano determinati eventi e attivano azioni automatizzate in altri AWS servizi quando si verificano tali eventi. Per ulteriori informazioni, consulta [Monitoraggio AWS RAM tramite EventBridge](using-eventbridge.md).
**AWS CloudTrail**
Acquisisce le chiamate API e gli eventi correlati effettuati da o per conto tuo Account AWS e invia i file di log a un bucket Amazon S3 da te specificato. Puoi identificare quali utenti e account hanno chiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. Per ulteriori informazioni, consulta [Registrazione delle chiamate AWS RAM API con AWS CloudTrail](cloudtrail-logging.md).
# Monitoraggio AWS RAM tramite EventBridge
Utilizzando Amazon EventBridge, puoi configurare notifiche automatiche per eventi specifici in AWS RAM. Gli eventi di AWS RAM vengono consegnati quasi EventBridge in tempo reale. È possibile EventBridge configurare il monitoraggio degli eventi e richiamare le destinazioni in risposta a eventi che indicano modifiche alle condivisioni di risorse. Le modifiche a una condivisione di risorse attivano eventi sia per il proprietario della condivisione di risorse che per i principali a cui è stato concesso l'accesso alla condivisione di risorse.
Quando si crea un modello di eventi, l'origine è `aws.ram`.
**Nota**
Fai attenzione a scrivere codice che dipenda da questi eventi. Questi eventi non sono garantiti, ma vengono emessi con la massima diligenza possibile. Se si verifica un errore durante il AWS RAM tentativo di emettere un evento, il servizio riprova diverse volte. Tuttavia, può scadere e causare la perdita di quell'evento specifico.
Per ulteriori informazioni, consulta la Amazon EventBridge User Guide.
## Esempio: avvisi in caso di errori di condivisione delle risorse
Considera lo scenario in cui desideri condividere le prenotazioni di capacità di Amazon EC2 con altri account della tua organizzazione. Ciò è un buon modo per ridurre i costi.
Tuttavia, se non si soddisfano tutti i [prerequisiti per la condivisione di una prenotazione di capacità](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-reservation-sharing.html#sharing-cr-prereq), è possibile che l'esecuzione delle attività asincrone relative alla condivisione delle risorse non venga eseguita automaticamente. Se l'operazione di condivisione fallisce e gli utenti di altri account tentano di avviare istanze con una di queste prenotazioni di capacità, Amazon EC2 si comporta come se la prenotazione di capacità fosse piena e avvia invece l'istanza come istanza on demand. Ciò può comportare costi superiori al previsto.
Per monitorare gli errori di condivisione delle risorse, imposta una EventBridge regola Amazon che ti avvisa ogni volta che una condivisione di AWS RAM risorse fallisce. La seguente procedura del tutorial utilizza un argomento Amazon Simple Notification Service (SNS) per notificare a tutti gli abbonati all'argomento ogni volta che EventBridge rileva un errore di condivisione delle risorse. Per ulteriori informazioni su Amazon SNS, consultare la [Guida per gli sviluppatori di Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/).
**Per creare una regola che ti avvisi quando la condivisione delle risorse fallisce**
1. Apri la [ EventBridge console Amazon](https://console.aws.amazon.com/events).
1. Nel riquadro di navigazione, scegli **Regole**, quindi nell'elenco **Regole** scegli **Crea regola**.
1. Inserisci un nome e una descrizione facoltativa per la regola, quindi scegli **Avanti**.
1. Scorri verso il basso fino alla casella **Modello di evento** e scegli **Modelli personalizzati (editor JSON)**.
1. Copia e incolla il seguente schema di eventi:
```
{
"source": ["aws.ram"],
"detail-type": ["Resource Sharing State Change"],
"detail": {
"event": ["Resource Share Association"],
"status": ["failed"]
}
}
```
1. Scegli **Next (Successivo)**.
1. Per **Target 1**, in **Tipo di destinazione**, scegli **Servizio AWS**.
1. In **Seleziona un target**, scegli l'**argomento SNS**.
1. Per **Argomento**, scegli l'argomento SNS in cui desideri pubblicare la notifica. Questo argomento deve già esistere.
1. Scegli **Avanti**, quindi scegli nuovamente **Avanti** per verificare la configurazione.
1. Quando sei soddisfatto delle opzioni a tua disposizione, scegli **Crea regola**.
1. Tornando alla pagina **Regole**, assicurati che la nuova regola sia contrassegnata come **Abilitata**. Se necessario, scegli il pulsante di opzione accanto al nome della regola, quindi scegli **Abilita**.
Finché questa regola è abilitata, qualsiasi condivisione di AWS RAM risorse che non riesce genera un avviso SNS ai destinatari dell'argomento su cui hai pubblicato.
Puoi anche confermare che le prenotazioni di capacità condivisa sono accessibili agli account con cui le hai condivise provando a [visualizzarle nella console Amazon EC2 da](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-reservation-sharing.html#identifying-shared-cr) tali account.
# Registrazione delle chiamate AWS RAM API con AWS CloudTrail
AWS RAM è integrato con AWS CloudTrail, un servizio che fornisce una registrazione delle azioni intraprese da un utente, un ruolo o un AWS servizio in AWS RAM. CloudTrail acquisisce tutte le chiamate API AWS RAM come eventi. Le chiamate acquisite includono chiamate dalla AWS RAM console e chiamate di codice alle operazioni AWS RAM API. Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3 da te specificato, inclusi gli eventi per cui. AWS RAM Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli **eventi**. Utilizza le informazioni raccolte da CloudTrail per determinare la richiesta a cui è stata effettuata AWS RAM, l'indirizzo IP richiedente, il richiedente, quando è stata effettuata e altri dettagli.
Per ulteriori informazioni in merito CloudTrail, consulta la Guida per l'[AWS CloudTrail utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## AWS RAM informazioni in CloudTrail
CloudTrail è abilitato sul tuo account al Account AWS momento della creazione dell'account. Quando si verifica un'attività in AWS RAM, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi AWS di servizio nella **cronologia degli eventi**. Puoi visualizzare, cercare e scaricare eventi recenti in Account AWS. Per ulteriori informazioni, consulta [Visualizzazione degli eventi con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Per una registrazione continua degli eventi nell' Account AWS che includa gli eventi per AWS RAM, crea un trail. Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando crei un percorso nella console, il percorso si applica a tutte le AWS regioni. Il percorso registra gli eventi di tutte le Regioni nella partizione AWS e distribuisce i file di log nel bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei CloudTrail log. Per ulteriori informazioni, consultare gli argomenti seguenti:
+ [Creare un percorso per il tuo Account AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [Servizio AWS integrazioni con log CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [ricezione di file di CloudTrail registro da](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) più account
Tutte AWS RAM le azioni vengono registrate CloudTrail e documentate nell'[AWS RAM API](https://docs.aws.amazon.com/ram/latest/APIReference/) Reference. Ad esempio, le chiamate alle operazioni `CreateResourceShare`, `AssociateResourceShare` e `EnableSharingWithAwsOrganization` generano voci nei file di log CloudTrail.
Ogni evento o voce di log contiene informazioni che consentono di determinare chi ha effettuato la richiesta.
+ Account AWS credenziali root
+ Credenziali di sicurezza temporanee da un ruolo AWS Identity and Access Management (IAM) o da un utente federato.
+ Credenziali di sicurezza a lungo termine fornite da un utente IAM.
+ Un altro servizio AWS .
Per ulteriori informazioni, consulta [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Comprendere AWS RAM le voci dei file di registro
Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi non vengono visualizzati in un ordine specifico.
L'esempio seguente mostra una voce di CloudTrail registro per l'`CreateResourceShare`azione.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "NOPIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/admin",
"accountId": "111122223333",
"accessKeyId": "BCDIOSFODNN7EXAMPLE",
"userName": "admin"
},
"eventTime": "2018-11-03T04:23:19Z",
"eventSource": "ram.amazonaws.com",
"eventName": "CreateResourceShare",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.1.0",
"userAgent": "aws-cli/1.16.2 Python/2.7.10 Darwin/16.7.0 botocore/1.11.2",
"requestParameters": {
"name": "foo"
},
"responseElements": {
"resourceShare": {
"allowExternalPrincipals": true,
"name": "foo",
"owningAccountId": "111122223333",
"resourceShareArn": "arn:aws:ram:us-east-1:111122223333:resource-share/EXAMPLE0-1234-abcd-1212-987656789098",
"status": "ACTIVE"
}
},
"requestID": "EXAMPLE0-abcd-1234-mnop-987654567876",
"eventID": "EXAMPLE0-1234-abcd-hijk-543234565434",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# Convalida della conformità per AWS Resource Access Manager
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
# Resilienza in AWS Resource Access Manager
L'infrastruttura AWS globale è costruita attorno a Regioni AWS zone di disponibilità. Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture tradizionali a data center singolo o multiplo.
[Per ulteriori informazioni sulle zone di disponibilità, vedere Global Regioni AWS Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
# Sicurezza dell'infrastruttura in AWS Resource Access Manager
In quanto servizio gestito, AWS Resource Access Manager è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzate chiamate API AWS pubblicate per accedere AWS RAM attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
# Accesso AWS Resource Access Manager tramite un endpoint di interfaccia ()AWS PrivateLink
Puoi usarlo AWS PrivateLink per creare una connessione privata tra il tuo VPC e. AWS Resource Access Manager Puoi accedere AWS RAM come se fosse nel tuo VPC, senza l'uso di un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Le istanze del tuo VPC non necessitano di indirizzi IP pubblici per accedervi. AWS RAM
Stabilisci questa connessione privata creando un *endpoint di interfaccia* attivato da AWS PrivateLink. In ciascuna sottorete viene creata un'interfaccia di rete endpoint da abilitare per l'endpoint di interfaccia. Queste sono interfacce di rete gestite dal richiedente che fungono da punto di ingresso per il traffico destinato a AWS RAM.
Per ulteriori informazioni, consulta la sezione [Accesso a Servizi AWS tramite AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) nella *Guida di AWS PrivateLink *.
## Considerazioni per AWS RAM
*Prima di configurare un endpoint di interfaccia per AWS RAM, consulta [le considerazioni nella Guida](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints).AWS PrivateLink *
AWS RAM supporta l'esecuzione di chiamate a tutte le sue azioni API tramite l'endpoint dell'interfaccia.
Le policy degli endpoint VPC sono supportate per. AWS RAM Per impostazione predefinita, l'accesso completo a AWS RAM è consentito tramite l'endpoint dell'interfaccia.
## Crea un endpoint di interfaccia per AWS RAM
Puoi creare un endpoint di interfaccia per AWS RAM utilizzare la console Amazon VPC o AWS Command Line Interface ().AWS CLI Per ulteriori informazioni, consulta la sezione [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) nella *Guida per l'utente di AWS PrivateLink *.
Crea un endpoint di interfaccia per AWS RAM utilizzare il seguente nome di servizio:
```
com.amazonaws.region.ram
```
Se abiliti il DNS privato per l'endpoint dell'interfaccia, puoi effettuare richieste API AWS RAM utilizzando il nome DNS regionale predefinito. Ad esempio, `ram.us-east-1.amazonaws.com`.
## Creazione di una policy dell' endpoint per l'endpoint dell'interfaccia
Una policy dell'endpoint è una risorsa IAM che è possibile allegare all'endpoint dell'interfaccia. La policy predefinita per gli endpoint consente l'accesso completo AWS RAM tramite l'endpoint dell'interfaccia. Per controllare l'accesso consentito AWS RAM dal tuo VPC, collega una policy endpoint personalizzata all'endpoint di interfaccia.
Una policy di endpoint specifica le informazioni riportate di seguito:
+ I principali che possono eseguire azioni (Account AWS, utenti IAM e ruoli IAM).
+ Le azioni che possono essere eseguite.
+ Le risorse in cui è possibile eseguire le operazioni.
Per ulteriori informazioni, consulta la sezione [Controllo dell'accesso ai servizi con policy di endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella *Guida di AWS PrivateLink *.
**Esempio: policy degli endpoint VPC per le azioni AWS RAM**
Di seguito è riportato l'esempio di una policy dell'endpoint personalizzata. Quando alleghi questa policy all'endpoint dell'interfaccia, concede l'accesso alle AWS RAM azioni elencate per tutti i principali su tutte le risorse.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"ram:CreateResourceShare"
],
"Resource": "*"
}
]
}
```
------