• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Crea ruoli di servizio per l'automazione tramite la console
<a name="automation-setup-iam"></a>

Se devi creare un ruolo di servizio per Automation, uno strumento in AWS Systems Manager, completa le seguenti attività. Per ulteriori informazioni su quando un ruolo di servizio è obbligatorio per l'automazione, consulta [Configurazione del servizio di automazione](automation-setup.md).

**Topics**
+ [Processo 1: creazione di un ruolo di servizio per il servizio di automazione](#create-service-role)
+ [Attività 2: allega la PassRole policy iam: al tuo ruolo di automazione](#attach-passrole-policy)

## Processo 1: creazione di un ruolo di servizio per il servizio di automazione
<a name="create-service-role"></a>

Utilizza la procedura seguente per creare un ruolo di servizio (o *ruolo presunto*) per il servizio di automazione di Systems Manager.

**Nota**  
Puoi anche utilizzare questo ruolo nei runbook, ad esempio il runbook `AWS-CreateManagedLinuxInstance`. L'utilizzo di questo ruolo, o dell'Amazon Resource Name (ARN) di un ruolo AWS Identity and Access Management (IAM), nei runbook consente all'automazione di eseguire azioni nel tuo ambiente, come avviare nuove istanze ed eseguire azioni per tuo conto.

**Per creare un ruolo IAM e consentire al servizio di automazione di usarlo**

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione, scegliere **Roles** (Ruoli) e quindi **Create role** (Crea ruolo).

1. In **Select type of trusted entity** (Seleziona tipo di entità attendibile), scegliere **AWS service** (Servizio).

1. Nella sezione **Choose a use case** (Scegli un caso d'uso), scegliere **Systems Manager**, e quindi scegliere **Next: Permissions** (Successivo: autorizzazioni).

1. **Nella pagina **Politica di autorizzazione allegata**, cerca la **AmazonSSMAutomationRole**policy, selezionala, quindi scegli Avanti: revisione.** 

1. Nella pagina **Review (Rivedi)** inserire un nome nella casella **Role name** (Nome ruolo), quindi inserire una descrizione.

1. Scegliere **Create role** (Crea ruolo). Il sistema visualizza di nuovo la pagina **Roles** (Ruoli).

1. Nella pagina **Ruoli**, scegli il ruolo appena creato per aprire la pagina **Riepilogo**. Annotare i valori per **Role Name** (Nome ruolo) e **Role ARN** (ARN ruolo). Specificherai il ruolo ARN quando alleghi la PassRole policy **iam:** al tuo account IAM nella procedura successiva. È inoltre possibile specificare il nome di ruolo e l'ARN nei runbook.

**Nota**  
La `AmazonSSMAutomationRole` policy assegna l'autorizzazione al ruolo di automazione a un sottoinsieme di AWS Lambda funzioni all'interno del tuo account. Queste funzioni iniziano con "Automation". Se si prevede di utilizzare il servizio di automazione con funzioni Lambda, l'ARN Lambda deve utilizzare il seguente formato:  
`"arn:aws:lambda:*:*:function:Automation*"`  
Se disponi di funzioni Lambda esistenti i cui ARN non utilizzano questo formato, devi anche allegare una policy Lambda aggiuntiva al tuo ruolo di automazione, come la policy. **AWSLambdaRole** La policy o il ruolo aggiuntivo deve garantire un accesso più ampio alle funzioni Lambda all'interno dell' Account AWS.

Dopo aver creato il tuo ruolo di servizio, ti consigliamo di modificare la policy di attendibilità per evitare il problema del "confused deputy" tra servizi. Il *problema confused deputy* è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Inoltre AWS, l'impersonificazione tra servizi può portare alla confusione del problema del vice. Cross-service*l'impersonificazione può verificarsi quando un servizio (il servizio *chiamante) chiama un altro servizio* (il servizio chiamato).* Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse dell'account. 

Ti consigliamo di utilizzare le chiavi di contesto delle condizioni globali [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) nelle policy delle risorse per limitare le autorizzazioni con cui Automation fornisce un altro servizio alla risorsa. Se il valore `aws:SourceArn` non contiene l'ID account, ad esempio un ARN del bucket Amazon S3, devi utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali e il valore `aws:SourceArn` contiene l'ID account, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` deve utilizzare lo stesso ID account nella stessa dichiarazione di policy. Utilizzare `aws:SourceArn` se si desidera consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizzare `aws:SourceAccount` se si desidera consentire l’associazione di qualsiasi risorsa in tale account all’uso tra servizi. Il valore di `aws:SourceArn` deve essere l'ARN per l'esecuzione delle automazioni. Se non si conosce l'ARN completo della risorsa o se si sta specificando più risorse, utilizzare la chiave di condizione del contesto globale `aws:SourceArn` con caratteri speciali (`*`) per le parti sconosciute dell'ARN. Ad esempio, `arn:aws:ssm:*:123456789012:automation-execution/*`. 

L'esempio seguente mostra il modo in cui puoi utilizzare le chiavi di contesto delle condizioni globali `aws:SourceArn` e `aws:SourceAccount` per l'automazione per prevenire il problema confused deputy.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "ssm.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:ssm:*:123456789012:automation-execution/*"
        }
      }
    }
  ]
}
```

------

**Per modificare una policy di attendibilità del ruolo**

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, seleziona **Ruoli**.

1. Nell'elenco dei ruoli dell'account, scegliere il nome del ruolo di servizio di Automation.

1. Selezionare la scheda **Trust relationships (Relazioni di trust)** e scegliere **Edit trust relationship (Modifica relazione di trust)**.

1. Modificare la policy di attendibilità utilizzando le chiavi di contesto delle condizioni globali `aws:SourceArn` e `aws:SourceAccount` per fare in modo che Automation prevenga il problema del "confused deputy".

1. Per salvare le modifiche, scegliere **Update Trust Policy** (Aggiorna policy di attendibilità).

### (Facoltativo) Aggiungi una policy in linea di automazione o una policy gestita dal cliente per richiamarne altre Servizi AWS
<a name="add-inline-policy"></a>

Se esegui un'automazione che richiama altri Servizi AWS utilizzando un ruolo di servizio IAM, il ruolo di servizio deve essere configurato con l'autorizzazione a richiamare tali servizi. Questo requisito si applica a tutti i runbook di AWS automazione (`AWS-*`runbook) come,, e `AWS-RestartEC2Instance` runbook `AWS-ConfigureS3BucketLogging``AWS-CreateDynamoDBBackup`, solo per citarne alcuni. Questo requisito vale anche per i runbook personalizzati che utilizzano altri Servizi AWS tramite l'utilizzo di operazioni che chiamano altri servizi. Ad esempio, se utilizzi le operazioni `aws:executeAwsApi`. `aws:CreateStack` o `aws:copyImage`, per citarne alcune, devi configurare il ruolo di servizio con l'autorizzazione per richiamare questi servizi. Puoi concedere autorizzazioni ad altri Servizi AWS aggiungendo al ruolo una policy in linea IAM o una policy gestita dal cliente. 

**Per incorporare una policy inline per un ruolo di servizio (console IAM)**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Nel pannello di navigazione, scegliere **Roles (Ruoli)**.

1. Nell'elenco, scegliere il nome del ruolo da modificare.

1. Scegliere la scheda **Permissions (Autorizzazioni)**.

1. Nell'elenco a discesa **Aggiungi autorizzazioni**, scegli **Collega policy** o **Crea policy inline**.

1. Se scegli **Collega policy**, seleziona la casella di controllo accanto alla policy che desideri aggiungere e scegli **Aggiungi autorizzazioni**.

1. Scegli **Crea policy inline**, quindi scegli la scheda **JSON**.

1. Inserisci un documento di policy JSON per il file Servizi AWS che desideri richiamare. Di seguito sono riportati due documenti della policy JSON di esempio.

   **Amazon S3 PutObject ed esempio GetObject**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:PutObject",
                   "s3:GetObject"
               ],
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
           }
       ]
   }
   ```

------

   **Amazon EC2 ed esempio CreateSnapshot DescribeSnapShots**

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement":[
         {
            "Effect":"Allow",
            "Action":"ec2:CreateSnapshot",
            "Resource":"*"
         },
         {
            "Effect":"Allow",
            "Action":"ec2:DescribeSnapshots",
            "Resource":"*"
         }
      ]
   }
   ```

------

   Per informazioni sul linguaggio della policy IAM consulta [Riferimento alle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente IAM*.

1. Al termine, seleziona **Review policy (Rivedi policy)**. In [Policy Validator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) (Validatore di policy) vengono segnalati eventuali errori di sintassi.

1. Nella pagina **Review policy** (Rivedi policy), inserire un **Name (Nome)** per la policy che stai creando. Consulta il **Riepilogo** della policy per visualizzare le autorizzazioni concesse dalla policy. Seleziona **Create policy** (Crea policy) per salvare il proprio lavoro.

1. Una volta creata, una policy inline viene automaticamente incorporata nel ruolo.

## Attività 2: allega la PassRole policy iam: al tuo ruolo di automazione
<a name="attach-passrole-policy"></a>

Utilizza la procedura seguente per collegare la policy `iam:PassRole` al ruolo di servizio di Automazione. Ciò consente al servizio di automazione di passare il ruolo ad altri servizi o strumenti di Systems Manager durante l'esecuzione delle automazioni.

**Per allegare la PassRole policy iam: al tuo ruolo di automazione**

1. Nella pagina **Summary (Riepilogo)** per il ruolo creato in precedenza, scegliere la scheda **Permissions (Autorizzazioni)**.

1. Scegliere **Add inline policy** (Aggiungi policy inline).

1. Nella pagina **Create Policy** (Crea policy), scegliere la scheda **Visual editor (Editor visivo)**.

1. Scegliere **Service** (Servizio), quindi **IAM**.

1. Scegliere **Select actions** (Seleziona operazioni).

1. Nella casella di testo **Filtra azioni****PassRole**, digita e scegli l'**PassRole**opzione.

1. Scegliere **Resources** (Risorse). Verifica che l'opzione **Specific** (Specifico) sia selezionata, quindi scegliere **Add ARN** (Aggiungi ARN).

1. Nel campo **Specify ARN for role** (Specifica ARN per il ruolo), incolla l'ARN del ruolo di automazione copiato alla fine del processo 1. Il sistema popola automaticamente i campi **Account** e **Role name with path (Nome ruolo con percorso)**.
**Nota**  
Se desideri che il ruolo di servizio dell'automazione alleghi un ruolo del profilo dell'istanza IAM a un'istanza EC2, è necessario aggiungere l'ARN del ruolo del profilo dell'istanza. Ciò consente al ruolo di servizio di dell'automazione di passare il ruolo del profilo dell'istanza IAM all'istanza EC2 di destinazione.

1. Scegliere **Add** (Aggiungi).

1. Scegliere **Review policy** (Rivedi policy).

1. Nella pagina **Review Policy** (Rivedi policy), inserire un nome, quindi scegliere **Create Policy **(Crea policy).