• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in AWS Systems Manager
La sicurezza cloud di Amazon Web Services () è la priorità più alta. Come AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gira Servizi AWS su Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per maggiori informazioni sui programmi di conformità applicabiliAWS Systems Manager, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal Servizio AWS materiale che utilizzi. L'utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda e le leggi e le normative applicabili.
Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa durante l'utilizzo AWS Systems Manager. I seguenti argomenti illustrano come configurare l’Systems Manager per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche a usarne altri Servizi AWS che ti aiutano a monitorare e proteggere Systems Manager le tue risorse.
**Topics**
+ [Protezione dei dati in AWS Systems Manager](data-protection.md)
+ [Perimetri di dati in AWS Systems Manager](data-perimeters.md)
+ [Gestione delle identità e degli accessi per l’ AWS Systems Manager](security-iam.md)
+ [Utilizzo di ruoli collegati ai servizi per Systems Manager](using-service-linked-roles.md)
+ [Registrazione e monitoraggio in AWS Systems Manager](logging-and-monitoring.md)
+ [Convalida della conformità per AWS Systems Manager](compliance-validation.md)
+ [Resilienza nell'AWS Systems Manager](disaster-recovery-resiliency.md)
+ [Sicurezza dell’infrastruttura nell’ AWS Systems Manager](infrastructure-security.md)
+ [Analisi della configurazione e delle vulnerabilità in AWS Systems Manager](vulnerability-analysis-and-management.md)
+ [Best practice relative alla sicurezza di Systems Manager](security-best-practices.md)
# Protezione dei dati in AWS Systems Manager
La protezione dei dati ha come scopo di proteggere i dati sia *in transito* (durante la trasmissione verso e da Systems Manager), sia quando sono *inattivi* (ovvero quando sono archiviati nei data center AWS).
Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) di AWSsi applica alla protezione dei dati in AWS Systems Manager. Come descritto in questo modello, AWSè responsabile della protezione dell'infrastruttura globale che esegue tutto l'Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [Modello di responsabilità condivisa AWSe GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *Blog sulla sicurezza AWS*.
Per garantire la protezione dei dati, ti suggeriamo di proteggere le credenziali Account AWSe di configurare i singoli utenti con AWS IAM Identity Centero AWS Identity and Access Management(IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l'autenticazione a più fattori (MFA) con ogni account.
+ Utilizza SSL/TLS per comunicare con le risorse AWS. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei percorsi CloudTrail per acquisire le attività AWS, consulta [Utilizzo dei percorsi CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'utente di AWS CloudTrail*.
+ Utilizza le soluzioni di crittografia AWS, insieme a tutti i controlli di sicurezza di default all'interno dei Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se necessiti di moduli crittografici convalidati FIPS 140-3 quando accedi ad AWS attraverso un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Questo vale quando si lavora con l'Systems Manager e altri Servizi AWS utilizzando la console, l'API, la AWS CLI o gli SDK di AWS. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.
## Crittografia dei dati
### Crittografia a riposo
**Parametri Parameter Store**
I tipi di parametri che è possibile creare in Parameter Store, uno strumento di AWS Systems Manager, includono `String`, `StringList` e `SecureString`.
Tutti i parametri, indipendentemente dal tipo, sono crittografati sia in transito che a riposo. In transito, i parametri vengono crittografati utilizzando Transport Layer Security (TLS), per creare una connessione HTTPS sicura per le richieste API. A riposo, vengono crittografati con un Chiave di proprietà di AWS in AWS Key Management Service (AWS KMS). Per ulteriori informazioni sulla crittografia Chiave di proprietà di AWS, consulta [Chiavi di proprietà di AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service*.
Il `SecureString` tipo offre opzioni di crittografia aggiuntive ed è consigliato per tutti i dati sensibili. È possibile scegliere tra i seguenti tipi di chiavi AWS KMS per crittografare e decrittografare il valore di un parametro `SecureString`:
+ La Chiave gestita da AWS per il tuo account
+ Una chiave gestita dal cliente (CMK) che hai creato nel tuo account
+ Un CMK in un altro Account AWS che è stato condiviso con te
Per ulteriori informazioni sulla crittografia AWS KMS, consulta la [Guida per gli sviluppatori di AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/).
**Contenuto nei bucket S3**
Come parte del tuoSystems ManagerPuoi scegliere di caricare o archiviare i dati in uno o più bucket Amazon Simple Storage Service (Amazon S3).
Per informazioni sulla crittografia bucket S3, consulta [Protezione dei dati tramite crittografia](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) e [Protezione dei dati in Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html) nella *Guida per gli sviluppatori Amazon Simple Storage Service*.
Di seguito sono riportati i tipi di dati che puoi caricare o che sono stati archiviati nei bucket S3 come parte delle attività Systems Manager:
+ L'output dei comandi in Run Command, uno strumento di AWS Systems Manager
+ Pacchetti in Distributor, uno strumento di AWS Systems Manager
+ Log per l'operazione di applicazione delle patch in Patch Manager, uno strumento di AWS Systems Manager
+ Patch ManagerElenchi di override delle patch
+ Script o playbook Ansible da eseguire in un flusso di lavoro del runbook in Automazione, uno strumento di AWS Systems Manager
+ Profili Chef InSpec da utilizzare con scansioni in Conformità, uno strumento di AWS Systems Manager
+ Log di AWS CloudTrail
+ Log della cronologia delle sessioni in Session Manager, uno strumento di AWS Systems Manager
+ Rapporti da Explorer, uno strumento di AWS Systems Manager
+ OpsData da OpsCenter, uno strumento di AWS Systems Manager
+ AWS CloudFormation Modelli da utilizzare con i flussi di lavoro di automazione
+ Dati di conformità da una scansione di sincronizzazione dei dati di una risorsa
+ Output delle richieste per creare o modificare l'associazione in State Manager, uno strumento di AWS Systems Manager nei nodi gestiti.
+ Documenti di Systems Manager personalizzati (documenti SSM) che è possibile eseguire utilizzando il AWS Documento SSM gestito `AWS-RunDocument`
**Gruppo di log di CloudWatch Logs**
Nell'ambito delle operazioni di Systems Manager, è possibile scegliere di trasmettere i dati a uno o più gruppi di log di Amazon CloudWatch Logs.
Per informazioni sulla crittografia in CloudWatch Logs, si veda [Encrypt Log Data in CloudWatch Logs (Crittografia dei dati di log in CloudWatch Logs)AWS Key Management Service](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) nella *Guida per l'utente di Amazon CloudWatch Logs*.
Di seguito sono riportati i tipi di dati che potrebbero essere stati trasmessi in streaming a un gruppo di log di CloudWatch Logs come parte delle attività di Systems Manager:
+ L'output dei comandi di Run Command
+ L'output degli script eseguiti utilizzando l'operazione `aws:executeScript` in un runbook Automation
+ Log della cronologia delle sessioni di Session Manager
+ I log da SSM Agent sui tuoi nodi gestiti
### Crittografia in transito
Consigliamo di utilizzare un protocollo di crittografia quale Transport Layer Security (TLS) per eseguire la crittografia dei dati sensibili in transito tra i client e i nodi.
Systems Manager fornisce il seguente supporto per la crittografia dei dati in transito.
**Connessioni agli endpoint dell'API Systems Manager**
Gli endpoint API di Systems Manager supportano solo connessioni protette tramite HTTPS. Quando si gestiscono le risorse di Systems Manager attraverso la Console di gestione AWS, l'SDK AWS o l'API Systems Manager, tutte le comunicazioni sono crittografate con Transport Layer Security (TLS). Per un elenco completo degli endpoint API, consulta [Endpoint del Servizio AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) nella *Riferimenti generali di Amazon Web Services*.
**Istanze gestite**
AWS Fornisce connettività sicura e privata tra istanze di Amazon Elastic Compute Cloud (Amazon EC2). Inoltre, crittografiamo automaticamente il traffico in transito tra istanze supportate nello stesso VPC o in VPC in peering, utilizzando algoritmi AEAD con crittografia a 256 bit. Tale funzione di crittografia utilizza le funzionalità di offload dell'hardware sottostante e non ha alcun impatto sulle prestazioni della rete. Le istanze supportate sono: C5n, G4, I3en, M5dn, M5n, P3dn, R5dn e R5n.
**Sessioni di Session Manager**
Per impostazione predefinita, Session Manager utilizza TLS 1.3 per crittografare i dati delle sessioni trasmessi tra i computer locali di utenti nell'account e le istanze EC2. È inoltre possibile scegliere di crittografare ulteriormente i dati in transito utilizzando una AWS KMS key creata in AWS KMS. La crittografia AWS KMS è disponibile per i tipi di sessione `Standard_Stream`, `InteractiveCommands` e `NonInteractiveCommands`.
**Accesso Run Command**
Per impostazione predefinita, l'accesso remoto ai nodi mediante Run Command è crittografato utilizzando TLS 1.3 e le richieste per creare una connessione sono firmate utilizzando SigV4.
## Riservatezza del traffico Internet
Puoi utilizzare Amazon Virtual Private Cloud (Amazon VPC) per creare delimitatori tra le risorse nei nodi gestiti e nel traffico di controllo fra di esse, la rete locale e Internet. Per i dettagli, consulta la sezione [Migliora la sicurezza delle istanze EC2 utilizzando gli endpoint VPC per Systems Manager](setup-create-vpc.md).
Per ulteriori informazioni sulla sicurezza di Amazon Virtual Private Cloud, consulta [Riservatezza del traffico Internet in Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) nella *guida per l'utente di Amazon VPC*.
# Perimetri di dati in AWS Systems Manager
Un perimetro di dati è un insieme di barriere preventive nell' AWS ambiente che aiutano a garantire che i dati siano accessibili solo da identità affidabili provenienti dalle reti e dalle risorse previste. Quando si implementano i controlli perimetrali dei dati, potrebbe essere necessario includere eccezioni per le risorse di proprietà dei AWS servizi a cui Systems Manager accede per conto dell'utente.
**Scenario di esempio: bucket S3 per categorie di documenti SSM**
Systems Manager accede a un bucket S3 AWS gestito per recuperare informazioni sulle categorie di documenti per. [Documenti di AWS Systems Manager](documents.md) Questo bucket contiene metadati sulle categorie di documenti che aiutano a organizzare e classificare i documenti SSM nella console.
Modelli ARN delle risorse
`arn:aws:s3:::ssm-document-categories-region`
Esempi regionali:
+ `arn:aws:s3:::ssm-document-categories-us-east-1`
+ `arn:aws:s3:::ssm-document-categories-us-west-2`
+ `arn:aws:s3:::ssm-document-categories-eu-west-1`
+ `arn:aws:s3:::ssm-document-categories-ap-northeast-1`
Quando si è effettuato l'accesso
È possibile accedere a questa risorsa quando si visualizzano i documenti SSM nella console Systems Manager o quando si utilizza APIs quel documento di recupero dei metadati e delle categorie.
Dati archiviati
Il bucket contiene file JSON con definizioni e metadati delle categorie di documenti. Questi dati sono di sola lettura e non contengono informazioni specifiche sul cliente.
Identità utilizzata
Systems Manager accede a questa risorsa utilizzando le credenziali di AWS servizio per conto delle richieste dell'utente.
Autorizzazioni richieste
`s3:GetObject` sui contenuti del bucket.
**Considerazioni sulle policy del perimetro dei dati**
Quando si implementano controlli perimetrali dei dati utilizzando Service Control Policies (SCPs) o policy degli endpoint VPC con condizioni quali`aws:ResourceOrgID`, è necessario creare eccezioni per le risorse di proprietà AWS del servizio richieste da Systems Manager.
Ad esempio, se si utilizza un SCP per limitare l'accesso alle risorse esterne all'organizzazione, è necessario aggiungere un'eccezione per il bucket di categorie di documenti SSM. `aws:ResourceOrgID`
La policy prevede l'accesso a risorse esterne all'organizzazione, ma include un'eccezione per i bucket S3 appropriati, che consente a Systems Manager di continuare a funzionare correttamente.
Allo stesso modo, se si utilizzano le policy degli endpoint VPC per limitare l'accesso a S3, è necessario assicurarsi che i bucket delle categorie di documenti SSM siano accessibili tramite gli endpoint VPC dell'utente.
**Ulteriori informazioni**
Per ulteriori informazioni sui perimetri dei dati in AWS, consulta i seguenti argomenti:
+ [Perimetri di dati attivi](https://aws.amazon.com/identity/data-perimeters-on-aws/). AWS
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_data-perimeters.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_data-perimeters.html)
+ [Linee guida specifiche per il servizio AWS Systems Manager e risorse di proprietà del servizio disponibili nell'archivio](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_specific_guidance/ssm-specific-guidance.md) [https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_owned_resources.md](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_owned_resources.md) GitHub
# Gestione delle identità e degli accessi per l’ AWS Systems Manager
AWS Identity and Access Management (IAM) è un programma Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi è *autenticato* (accesso effettuato) e *autorizzato* (dispone di autorizzazioni) a utilizzare risorse Systems Manager. IAM è un software Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Funzionamento di AWS Systems Manager con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy AWS Systems Manager di basate su identità](security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per AWS Systems Manager](security-iam-awsmanpol.md)
+ [Risoluzione dei problemi di identità e accesso in AWS Systems Manager](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi di identità e accesso in AWS Systems Manager](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Funzionamento di AWS Systems Manager con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy AWS Systems Manager di basate su identità](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) per l'*utente IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
Per informazioni sulle politiche AWS gestite perSystems Manager, vedere[Policy gestite da AWS Systems Manager](security_iam_service-with-iam.md#managed-policies).
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non puoi utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Chiavi di condizione delle policy
Le operazioni che gli utenti e i ruoli eseguono e le risorse su cui intraprendono tali operazioni hanno la possibilità di essere ulteriormente limitate da *condizioni* specifiche.
Nel documento sulla policy JSON, l'elemento `Condition` (o blocco di `Condition`) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento `Condition` è facoltativo. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio `StringEquals` o `StringNotLike`, per soddisfare la condizione nella policy con i valori nella richiesta.
Se specifichi più elementi `Condition` in un'istruzione o più chiavi in un singolo elemento `Condition`, questi vengono valutati da AWS tramite un'operazione `AND` logica. Se specifichi più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logica. `OR` Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell’istruzione vengano concesse.
È possibile anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile autorizzare un utente IAM ad accedere a una risorsa solo se è stata taggata con il relativo nome utente IAM. Per ulteriori informazioni, consulta [Elementi delle policy IAM: variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella *Guida per l'utente IAM*.
AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per ulteriori informazioni, consultare [Chiavi di contesto delle condizioni globali AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *Guida per l'utente IAM*.
**Importante**
Se utilizzi Systems Manager Automation, ti consigliamo di non utilizzare la chiave [aws: SourceIp](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) condition nelle tue policy. Il comportamento di questa chiave di condizione dipende da diversi fattori, tra cui l'eventuale fornitura di un ruolo IAM per l'esecuzione del runbook di Automazione e le azioni di Automazione utilizzate nel runbook. Di conseguenza, la chiave di condizione può produrre un comportamento imprevisto. Per questo motivo, ti consigliamo di non utilizzarlo.
Systems Manager supporta diversi codici di condizione propri. Per ulteriori informazioni, consulta [Chiavi di condizione per AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) nel *Service Authorization Reference*. Le operazioni e le risorse con cui è possibile utilizzare una chiave di condizione specifica di Systems Manager sono elencate in [Tipi di risorse definiti da AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) nel *Documento di riferimento allautorizzazione del servizio*.
Quando la politica ha necessità di dipendere dal nome principale di un servizio di proprietà di Systems Manager, si consiglia di verificarne l'esistenza o l'inesistenza utilizzando la [chiave di condizione multivalore](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html#reference_policies_condition-multi-valued-context-keys) `aws:PrincipalServiceNamesList`, anziché la chiave di condizione `aws:PrincipalServiceName`. La chiave di condizione `aws:PrincipalServiceName` contiene solo una voce dall'elenco dei nomi principali del servizio e potrebbe non essere sempre il nome principale del servizio previsto. Il seguente blocco di `Condition` mostra la verifica dell'esistenza di `ssm.amazonaws.com`.
```
{
"Condition": {
"ForAnyValue:StringEquals": {
"aws:PrincipalServiceNamesList": "ssm.amazonaws.com"
}
}
}
```
Per visualizzare esempi di policy basate sull'identità di Systems Manager, consulta [Esempi di policy AWS Systems Manager di basate su identità](security_iam_id-based-policy-examples.md).
### Elenchi di controllo degli accessi (ACLs)
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Funzionamento di AWS Systems Manager con IAM
Prima di utilizzare AWS Identity and Access Management (IAM) per gestire l'accesso a AWS Systems Manager, è necessario comprendere con quali funzionalità IAM è disponibile l'usoSystems Manager. Per avere una panoramica di alto livello su come Systems Manager e su altri Servizi AWS utilizzi IAM, consulta Servizi AWS la sezione dedicata all'utilizzo [di IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
**Topics**
+ [Policy Systems Manager basate su identità](#security_iam_service-with-iam-id-based-policies)
+ [Policy di Systems Manager basate sulle risorse](#security_iam_service-with-iam-resource-based-policies)
+ [Autorizzazione basata su tag Systems Manager](#security_iam_service-with-iam-tags)
+ [Ruoli IAM di Systems Manager](#security_iam_service-with-iam-roles)
## Policy Systems Manager basate su identità
Con le policy basate su identità IAM è possibile specificare operazioni e risorse consentite o rifiutate, nonché le condizioni in base alle quali le operazioni sono consentite o rifiutate. Systems Manager supporta operazioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni di eseguire l'operazione associata.
Le operazioni delle policy in Systems Manager utilizzano il seguente prefisso prima dell’operazione: `ssm:`. Ad esempio, per concedere a qualcuno l'autorizzazione per creare un parametro Systems Manager (parametro SSM) mediante l'operazione API Systems Manager `PutParameter`, includere l'operazione `ssm:PutParameter` nella policy. Le istruzioni delle policy devono includere un elemento `Action` o `NotAction`. Systems Manager definisce una propria serie di operazioni che descrivono le attività eseguibili con questo servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
```
"Action": [
"ssm:action1",
"ssm:action2"
]
```
**Nota**
I seguenti strumenti AWS Systems Manager utilizzano prefissi diversi prima delle azioni.
AWS AppConfig utilizza il prefisso prima `appconfig:` delle azioni.
Lo·strumento·di·Gestione·degli·incidenti utilizza il prefisso `ssm-incidents:` o `ssm-contacts:` prima delle operazioni.
Systems Manager GUI Connect utilizza il prefisso `ssm-guiconnect:` prima delle operazioni.
Quick Setup utilizza il prefisso `ssm-quicksetup:` prima delle operazioni.
È possibile specificare più operazioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le operazioni che iniziano con la parola `Describe`, includi la seguente operazione:
```
"Action": "ssm:Describe*"
```
Per visualizzare un elenco di operazioni Systems Manager, consulta [Operazioni definite da AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions) in *Riferimento per l'autorizzazione del servizio*.
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Ad esempio, la risorsa finestra di manutenzione Systems Manager ha il seguente formato ARN.
```
arn:aws:ssm:region:account-id:maintenancewindow/window-id
```
Per specificare le finestre di manutenzione mw-0c50858d01EXAMPLE nell'istruzione nella regione Stati Uniti orientali (Ohio), utilizzare un ARN simile al seguente.
```
"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
```
Per specificare che tutte le finestre di manutenzione che appartengono ad un account specifico, utilizza il carattere jolly (\$1).
```
"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"
```
Per le operazioni `Parameter Store` API, puoi fornire o limitare l'accesso a tutti i parametri in un livello di gerarchia utilizzando nomi gerarchici e policy AWS Identity and Access Management (IAM) come segue.
```
"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"
```
Alcune operazioni Systems Manager, ad esempio quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (\$1).
```
"Resource": "*"
```
Alcune operazioni API di Systems Manager accettano più risorse. Per specificare più risorse in una singola istruzione, separale ARNs con virgole come segue.
```
"Resource": [
"resource1",
"resource2"
```
**Nota**
La maggior parte Servizi AWS considera i due punti (:) o una barra (/) come lo stesso carattere in. ARNs Tuttavia, Systems Manager richiede una corrispondenza esatta nei modelli di risorse e nelle regole. Durante la creazione di modelli di eventi, assicurati di utilizzare i caratteri ARN corretti, facendo in modo che corrispondano all'ARN della risorsa.
Nella tabella seguente vengono descritti i formati ARN per i tipi di risorse supportati da Systems Manager.
**Nota**
Notate le seguenti eccezioni ai formati ARN.
I seguenti strumenti AWS Systems Manager utilizzano prefissi diversi prima delle azioni.
AWS AppConfig utilizza il prefisso prima `appconfig:` delle azioni.
Lo·strumento·di·Gestione·degli·incidenti utilizza il prefisso `ssm-incidents:` o `ssm-contacts:` prima delle operazioni.
Systems Manager GUI Connect utilizza il prefisso `ssm-guiconnect` prima delle operazioni.
I documenti e le risorse di definizione dell'automazione di proprietà di Amazon, nonché i parametri pubblici forniti da Amazon e da fonti di terze parti, non includono gli account IDs nei rispettivi formati ARN. Esempio:
Il documento SSM `AWS-RunPatchBaseline`:
`arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline`
Il runbook Automation `AWS-ConfigureMaintenanceWindows`:
`arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows`
I parametri pubblici `/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`:
`arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`
Per ulteriori informazioni su questi tre tipi di risorse, consulta i seguenti argomenti:
[Utilizzo dei documenti](documents-using.md)
[Esegui un'operazione automatizzata basata su Systems Manager Automation](running-simple-automations.md)
[Utilizzo dei parametri pubblici nel Parameter Store](parameter-store-public-parameters.md)
Quick Setup utilizza il prefisso `ssm-quicksetup:` prima delle operazioni.
| Tipo di risorsa | Formato ARN |
| --- | --- |
| Applicazione (AWS AppConfig) | arn:aws:appconfig: :application/ region account-id application-id |
| Associazione | arn:aws:ssm: :associazione/ region account-id association-id |
| Esecuzione di automazione | arn:aws:ssm: region :esecuzione-automatia/ account-id automation-execution-id |
| Definizione di automazione (con sottorisorsa della versione) | **arn:aws:ssm: *region* ::automation-definition/: 1 *account-id* *automation-definition-id* *version-id*** |
| Profilo di configurazione (AWS AppConfig) | arn:aws:appconfig: :application/ region /configurationprofile/ account-id application-id configurationprofile-id |
| Contattare lo·Strumento·di·gestione·degli·incidenti | arn:aws:ssm-contacts: ::contatto/ *region* *account-id* *contact-alias* |
| Strategia di distribuzione (AWS AppConfig) | arn: aws:appconfig:: strategia di distribuzione/ region account-id deploymentstrategy-id |
| Documento | arn:aws:ssm: :documento/ *region* *account-id* *document-name* |
| Ambiente (AWS AppConfig) | arn:aws:appconfig: :applicazione/ region account-id /ambiente/ application-id environment-id |
| Incidente | arn:aws:ssm-incidents: *region* *account-id* :incident-record//*response-plan-name**incident-id* |
| Finestra di manutenzione | arn: aws:ssm: :finestra di manutenzione/ *region* *account-id* *window-id* |
| Nodo gestito | arn:aws:ssm: *region* :istanza gestita/ *account-id* *managed-node-id* |
| Inventario nodi gestiti | arn:aws:ssm::region:/account-idmanaged-instance-inventorymanaged-node-id |
| OpsItem | arn:aws:ssm regionaccount-id: :opsitem/ OpsItem-id |
| Parametro | Parametro a un livello: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/security_iam_service-with-iam.html) Un parametro denominato con una struttura gerarchica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/security_iam_service-with-iam.html) |
| baseline delle patch | arn:aws:ssm: *region* :patchbaseline/ *account-id* *patch-baseline-id* |
| Piano di risposta | arn:aws:ssm-incidents: ::piano di risposta*region*/*account-id**response-plan-name* |
| Sessione | **arn:aws:ssm: :sessione/ 3 *region* *account-id* *session-id*** |
| Tutte le risorse Systems Manager | arn:aws:ssm:\$1 |
| Tutte le risorse di proprietà dello specificato nel specificato Systems Manager Account AWS Regione AWS | arn:aws:ssm::: \$1 *region* *account-id* |
**Nota**
Le risorse per le definizioni di automazione sono obsolete. Aggiorna le tue policy IAM in modo da includere l'opzione «allow for `ssm:StartAutomationExecution` or `ssm:StartChangeRequestExecution` on`document`» e le risorse. `automation-execution` Per visualizzare le best practice e gli esempi di configurazione delle autorizzazioni IAM, consulta la nostra guida utente di [esempio alla configurazione delle politiche basate sull'identità](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-setup-identity-based-policies.html).
**1** Per le definizioni di automazione, Systems Manager supporta una risorsa di secondo livello, *ID versione*. *Nel AWS, queste risorse di secondo livello sono note come sottorisorse.* Specificare una risorsa secondaria della versione per una risorsa di definizione di automazione consente di fornire l'accesso ad alcune versioni di una definizione di automazione. Ad esempio, è possibile assicurare che solo la versione più recente di una definizione di automazione venga utilizzata nella gestione del nodo.
**2** Per organizzare e gestire i parametri, puoi creare nomi per i parametri con una struttura gerarchica. Con tale struttura gerarchica, un nome di parametro può includere un percorso che definisci tramite l'utilizzo delle barre. È possibile assegnare un nome a una risorsa di parametro con un massimo di quindici livelli. Ti consigliamo di creare gerarchie che riflettano una struttura gerarchica esistente nel tuo ambiente. Per ulteriori informazioni, consulta [Creazione di parametri Parameter Store in Systems Manager](sysman-paramstore-su-create.md).
**3** Nella maggior parte dei casi, l'ID sessione è costruito utilizzando l'ID dell'utente dell'account che ha iniziato la sessione, oltre a un suffisso alfanumerico. Esempio:
```
arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE
```
Tuttavia, se l'ID utente non è disponibile, l'ARN viene costruito in questo modo:
```
arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE
```
Per ulteriori informazioni sul formato di ARNs, consulta [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) nel *Riferimenti generali di Amazon Web Services*.
Per un elenco dei tipi di Systems Manager risorse e relativi ARNs, consulta [Resources Defined by AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-resources-for-iam-policies) nel *Service Authorization Reference*. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta [Operazioni definite da AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions).
### Chiavi di condizione per Systems Manager
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco di chiavi di condizione Systems Manager, consulta [Condition Keys (Chiavi di condizione) per per AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) nel *Service Authorization Reference (Riferimento per l'autorizzazione del servizio)*. Per informazioni su operazioni e risorse con cui è possibile utilizzare una chiave di condizione, consulta [Operazioni definite da AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions).
Per informazioni sull'utilizzo della chiave di condizione `ssm:resourceTag/*`, consulta gli argomenti elencati di seguito:
+ [Limitare l'accesso ai comandi a livello di root tramite SSM Agent](ssm-agent-restrict-root-level-commands.md)
+ [Limitazione dell'accesso Run Command in base ai tag](run-command-setting-up.md#tag-based-access)
+ [Limitazione dell'accesso alla sessione in base ai tag dell'istanza](getting-started-restrict-access-examples.md#restrict-access-example-instance-tags)
Per informazioni su come utilizzare le chiavi di condizione `ssm:Recursive`, `ssm:Policies` e `ssm:Overwrite` consulta [Impedire l'accesso alle operazioni dell'API di Parameter Store](parameter-store-policy-conditions.md).
### Esempi
Per visualizzare esempi di policy basate su identità Systems Manager, consulta [Esempi di policy AWS Systems Manager di basate su identità](security_iam_id-based-policy-examples.md).
## Policy di Systems Manager basate sulle risorse
Altri Servizi AWS, come Amazon Simple Storage Service (Amazon S3), supportano politiche di autorizzazione basate sulle risorse. Ad esempio, è possibile allegare una policy di autorizzazione a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket.
Systems Manager non supporta le policy basate su risorse.
## Autorizzazione basata su tag Systems Manager
È possibile collegare i tag alle risorse Systems Manager o passare i tag in una richiesta a Systems Manager. Per controllare l'accesso basato su tag, fornire informazioni sui tag nell'[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `ssm:resourceTag/key-name`, `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. È possibile aggiungere tag ai seguenti tipi di risorse quando vengono creati o aggiornati:
+ Documento
+ Nodo gestito
+ Finestra di manutenzione
+ Parametro
+ baseline delle patch
+ OpsItem
Per visualizzare una policy basata sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta [Visualizzazione di documenti Systems Manager in base ai tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-documents-tags).
## Ruoli IAM di Systems Manager
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità interna all'utente Account AWS che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee con Systems Manager
È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. Puoi ottenere credenziali di sicurezza temporanee chiamando operazioni API AWS Security Token Service (AWS STS) come [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
Systems Manager supporta l'uso di credenziali temporanee.
### Ruoli collegati ai servizi
[I ruoli collegati ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) consentono di accedere Servizi AWS alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono elencati nell'account IAM e sono di proprietà del servizio. Un amministratore può visualizzare, ma non modificare le autorizzazioni dei ruoli collegati ai servizi.
Systems Manager supporta i ruoli collegati ai servizi. Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi Systems Manager, consulta [Utilizzo di ruoli collegati ai servizi per Systems Manager](using-service-linked-roles.md).
### Ruoli dei servizi
Questa funzionalità consente a un servizio di assumere un [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore può modificare le autorizzazioni per questo ruolo. Tuttavia, il farlo potrebbe pregiudicare la funzionalità del servizio.
Systems Manager supporta i ruoli dei servizi.
### Scelta di un ruolo IAM in Systems Manager
Affinché Systems Manager interagisca con i nodi gestiti, è necessario scegliere un ruolo per consentire l'accesso di Systems Manager alle istanze a tuo nodo. Se hai creato in precedenza un ruolo di servizio o un ruolo collegato ai servizi, Systems Manager fornisce un elenco di ruoli tra cui scegliere. È importante scegliere un ruolo che consenta l'accesso per avviare e arrestare i nodi gestiti.
Per accedere alle istanze EC2, è necessario configurare le autorizzazioni dell'istanza. Per informazioni, consulta la pagina [Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager](setup-instance-permissions.md).
Per accedere a nodi non EC2 in un ambiente [ibrido e multicloud](operating-systems-and-machine-types.md#supported-machine-types), il ruolo di cui il tuo Account AWS ha bisogno è un ruolo di servizio IAM. Per informazioni, consulta [Creazione di un ruolo di servizio IAM richiesto per System Manager in ambiente ibrido e multicloud](hybrid-multicloud-service-role.md).
I flussi di lavoro di automazione possono essere avviati nel contesto di un ruolo di servizio (o ruolo presunto). Ciò permette al servizio di eseguire operazioni per conto tuo. Se non specifichi un ruolo presunto, il servizio di automazione utilizza il contesto dell'utente che ha richiamato l'esecuzione. Tuttavia, i seguenti scenari richiedono di specificare un ruolo di servizio di automazione. Per ulteriori informazioni, consulta [Configurazione di un accesso al ruolo di servizio (ruolo presunto) per le automazioni](automation-setup.md#automation-setup-configure-role).
### Policy gestite da AWS Systems Manager
AWS affronta molti casi d'uso comuni fornendo policy IAM autonome create e amministrate da. AWS Le *policy gestite* da AWS concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. (È inoltre possibile creare policy IAM personalizzate per concedere le autorizzazioni per operazioni e risorse Systems Manager).
Per ulteriori informazioni sulle policy gestite per Systems Manager, consulta [AWS politiche gestite per AWS Systems Manager](security-iam-awsmanpol.md)
Per informazioni generali sulle policy gestite, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente IAM*.
# Esempi di policy AWS Systems Manager di basate su identità
Per impostazione predefinita, le entità AWS Identity and Access Management (IAM) (utenti e ruoli) non dispongono dell'autorizzazione per creare o modificare AWS Systems Manager risorse. Inoltre, non possono eseguire attività utilizzando la console Systems Manager, AWS Command Line Interface (AWS CLI) o AWS l'API. Un amministratore deve creare le policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore devi quindi collegare queste policy a utenti o gruppi che richiedono tali autorizzazioni.
Di seguito è riportato un esempio di politica di autorizzazioni che consente a un utente di eliminare documenti con nomi che iniziano con **MyDocument-** negli Stati Uniti orientali (Ohio) (us-east-2). Regione AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"ssm:DeleteDocument"
],
"Resource" : [
"arn:aws:ssm:us-east-1:111122223333:document/MyDocument-*"
]
}
]
}
```
------
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente IAM*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Esempio: autorizzazione all'uso della console di Systems Manager](#security_iam_id-based-policy-examples-console)
+ [Esempio: consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Esempio: autorizzazione per leggere e descrivere parametri individuali](#security_iam_id-based-policy-examples-view-one-parameter)
+ [Prevenzione del problema "confused deputy" tra servizi](cross-service-confused-deputy-prevention.md)
+ [Esempi di policy gestite dal cliente](#customer-managed-policies)
+ [Visualizzazione di documenti Systems Manager in base ai tag](#security_iam_id-based-policy-examples-view-documents-tags)
## Best practice per le policy
Le policy basate su identità determinano se qualcuno può creare, accedere o eliminare risorse Systems Manager nel tuo account. Queste operazioni possono comportare costi aggiuntivi per l' Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.
## Esempio: autorizzazione all'uso della console di Systems Manager
Per accedere alla console di Systems Manager è necessario disporre di una serie di autorizzazioni minima. Queste autorizzazioni devono consentire di elencare e visualizzare i dettagli relativi alle risorse Systems Manager e ad altre risorse nel proprio Account AWS.
Se crei una policy basata su identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità IAM (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso o l' AWS CLI API. AWS Al contrario, è possibile accedere solo alle operazioni che soddisfano l'operazione API che stai cercando di eseguire.
Per garantire che utenti e ruoli possano ancora utilizzare la console Systems Manager, collega anche la policy [Amazon SSMFull Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html) o [Amazon SSMRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) AWS managed alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
## Esempio: consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy in linea e quelle gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o in modo programmatico. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Esempio: autorizzazione per leggere e descrivere parametri individuali
**Example Leggi e descrivi un parametro**
È possibile concedere l'accesso a un parametro allegando a un'identità la policy seguente.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:DescribeParameters"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/parameter-name"
}
]
}
```
# Prevenzione del problema "confused deputy" tra servizi
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del vostro account.
Ti consigliamo di utilizzare le chiavi di contesto delle condizioni globali [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) nelle policy delle risorse per limitare le autorizzazioni con cui AWS Systems Manager fornisce un altro servizio alla risorsa. Se il valore `aws:SourceArn` non contiene l'ID account, ad esempio il nome della risorsa Amazon (ARN) di un bucket S3, è necessario utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali e il valore `aws:SourceArn` contiene l'ID account, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` deve utilizzare lo stesso ID account nella stessa dichiarazione di policy. Utilizzare `aws:SourceArn` se si desidera consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizzare `aws:SourceAccount` se si desidera consentire l’associazione di qualsiasi risorsa in tale account all’uso tra servizi.
Nelle seguenti sezioni sono fornite le policy di esempio per gli strumenti AWS Systems Manager.
## Esempio di policy di attivazione ibrida
Per i ruoli di servizio utilizzati in un'[attivazione ibrida](activations.md), il valore di `aws:SourceArn` deve essere l'ARN dell' Account AWS. Assicurati di specificare nell'ARN Regione AWS in cui hai creato l'attivazione ibrida. Se non si conosce l'ARN completo della risorsa o se si sta specificando più risorse, utilizzare la chiave di condizione del contesto globale `aws:SourceArn` con caratteri speciali (`*`) per le parti sconosciute dell'ARN. Ad esempio, `arn:aws:ssm:*:region:123456789012:*`.
L'esempio seguente illustra l'utilizzo delle chiavi di contesto delle condizioni globali `aws:SourceArn` e `aws:SourceAccount` per permettere all'automazione di prevenire il problema del “confused deputy” nella regione Stati Uniti orientali (Ohio) (us-east-2).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
}
}
}
]
}
```
------
## Esempio di policy di sincronizzazione dati risorsa
Systems Manager Inventory e Compliance ti consentono di creare una sincronizzazione dei dati delle risorse per centralizzare lo storage dei dati operativi (OpsData) in un bucket centrale di Amazon Simple Storage Service. Explorer Se desideri crittografare la sincronizzazione dei dati di una risorsa utilizzando AWS Key Management Service (AWS KMS), devi creare una nuova chiave che includa la seguente politica oppure aggiornare una chiave esistente e aggiungervi questa politica. Le chiavi delle condizioni `aws:SourceArn` e `aws:SourceAccount` in questa policy impediscono il problema confused deputy. Ecco una policy di esempio:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ssm-access-policy",
"Statement": [
{
"Sid": "ssm-access-policy-statement",
"Action": [
"kms:GenerateDataKey"
],
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KMS_key_id",
"Condition": {
"StringLike": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ssm:*:123456789012:role/aws-service-role/ssm.amazonaws.com/AWSServiceRoleForAmazonSSM"
}
}
}
]
}
```
------
**Nota**
L'ARN nell'esempio di policy consente al sistema di crittografare OpsData da tutte le fonti tranne. AWS Security Hub CSPM Se è necessario crittografare i dati CSPM di Security Hub, ad esempio se si utilizzano per Explorer raccogliere dati CSPM di Security Hub, è necessario allegare un criterio aggiuntivo che specifichi il seguente ARN:
`"aws:SourceArn": "arn:aws:ssm:*:account-id:role/aws-service-role/opsdatasync.ssm.amazonaws.com/AWSServiceRoleForSystemsManagerOpsDataSync"`
## Esempi di policy gestite dal cliente
È possibile creare policy autonome amministrate nel proprio Account AWS. Facciamo riferimento a queste policy con il nome di *policy gestite dal cliente*. Puoi allegare queste politiche a più entità principali del tuo. Account AWS Quando si allega una policy a un'entità principale, è necessario fornire all'entità le autorizzazioni definite nella policy. Per ulteriori informazioni, consulta [Esempi di policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) nella *[Guida per l'utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/)*.
I seguenti esempi di policy utente concedono le autorizzazioni per varie operazioni di Systems Manager. Utilizzale per limitare l'accesso a Systems Manager per le entità IAM (utenti e ruoli). Queste politiche funzionano quando si eseguono azioni nell'Systems ManagerAPI o in AWS CLI. AWS SDKs Per gli utenti che utilizzano la console, devi concedere autorizzazioni aggiuntive specifiche per la console. Per ulteriori informazioni, consulta [Esempio: autorizzazione all'uso della console di Systems Manager](#security_iam_id-based-policy-examples-console).
**Nota**
Tutti gli esempi utilizzano la regione degli Stati Uniti occidentali (Oregon) (us-west-2) e contengono account fittizi. IDs L'ID dell'account non deve essere specificato nell'Amazon Resource Name (ARN) per i documenti AWS pubblici (documenti che iniziano con`AWS-*`).
**Esempi**
+ [Esempio 1: permettere a un utente di eseguire operazioni Systems Manager in un'unica Regione](#identity-based-policies-example-1)
+ [Esempio 2: permettere a un utente di elencare i documenti per una sola Regione](#identity-based-policies-example-2)
### Esempio 1: permettere a un utente di eseguire operazioni Systems Manager in un'unica Regione
Il seguente esempio concede le autorizzazioni per eseguire le operazioni Systems Manager solo nella Regione Stati Uniti orientali (Ohio) (us-east-2).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:*"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:*"
]
}
]
}
```
------
### Esempio 2: permettere a un utente di elencare i documenti per una sola Regione
Nell'esempio seguente vengono concesse autorizzazioni per elencare tutti i nomi dei documenti che iniziano con **Update** nella Regione Stati Uniti orientali (Ohio) (us-east-2).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:ListDocuments"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/Update*"
]
}
]
}
```
------
### Esempio 3: permettere a un utente di utilizzare un documento SSM specifico per eseguire comandi su nodi specifici
L'esempio seguente di policy IAM consente all'utente di effettuare le seguenti operazioni nella Regione Stati Uniti orientali (Ohio) (us-east-2):
+ Elencare documenti Systems Manager (documenti SSM) e versioni di tali documenti.
+ Visualizzare i dettagli sui documenti.
+ Inviare un comando utilizzando il documento specificato nella policy. Il nome del documento è determinato dalla seguente voce:
```
arn:aws:ssm:us-east-2:aws-account-ID:document/Systems-Manager-document-name
```
+ Inviare un comando a tre nodi. I nodi sono determinati dalle seguenti voci nella seconda sezione `Resource`.
```
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-02573cafcfEXAMPLE",
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-0471e04240EXAMPLE",
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-07782c72faEXAMPLE"
```
+ Visualizzare i dettagli di un comando dopo che è stato inviato.
+ Avviare e arrestare i flussi di lavoro in Automazione, uno strumento di AWS Systems Manager.
+ Informazioni sui flussi di lavoro di Automazione.
Se vuoi concedere un'autorizzazione utente per utilizzare questo documento per inviare comandi a un nodo per il quale l'utente dispone dell'accesso, è possibile specificare una voce simile alla seguente nella sezione `Resource` e rimuovere le altre voci di nodo. L'esempio seguente utilizza la Regione Stati Uniti orientali (Ohio) (us-east-2).
```
"arn:aws:ec2:us-east-2:*:instance/*"
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:ListDocuments",
"ssm:ListDocumentVersions",
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:DescribeInstanceInformation",
"ssm:DescribeDocumentParameters",
"ssm:DescribeInstanceProperties"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ssm:SendCommand",
"Effect": "Allow",
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-0471e04240EXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-07782c72faEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/Systems-Manager-document-name"
]
},
{
"Action": [
"ssm:CancelCommand",
"ssm:ListCommands",
"ssm:ListCommandInvocations"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ec2:DescribeInstanceStatus",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
},
{
"Action": "ssm:DescribeAutomationExecutions",
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"ssm:StopAutomationExecution",
"ssm:GetAutomationExecution"
],
"Effect": "Allow",
"Resource": [
"*"
]
}
]
}
```
------
## Visualizzazione di documenti Systems Manager in base ai tag
È possibile utilizzare le condizioni nella policy basata sulle identità per controllare l'accesso alle risorse di Systems Manager in base ai tag. Questo esempio mostra come creare una policy che consente di visualizzare un documento SSM. Tuttavia, l'autorizzazione viene concessa solo se il valore del tag del documento `Owner` è quello del nome utente. Questa policy concede anche le autorizzazioni necessarie per completare questa azione nella console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListDocumentsInConsole",
"Effect": "Allow",
"Action": "ssm:ListDocuments",
"Resource": "*"
},
{
"Sid": "ViewDocumentIfOwner",
"Effect": "Allow",
"Action": "ssm:GetDocument",
"Resource": "arn:aws:ssm:*:*:document/*",
"Condition": {
"StringEquals": {"ssm:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
È possibile collegare questa policy agli utenti nell'account. Se un utente denominato `richard-roe` tenta di visualizzare un documento Systems Manager, il documento deve essere contrassegnato con `Owner=richard-roe` o `owner=richard-roe`. In caso contrario, l'accesso viene negato. La chiave di tag di condizione `Owner` corrisponde a `Owner` e `owner` perché i nomi delle chiavi di condizione non effettuano la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta la sezione [Elementi delle policy JSON IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente IAM*.
# AWS politiche gestite per AWS Systems Manager
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
**Topics**
+ [AWS politica gestita: Amazon SSMService RolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy)
+ [AWS politica gestita: Amazon SSMAutomation Role](#security-iam-awsmanpol-AmazonSSMAutomationRole)
+ [AWS politica gestita: Amazon SSMRead OnlyAccess](#security-iam-awsmanpol-AmazonSSMReadOnlyAccess)
+ [AWS politica gestita: AWSSystems ManagerOpsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy)
+ [AWS politica gestita: Amazon SSMManaged EC2 InstanceDefaultPolicy](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy)
+ [AWS politica gestita: SSMQuick SetupRolePolicy](#security-iam-awsmanpol-SSMQuickSetupRolePolicy)
+ [AWS politica gestita: AWSQuick SetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)
+ [AWS policy gestita: AWSQuick SetupPatchPolicyDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy)
+ [AWS politica gestita: AWSQuick SetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess)
+ [AWS politica gestita: `AWSSystemsManagerEnableExplorerExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy)
+ [AWS politica gestita: `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy)
+ [AWS politica gestita: AWSQuick SetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary)
+ [AWS politica gestita: AWSQuick SetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary)
+ [AWS politica gestita: configurazione AWSQuick SSMHost MgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary)
+ [AWS politica gestita: AWSQuick SetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary)
+ [AWS politica gestita: AWSQuick SetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary)
+ [AWS politica gestita: configurazione AWSQuick CFGCPacks PermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary)
+ [AWS politica gestita: AWSQuick SetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy)
+ [AWS politica gestita: AWSQuick SetupStart SSMAssociations ExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy)
+ [AWS politica gestita: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy)
+ [AWS politica gestita: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy)
+ [AWS politica gestita: AWS-SSM-RemediationAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy)
+ [AWS politica gestita: AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy)
+ [AWS politica gestita: configurazione AWSQuick SSMManage ResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy)
+ [AWS politica gestita: configurazione AWSQuick SSMLifecycle ManagementExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy)
+ [AWS politica gestita: configurazione AWSQuick SSMDeployment RolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy)
+ [AWS politica gestita: AWSQuick Setup S3 SSMDeployment BucketRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy)
+ [AWS politica gestita: AWSQuickSetupEnableDHMCExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy)
+ [AWS politica gestita: AWSQuickSetupEnableAREXExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy)
+ [AWS politica gestita: AWSQuick SetupManagedInstanceProfileExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy)
+ [AWS politica gestita: AWSQuick SetupManage JITNAResources ExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)
+ [AWS politica gestita: configurazione AWSQuick JITNADeployment RolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy)
+ [AWS politica gestita: AWSSystems ManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)
+ [AWS politica gestita: AWSSystems ManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy)
+ [AWS politica gestita: AWSSystems ManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy)
+ [AWS politica gestita: AWSSystems ManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)
+ [AWS politica gestita: AWSSystems ManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy)
+ [AWS politica gestita: AWS-SSM-Automation-DiagnosisBucketPolicy](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy)
+ [AWS politica gestita: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy)
+ [AWS politica gestita: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy)
+ [Systems Manageraggiornamenti alle politiche gestite AWS](#security-iam-awsmanpol-updates)
+ [Polity gestite aggiuntive per Systems Manager](#policies-list)
## AWS politica gestita: Amazon SSMService RolePolicy
Questa politica fornisce l'accesso a una serie di AWS risorse gestite AWS Systems Manager o utilizzate nelle operazioni di Systems Manager.
Non puoi collegarti `AmazonSSMServiceRolePolicy` alle tue entità AWS Identity and Access Management (IAM). Questa policy è associata a un ruolo collegato al servizio che consente di AWS Systems Manager eseguire azioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo dei ruoli per raccogliere l'inventario e visualizzare OpsData](using-service-linked-roles-service-action-1.md).
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ssm`: consente alle entità principali di avviare e gestire le esecuzioni sia per Run Command che per la funzione Automazione, nonché di recuperare informazioni su Run Command e sulle operazioni di Automazione, recuperare informazioni sui calendari Change Calendar dei parametri Parameter Store, aggiornare e recuperare informazioni sulle impostazioni del servizio Systems Manager per le risorse OpsCenter e leggere informazioni sui tag applicati alle risorse.
+ `cloudformation`: consente alle entità principali di recuperare informazioni sulle operazioni e le istanze dello stackset, eliminando gli stackset sulla risorsa `arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*`. Consente alle entità principali di eliminare le istanze dello stack associate alle seguenti risorse:
```
arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*
```
+ `cloudwatch`— Consente ai responsabili di recuperare informazioni sugli allarmi Amazon CloudWatch .
+ `compute-optimizer`— Consente ai responsabili di recuperare lo stato di registrazione (opt-in) di un account al AWS Compute Optimizer servizio e di recuperare i consigli per le istanze Amazon EC2 che soddisfano una serie specifica di requisiti dichiarati.
+ `config`— Consente ai responsabili di recuperare le configurazioni di correzione delle informazioni e i registratori di configurazione e di determinare se le regole e le risorse specificate sono conformi. AWS Config AWS Config AWS
+ `events`— Consente ai responsabili di recuperare informazioni sulle EventBridge regole, di creare EventBridge regole e destinazioni esclusivamente per il servizio Systems Manager (`ssm.amazonaws.com`) e di eliminare regole e destinazioni per la risorsa. `arn:aws:events:*:*:rule/SSMExplorerManagedRule`
+ `ec2`: consente alle entità principali di recuperare informazioni sulle istanze Amazon EC2.
+ `iam`: consente alle entità principali di assegnare le autorizzazioni ai ruoli per il servizio Systems Manager (`ssm.amazonaws.com`).
+ `lambda`: consente alle entità principali di richiamare funzioni Lambda configurate specificamente per l'utilizzo da parte di Systems Manager.
+ `resource-explorer-2`: consente alle entità responsabili di recuperare i dati sulle istanze EC2 per determinare se ciascuna istanza è attualmente gestita o meno da Systems Manager.
L'azione `resource-explorer-2:CreateManagedView` è consentita per la risorsa `arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*`.
+ `resource-groups`— Consente ai responsabili di recuperare i gruppi di risorse dell'elenco e i relativi membri dalle risorse che appartengono a un gruppo AWS Resource Groups di risorse.
+ `securityhub`— Consente ai responsabili di recuperare informazioni sulle risorse dell' AWS Security Hub CSPM hub nell'account corrente.
+ `states`— Consente ai responsabili di avviare e recuperare informazioni configurate specificamente per AWS Step Functions l'uso da parte di Systems Manager.
+ `support`: consente alle entità principali di recuperare informazioni su controlli e casi in AWS Trusted Advisor.
+ `tag`: consente alle entità principali di recuperare informazioni su tutte le risorse contrassegnate o precedentemente contrassegnate che si trovano in una determinata Regione AWS su un account.
Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta [Amazon SSMService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMServiceRolePolicy.html) nella *AWS Managed Policy Reference Guide*.
## AWS politica gestita: Amazon SSMAutomation Role
È possibile allegare la policy `AmazonSSMAutomationRole` alle identità IAM. Questa policy fornisce le autorizzazioni per il servizio di AWS Systems Manager automazione per eseguire le attività definite nei runbook di automazione.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `lambda`: consente alle entità principali di richiamare funzioni Lambda con nomi che iniziano con "Automazione". Ciò è necessario affinché i runbook di Automazione eseguano le funzioni Lambda come parte del loro flusso di lavoro.
+ `ec2`: consente alle entità principali di eseguire varie operazioni di Amazon EC2, tra cui la creazione, la copia e l'annullamento della registrazione di immagini, la gestione delle istantanee, l'avvio, l'esecuzione, l'arresto e la chiusura delle istanze terminali, la gestione dello stato delle istanze e la creazione, l'eliminazione e la descrizione dei tag. Queste autorizzazioni consentono ai runbook di Automazione di gestire le risorse Amazon EC2 durante l'esecuzione.
+ `cloudformation`— Consente ai principali di creare, descrivere, aggiornare ed eliminare gli stack. CloudFormation Ciò consente ai runbook di automazione di gestire l'infrastruttura come codice. CloudFormation
+ `ssm`: consente alle entità principali di utilizzare tutte le operazioni di Systems Manager. Questo accesso completo è necessario per consentire ai runbook di Automazione di interagire con tutte le funzionalità di Systems Manager.
+ `sns`: consente alle entità principali di pubblicare messaggi su argomenti di Amazon SNS con nomi che iniziano con "Automazione". Ciò consente ai runbook di Automazione di inviare notifiche durante l'esecuzione.
+ `ssmmessages`: consente alle entità principali di aprire i canali di dati alle sessioni di Systems Manager. Ciò consente ai runbook di Automazione di stabilire canali di comunicazione per le operazioni basate sulle sessioni.
Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta [Amazon SSMAutomation Role](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationRole.html) nella *AWS Managed Policy Reference Guide*.
## AWS politica gestita: Amazon SSMRead OnlyAccess
È possibile allegare la policy `AmazonSSMReadOnlyAccess` alle identità IAM. Questa politica garantisce l'accesso in sola lettura alle operazioni AWS Systems Manager API`Describe*`, tra cui, `Get*` e. `List*`
Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta [Amazon SSMRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) nella *AWS Managed Policy Reference Guide*.
## AWS politica gestita: AWSSystems ManagerOpsDataSyncServiceRolePolicy
Non è possibile collegare `AWSSystemsManagerOpsDataSyncServiceRolePolicy` alle entità IAM. Questa policy è associata a un ruolo collegato ai servizi che consente a Systems Manager di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta [Usare i ruoli per creare OpsData e OpsItems per Explorer](using-service-linked-roles-service-action-3.md).
`AWSSystemsManagerOpsDataSyncServiceRolePolicy`consente al ruolo `AWSServiceRoleForSystemsManagerOpsDataSync` collegato al servizio di creare e aggiornare i risultati e basarsi sui OpsItems risultati OpsData . AWS Security Hub CSPM
La policy consente a Systems Manager di eseguire le seguenti operazioni su tutte le risorse correlate (`"Resource": "*"`), tranne dove indicato:
+ `ssm:GetOpsItem` [1]
+ `ssm:UpdateOpsItem` [1]
+ `ssm:CreateOpsItem`
+ `ssm:AddTagsToResource` [2]
+ `ssm:UpdateServiceSetting` [3]
+ `ssm:GetServiceSetting` [3]
+ `securityhub:GetFindings`
+ `securityhub:GetFindings`
+ `securityhub:BatchUpdateFindings` [4]
[1] Le operazioni `ssm:GetOpsItem` e `ssm:UpdateOpsItem` sono autorizzazioni consentite dalla seguente condizione solo per il servizio Systems Manager.
```
"Condition": {
"StringEquals": {
"aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
}
}
```
[2] L'operazione `ssm:AddTagsToResource` è un'autorizzazione consentita solo per la seguente risorsa.
```
arn:aws:ssm:*:*:opsitem/*
```
[3] Le operazioni `ssm:UpdateServiceSetting` e `ssm:GetServiceSetting` sono autorizzazioni consentite solo per le seguenti risorse.
```
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
```
[4] Gli `securityhub:BatchUpdateFindings` sono autorizzazioni concesse dalla seguente condizione solo per il servizio di Systems Manager.
```
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"StringEquals": {
"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Confidence": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Criticality": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Note.Text": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/RelatedFindings": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Types": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/VerificationState": false
}
}
```
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSSystemsManagerOpsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerOpsDataSyncServiceRolePolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: Amazon SSMManaged EC2 InstanceDefaultPolicy
È necessario collegare `AmazonSSMManagedEC2InstanceDefaultPolicy` ai ruoli IAM solo per le istanze Amazon EC2 per le quali si ha l'autorizzazione per utilizzare le funzionalità Systems Manager. Non è consigliabile associare questo ruolo ad altre entità IAM, come utenti IAM e gruppi IAM, o a ruoli IAM che servono ad altri scopi. Per ulteriori informazioni, consulta [Gestione automatica delle istanze EC2 con la configurazione di gestione host predefinita](fleet-manager-default-host-management-configuration.md).
Questa policy concede autorizzazioni che consentono all'SSM Agent sull'istanza Amazon EC2 di comunicare con il servizio Systems Manager nel cloud, col fine di eseguire una serie di attività. Concede inoltre le autorizzazioni per i due servizi che forniscono token di autorizzazione per garantire che le operazioni vengano eseguite sull'istanza corretta.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ssm`: consente alle entità principali di recuperare documenti, eseguire comandi utilizzando Run Command, stabilire sessioni con Session Manager, raccogliere un inventario d'istanza ed eseguire la scansione delle patch e della loro conformità tramite Patch Manager.
+ `ssmmessages`: consente alle entità principali di accedere, per ogni istanza, a un token di autorizzazione personalizzato creato da *[Amazon Message Gateway Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)*. Systems Manager convalida il token di autorizzazione personalizzato rispetto al nome della risorsa Amazon (ARN) dell'istanza che era stato fornito nell'operazione API. Questo accesso è necessario per garantire che SSM Agent esegua le operazioni API sull'istanza corretta.
+ `ec2messages`: consente alle entità principali di accedere, per ogni istanza, a un token di autorizzazione personalizzato creato da *[Amazon Message Delivery Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)*. Systems Manager convalida il token di autorizzazione personalizzato rispetto al nome della risorsa Amazon (ARN) dell'istanza che era stato fornito nell'operazione API. Questo accesso è necessario per garantire che SSM Agent esegua le operazioni API sull'istanza corretta.
Per informazioni correlate sugli endpoint `ssmmessages` e `ec2messages`, incluse le differenze tra i due, consulta [Operazioni API (endpoint `ssmmessages` e `ec2messages`) relative agli agenti](systems-manager-setting-up-messageAPIs.md#message-services).
Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta [Amazon SSMManaged EC2 InstanceDefaultPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedEC2InstanceDefaultPolicy.html) nella *AWS Managed Policy Reference Guide*.
## AWS politica gestita: SSMQuick SetupRolePolicy
Non puoi collegarti SSMQuick SetupRolePolicy alle tue entità IAM. Questa policy è associata a un ruolo collegato ai servizi che consente a Systems Manager di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo dei ruoli per mantenere l'integrità e la coerenza delle risorse fornite da Quick Setup](using-service-linked-roles-service-action-5.md).
Questa policy concede autorizzazioni di sola lettura che consentono a Systems Manager di verificare lo stato della configurazione, garantire l'uso coerente dei parametri e delle risorse assegnate e correggere le risorse quando viene rilevata una deviazione. Inoltre, concede autorizzazioni amministrative per creare un ruolo collegato ai servizi.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ssm`: consente alle entità principali di leggere le informazioni Resource Data Syncs e i documenti SSM in Systems Manager, inclusi gli account degli amministratori delegati. Questo viene richiesto in modo che Quick Setup determini lo stato in cui è necessario che si trovino le risorse configurate.
+ `organizations`: consente alle entità responsabili di leggere le informazioni sugli account dei membri che appartengono a un'organizzazione, come configurato in AWS Organizations. Ciò è necessario per far sì che Quick Setup identifichi tutti gli account di un'organizzazione in cui vanno eseguiti i controlli sullo stato delle risorse.
+ `cloudformation`— Consente ai responsabili di leggere informazioni da CloudFormation. Ciò è necessario per Quick Setup raccogliere dati sugli CloudFormation stack utilizzati per gestire lo stato delle risorse e le operazioni dello CloudFormation stackset.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [SSMQuickSetupRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SSMQuickSetupRolePolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: AWSQuick SetupDeploymentRolePolicy
La policy gestita `AWSQuickSetupDeploymentRolePolicy` supporta diversi tipi di configurazione Quick Setup. Questi tipi di configurazione creano ruoli e automazioni IAM che configurano i servizi e le funzionalità di Amazon Web Services utilizzati di frequente con le best practice consigliate.
È possibile collegare `AWSQuickSetupDeploymentRolePolicy` alle entità IAM.
Questa policy concede le autorizzazioni amministrative necessarie per creare risorse associate alle seguenti configurazioni di Quick Setup:
+ [Configura la gestione host Amazon EC2 tramite Quick Setup](quick-setup-host-management.md)
+ [Crea un registratore di configurazione AWS Config utilizzando Quick Setup](quick-setup-config.md)
+ [Implementa il AWS Config pacchetto di conformità utilizzando Quick Setup](quick-setup-cpack.md)
+ [Configurazione di DevOps Guru utilizzando Quick Setup](quick-setup-devops.md)
+ [Implementa i pacchetti Distributor tramite Quick Setup](quick-setup-distributor.md)
+ [Arresta e avvia automaticamente le istanze EC2 in base a una pianificazione utilizzando Quick Setup](quick-setup-scheduler.md)
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ssm`— Consente ai responsabili di leggere, creare, aggiornare ed eliminare documenti SSM con nomi che iniziano con "AWSQuickSetup-» o "AWSOperationsPack-» quando vengono chiamati via CloudFormation; di leggere documenti di AWS proprietà specifici tra cui "AWSQuickSetupType-ManageInstanceProfile«," AWSQuickSetupType-ConfigureDevOpsGuru «e" AWSQuickSetupType-DeployConformancePack «; di creare, aggiornare ed eliminare associazioni per Quick Setup documenti e documenti di AWS proprietà quando vengono richiamati CloudFormation; e di ripulire le risorse legacy contrassegnate con. `QuickSetupID` Ciò consente a Quick Setup di implementare e gestire flussi di lavoro e associazioni di automazione.
+ `cloudformation`— Consente ai principali di leggere informazioni su CloudFormation stack e set di stack e di creare, aggiornare ed eliminare CloudFormation stack e modificare set per risorse con nomi che iniziano con "StackSet-AWS- -». QuickSetup Ciò consente a Quick Setup di gestire le implementazioni dell'infrastruttura tra account e Regioni.
+ `config`— Consente ai responsabili di leggere informazioni sui pacchetti di AWS Config conformità e sul loro stato e di creare ed eliminare pacchetti di conformità con nomi che iniziano con «AWS- QuickSetup -» quando vengono chiamati tramite. CloudFormation Ciò consente a Quick Setup di implementare configurazioni di monitoraggio della conformità.
+ `events`— Consente ai responsabili di gestire EventBridge regole e obiettivi per le risorse i cui nomi contengono "-». QuickSetup Ciò consente a Quick Setup di creare flussi di lavoro di automazione pianificati.
+ `iam`— Consente ai responsabili di creare ruoli collegati ai servizi per e Systems AWS Config Manager; di creare, gestire ed eliminare ruoli IAM con nomi che iniziano con «AWS- QuickSetup -» o "AWSOperationsPack-» quando vengono chiamati via CloudFormation; di passare questi ruoli a Systems Manager e ai EventBridge servizi; di associare politiche AWS gestite specifiche a questi ruoli; e di impostare limiti di autorizzazione utilizzando politiche gestite specifiche. Quick Setup Ciò consente a Quick Setup di creare i ruoli di servizio necessari per le sue operazioni.
+ `resource-groups`: consente alle entità principali di recuperare le query relative ai gruppi di risorse. Ciò consente a Quick Setup di indirizzare set specifici di risorse per la gestione della configurazione.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSQuickSetupDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDeploymentRolePolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS policy gestita: AWSQuick SetupPatchPolicyDeploymentRolePolicy
La policy gestita `AWSQuickSetupPatchPolicyDeploymentRolePolicy` supporta il tipo [Configura l'applicazione di patch per le istanze in un'organizzazione utilizzando una policy di patch di Quick Setup](quick-setup-patch-manager.md) di Quick Setup. Questo tipo di configurazione consente di automatizzare l'applicazione di patch alle applicazioni e ai nodi in un singolo account o in tutta l'organizzazione.
È anche possibile collegare `AWSQuickSetupPatchPolicyDeploymentRolePolicy` alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.
Questa policy concede autorizzazioni amministrative che consentono a Quick Setup di creare risorse associate a una configurazione della policy di patch.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `iam`: consente alle entità principali di gestire ed eliminare i ruoli IAM necessari per le attività di configurazione dell'automazione e di gestire le politiche dei ruoli di automazione.
+ `cloudformation`— Consente ai principali di leggere le informazioni sugli CloudFormation stack e di controllare gli CloudFormation stack creati Quick Setup utilizzando CloudFormation i set di stack.
+ `ssm`: consente alle entità principali di creare, aggiornare, leggere ed eliminare i runbook di Automazione necessari per le attività di configurazione, nonché di creare, aggiornare ed eliminare le associazioni di State Manager.
+ `resource-groups`: consente alle entità principali di recuperare le query relative alle risorse associate ai gruppi di risorse destinate alle configurazioni di Quick Setup.
+ `s3`: consente alle entità principali di elencare i bucket Amazon S3 e di gestire i bucket per l'archiviazione dei log di accesso alle policy di patch.
+ `lambda`— Consente ai responsabili di gestire le funzioni di AWS Lambda riparazione che mantengono le configurazioni nello stato corretto.
+ `logs`: consente alle entità principali di descrivere e gestire gruppi di log per le risorse di configurazione Lambda.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSQuickSetupPatchPolicyDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyDeploymentRolePolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: AWSQuick SetupPatchPolicyBaselineAccess
La policy gestita `AWSQuickSetupPatchPolicyBaselineAccess` supporta il tipo [Configura l'applicazione di patch per le istanze in un'organizzazione utilizzando una policy di patch di Quick Setup](quick-setup-patch-manager.md) di Quick Setup. Questo tipo di configurazione consente di automatizzare l'applicazione di patch alle applicazioni e ai nodi in un singolo account o in tutta l'organizzazione.
È anche possibile collegare `AWSQuickSetupPatchPolicyBaselineAccess` alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.
Questa politica fornisce autorizzazioni di sola lettura per accedere alle linee di base delle patch configurate da un amministratore dell'azienda corrente o dell'organizzazione utilizzando. Account AWS Quick Setup Le baseline delle patch sono archiviate in un bucket Amazon S3 e vengono utilizzate per l'applicazione di patch a istanze in un singolo account o in un'intera organizzazione.
**Dettagli delle autorizzazioni**
Questa policy include la seguente autorizzazione.
+ `s3`: consente alle entità principali di leggere le sostituzioni alla baseline delle patch archiviata nei bucket di Amazon S3.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSQuickSetupPatchPolicyBaselineAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyBaselineAccess.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: `AWSSystemsManagerEnableExplorerExecutionPolicy`
La policy gestita `AWSSystemsManagerEnableExplorerExecutionPolicy` supporta l'abilitazioneExplorer, uno strumento in AWS Systems Manager.
È anche possibile collegare `AWSSystemsManagerEnableExplorerExecutionPolicy` alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.
Questa policy concede autorizzazioni amministrative per l'attivazione di Explorer. Ciò include le autorizzazioni per aggiornare le impostazioni del relativo servizio di Systems Manager, creando un ruolo collegato al servizio per Systems Manager.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `config`: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura ai dettagli del registratore di configurazione.
+ `iam`: consente alle entità principali di aiutare ad abilitare Explorer.
+ `ssm`: consente alle entità principali di avviare un flusso di lavoro di automazione che abiliti Explorer.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSSystemsManagerEnableExplorerExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableExplorerExecutionPolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`
La policy gestita `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` supporta il tipo di configurazione [Crea un registratore di configurazione AWS Config utilizzando Quick Setup](quick-setup-config.md) di Quick Setup . Questo tipo di configurazione consente Quick Setup di tenere traccia e registrare le modifiche ai tipi di AWS risorse scelti AWS Config. Consente inoltre a Quick Setup di configurare le opzioni di consegna e notifica per i dati registrati.
È anche possibile collegare `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.
Questa politica concede autorizzazioni amministrative che consentono di abilitare e configurare Quick Setup la registrazione della AWS Config configurazione.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `s3`: consente alle entità principali di creare e configurare bucket Amazon S3 per la consegna delle registrazioni di configurazione.
+ `sns`: consente alle entità principali di elencare e creare argomenti di Amazon SNS.
+ `config`: consente alle entità principali di configurare e avviare il registratore di configurazione e di contribuire all'abilitazione di Explorer.
+ `iam`— Consente ai responsabili di creare, ottenere e assegnare un ruolo collegato ai servizi per AWS Config; di creare un ruolo collegato ai servizi per Systems Manager; e di contribuire ad abilitarlo. Explorer
+ `ssm`: consente alle entità principali di avviare un flusso di lavoro di automazione che abiliti Explorer.
+ `compute-optimizer`— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer
+ `support`: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura per determinare se una risorsa è registrata a AWS Compute Optimizer.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableConfigRecordingExecutionPolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: AWSQuick SetupDevOpsGuruPermissionsBoundary
**Nota**
Questa politica rappresenta un *limite delle autorizzazioni*. Un limite delle autorizzazioni imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un'entità IAM. Non è necessario utilizzare e collegare autonomamente le policy relative al limite delle autorizzazioni di Quick Setup. Le policy relative al limite delle autorizzazioni di Quick Setup vanno allegate solo ai ruoli gestiti da Quick Setup. Per maggiori informazioni sui limiti delle autorizzazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
La policy gestita `AWSQuickSetupDevOpsGuruPermissionsBoundary` supporta il tipo [Configurazione di DevOps Guru utilizzando Quick Setup](quick-setup-devops.md). Il tipo di configurazione abilita Amazon DevOps Guru basato sull'apprendimento automatico. Il servizio DevOps Guru può aiutare a migliorare le prestazioni operative e la disponibilità di un'applicazione.
Quando crei una configurazione `AWSQuickSetupDevOpsGuruPermissionsBoundary` utilizzando Quick Setup, il sistema applica questo limite delle autorizzazioni ai ruoli IAM creati durante l'implementazione della configurazione. Il limite delle autorizzazioni limita l'ambito dei ruoli creati da Quick Setup.
Questa politica concede autorizzazioni amministrative che consentono di abilitare e Quick Setup configurare Amazon DevOps Guru.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `iam`— Consente ai responsabili di creare ruoli collegati ai servizi per DevOps Guru e Systems Manager e di elencare i ruoli che aiutano ad abilitare. Explorer
+ `cloudformation`: consente alle entità principali di elencare e descrivere gli stack CloudFormation .
+ `sns`: consente alle entità principali di elencare e creare argomenti di Amazon SNS.
+ `devops-guru`— Consente ai presidi di configurare DevOps Guru e di aggiungere un canale di notifica.
+ `config`: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura ai dettagli del registratore di configurazione.
+ `ssm`: consente alle entità principali di avviare un flusso di lavoro di automazione che abiliti Explorer, nonché di leggere e aggiornare le impostazioni del servizio Explorer.
+ `compute-optimizer`— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer
+ `support`: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura per determinare se una risorsa è registrata a AWS Compute Optimizer.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSQuickSetupDevOpsGuruPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDevOpsGuruPermissionsBoundary.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: AWSQuick SetupDistributorPermissionsBoundary
**Nota**
Questa politica rappresenta un *limite delle autorizzazioni*. Un limite delle autorizzazioni imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un'entità IAM. Non è necessario utilizzare e collegare autonomamente le policy relative al limite delle autorizzazioni di Quick Setup. Le policy relative al limite delle autorizzazioni di Quick Setup vanno allegate solo ai ruoli gestiti da Quick Setup. Per maggiori informazioni sui limiti delle autorizzazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
La policy gestita `AWSQuickSetupDistributorPermissionsBoundary` supporta il tipo di configurazione [Implementa i pacchetti Distributor tramite Quick Setup](quick-setup-distributor.md) di Quick Setup . Il tipo di configurazione contribuisce ad abilitare la distribuzione di pacchetti software, ad esempio agenti, alle istanze Amazon Elastic Compute Cloud (Amazon EC2), utilizzando Distributor, uno strumento di AWS Systems Manager.
Quando crei una configurazione `AWSQuickSetupDistributorPermissionsBoundary` utilizzando Quick Setup, il sistema applica questo limite delle autorizzazioni ai ruoli IAM creati durante l'implementazione della configurazione. Il limite delle autorizzazioni limita l'ambito dei ruoli creati da Quick Setup.
Questa politica concede autorizzazioni amministrative che consentono a Quick Setup di abilitare la distribuzione di pacchetti software, come agenti, alle istanze Amazon EC2 utilizzando Distributor.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `iam`: consente alle entità principali di ottenere e passare il ruolo di automazione del Distributore; di creare, leggere, aggiornare ed eliminare il ruolo dell'istanza predefinito; di passare il ruolo dell'istanza predefinito ad Amazon EC2 e Systems Manager; di associare policy di gestione delle istanze ai ruoli dell'istanza; di creare un ruolo collegato ai servizi per Systems Manager; di aggiungere il ruolo dell'istanza predefinito ai profili dell'istanza; di leggere informazioni sui ruoli IAM e sui profili dell'istanza, nonché di creare il profilo dell'istanza predefinito.
+ `ec2`: consente alle entità principali di associare il profilo dell'istanza predefinito alle istanze EC2 e di contribuire all'abilitazione di Explorer.
+ `ssm`: consente alle entità principali di avviare i flussi di lavoro di automazione, vale a dire quelli che configurano le istanze e installano i pacchetti, nonché di contribuire ad avviare il flusso di lavoro di automazione che abilita Explorer, leggendo e aggiornando le impostazioni del servizio Explorer.
+ `config`: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura ai dettagli del registratore di configurazione.
+ `compute-optimizer`— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer
+ `support`: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura per determinare se una risorsa è registrata a AWS Compute Optimizer.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSQuickSetupDistributorPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDistributorPermissionsBoundary.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: configurazione AWSQuick SSMHost MgmtPermissionsBoundary
**Nota**
Questa politica rappresenta un *limite delle autorizzazioni*. Un limite delle autorizzazioni imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un'entità IAM. Non è necessario utilizzare e collegare autonomamente le policy relative al limite delle autorizzazioni di Quick Setup. Le policy relative al limite delle autorizzazioni di Quick Setup vanno allegate solo ai ruoli gestiti da Quick Setup. Per maggiori informazioni sui limiti delle autorizzazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
La policy gestita `AWSQuickSetupSSMHostMgmtPermissionsBoundary` supporta il tipo di configurazione [Configura la gestione host Amazon EC2 tramite Quick Setup](quick-setup-host-management.md) di Quick Setup . Questo tipo di configurazione configura i ruoli IAM e abilita gli strumenti di Systems Manager di uso comune per gestire in modo sicuro le istanze Amazon EC2.
Quando crei una configurazione `AWSQuickSetupSSMHostMgmtPermissionsBoundary` utilizzando Quick Setup, il sistema applica questo limite delle autorizzazioni ai ruoli IAM creati durante l'implementazione della configurazione. Il limite delle autorizzazioni limita l'ambito dei ruoli creati da Quick Setup.
Questa policy concede autorizzazioni amministrative che consentono a Quick Setup di abilitare e configurare gli strumenti di Systems Manager necessari per la gestione sicura delle istanze EC2.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `iam`: consente alle entità principali di ottenere e trasferire il ruolo di servizio all'automazione. Consente alle entità principali di creare, leggere, aggiornare ed eliminare il ruolo dell'istanza predefinito; di passare il ruolo dell'istanza predefinito ad Amazon EC2 e Systems Manager; di associare policy di gestione delle istanze ai ruoli dell'istanza; di creare un ruolo collegato ai servizi per Systems Manager; di aggiungere il ruolo dell'istanza predefinito ai profili dell'istanza; di leggere informazioni sui ruoli IAM e sui profili dell'istanza, nonché di creare il profilo dell'istanza predefinito.
+ `ec2`: consente alle entità principali di associare e dissociare il profilo dell'istanza predefinito con le istanze EC2.
+ `ssm`: consente alle entità principali di avviare flussi di lavoro di Automazione che attivano Explorer; di leggere e aggiornare le impostazioni del servizio Explorer; di configurare le istanze; di abilitare gli strumenti di Systems Manager sulle istanze.
+ `compute-optimizer`— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer
+ `support`: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura per determinare se una risorsa è registrata a AWS Compute Optimizer.
*Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy JSON, consulta la sezione [AWSQuickConfigurazione SSMHost MgmtPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMHostMgmtPermissionsBoundary.html) nella Managed Policy Reference Guide.AWS *
## AWS politica gestita: AWSQuick SetupPatchPolicyPermissionsBoundary
**Nota**
Questa politica rappresenta un *limite delle autorizzazioni*. Un limite delle autorizzazioni imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un'entità IAM. Non è necessario utilizzare e collegare autonomamente le policy relative al limite delle autorizzazioni di Quick Setup. Le policy relative al limite delle autorizzazioni di Quick Setup vanno allegate solo ai ruoli gestiti da Quick Setup. Per maggiori informazioni sui limiti delle autorizzazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
La policy gestita `AWSQuickSetupPatchPolicyPermissionsBoundary` supporta il tipo [Configura l'applicazione di patch per le istanze in un'organizzazione utilizzando una policy di patch di Quick Setup](quick-setup-patch-manager.md) di Quick Setup. Questo tipo di configurazione consente di automatizzare l'applicazione di patch alle applicazioni e ai nodi in un singolo account o in tutta l'organizzazione.
Quando crei una configurazione `AWSQuickSetupPatchPolicyPermissionsBoundary` utilizzando Quick Setup, il sistema applica questo limite delle autorizzazioni ai ruoli IAM creati durante l'implementazione della configurazione. Il limite delle autorizzazioni limita l'ambito dei ruoli creati da Quick Setup.
Questa policy concede autorizzazioni amministrative che consentono a Quick Setup di abilitare e configurare le policy di patch in Patch Manager, uno strumento di AWS Systems Manager.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `iam`— Consente ai responsabili di ottenere il ruolo di Patch Manager automazione; di passare i ruoli di automazione alle operazioni di Patch Manager patching; di creare il ruolo di istanza predefinito`AmazonSSMRoleForInstancesQuickSetup`; di passare il ruolo di istanza predefinito ad Amazon EC2 e Systems Manager; di allegare politiche gestite AWS selezionate al ruolo dell'istanza; di creare un ruolo collegato ai servizi per Systems Manager; di aggiungere il ruolo di istanza predefinito ai profili di istanza; di leggere informazioni sui profili e i ruoli delle istanze; di creare un profilo di istanza predefinito; e per etichettare i ruoli che dispongono dei permessi di lettura patch baseline sostituisce.
+ `ssm`: consente alle entità principali di aggiornare il ruolo dell'istanza gestito da Systems Manager; di gestire le associazioni create da policy di patch di Patch Manager create in Quick Setup; di etichettare le istanze destinate a una configurazione di policy di patch; di leggere informazioni sulle istanze e sullo stato delle patch; di avviare flussi di lavoro di automazione che configurano, abilitano e correggono l'applicazione di patch alle istanze; di avviare flussi di lavoro di automazione che abilitino Explorer; di contribuire all'abilitazione di Explorer, nonché di leggere e aggiornare le impostazioni del servizio Explorer.
+ `ec2`: consente alle entità principali di associare e dissociare il profilo dell'istanza predefinito con le istanze EC2, di etichettare le istanze destinate a una configurazione di policy di patch, di etichettare le istanze destinate a una configurazione di policy di patch e di contribuire all'abilitazione di Explorer.
+ `s3`: consente alle entità principali di creare e configurare bucket S3 per archiviare le modifiche della baseline delle patch.
+ `lambda`— Consente ai responsabili di richiamare AWS Lambda funzioni che configurano l'applicazione di patch e di eseguire operazioni di pulizia dopo l'eliminazione di una configurazione delle policy di patch. Quick Setup
+ `logs`— Consente ai responsabili di configurare la registrazione delle funzioni. Patch Manager Quick Setup AWS Lambda
+ `config`: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura ai dettagli del registratore di configurazione.
+ `compute-optimizer`— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer
+ `support`: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura per determinare se una risorsa è registrata a AWS Compute Optimizer.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSQuickSetupPatchPolicyPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyPermissionsBoundary.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: AWSQuick SetupSchedulerPermissionsBoundary
**Nota**
Questa politica rappresenta un *limite delle autorizzazioni*. Un limite delle autorizzazioni imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un'entità IAM. Non è necessario utilizzare e collegare autonomamente le policy relative al limite delle autorizzazioni di Quick Setup. Le policy relative al limite delle autorizzazioni di Quick Setup vanno allegate solo ai ruoli gestiti da Quick Setup. Per maggiori informazioni sui limiti delle autorizzazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
La policy gestita `AWSQuickSetupSchedulerPermissionsBoundary` supporta il tipo di configurazione [Arresta e avvia automaticamente le istanze EC2 in base a una pianificazione utilizzando Quick Setup](quick-setup-scheduler.md) di Quick Setup . Questo tipo di configurazione consente di interrompere e avviare le istanze EC2 e altre risorse nei momenti specificati.
Quando crei una configurazione `AWSQuickSetupSchedulerPermissionsBoundary` utilizzando Quick Setup, il sistema applica questo limite delle autorizzazioni ai ruoli IAM creati durante l'implementazione della configurazione. Il limite delle autorizzazioni limita l'ambito dei ruoli creati da Quick Setup.
Questa policy concede autorizzazioni amministrative che consentono a Quick Setup di abilitare e configurare operazioni pianificate su istanze EC2 e altre risorse.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `iam`: consente alle entità principali di recuperare e trasferire ruoli per le operazioni di automazione della gestione delle istanze; di gestire, trasferire e associare ruoli di istanza predefiniti per la gestione delle istanze EC2; di creare profili di istanza predefiniti; di aggiungere ruoli di istanza predefiniti ai profili di istanza; di creare un ruolo collegato al servizio per Systems Manager; di leggere informazioni sui ruoli IAM e sui profili dell'istanza; di associare un profilo dell'istanza predefinito alle istanze EC2, nonché di avviare flussi di lavoro di Automazione per configurare le istanze e abilitare gli strumenti Systems Manager su questi.
+ `ssm`: consente alle entità principali di avviare flussi di lavoro di automazione che abilitino Explorer, nonché di leggere e aggiornare le impostazioni del servizio Explorer.
+ ec2: consente alle entità principali di individuare istanze destinate, avviandole e interrompendole secondo una pianificazione.
+ `config`: consente alle entità principali di contribuire all'abilitazione di Explorer, fornendo un accesso in sola lettura ai dettagli del registratore di configurazione.
+ `compute-optimizer`— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura per determinare se una risorsa è registrata. AWS Compute Optimizer
+ `support`— Consente ai responsabili di contribuire all'abilitazione Explorer fornendo un accesso in sola lettura agli assegni relativi a un account. AWS Trusted Advisor
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSQuickSetupSchedulerPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSchedulerPermissionsBoundary.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: configurazione AWSQuick CFGCPacks PermissionsBoundary
**Nota**
Questa politica rappresenta un *limite delle autorizzazioni*. Un limite delle autorizzazioni imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un'entità IAM. Non è necessario utilizzare e collegare autonomamente le policy relative al limite delle autorizzazioni di Quick Setup. Le policy relative al limite delle autorizzazioni di Quick Setup vanno allegate solo ai ruoli gestiti da Quick Setup. Per maggiori informazioni sui limiti delle autorizzazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
La policy gestita `AWSQuickSetupCFGCPacksPermissionsBoundary` supporta il tipo di configurazione [Implementa il AWS Config pacchetto di conformità utilizzando Quick Setup](quick-setup-cpack.md) di Quick Setup . Questo tipo di configurazione implementa pacchetti di AWS Config conformità. I pacchetti di conformità sono raccolte di AWS Config regole e azioni correttive che possono essere implementate come un'unica entità.
Quando crei una configurazione `AWSQuickSetupCFGCPacksPermissionsBoundary` utilizzando Quick Setup, il sistema applica questo limite delle autorizzazioni ai ruoli IAM creati durante l'implementazione della configurazione. Il limite delle autorizzazioni limita l'ambito dei ruoli creati da Quick Setup.
Questa policy concede autorizzazioni amministrative che consentono a Quick Setup di implementare i pacchetti di conformità AWS Config .
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `iam`— Consente ai responsabili di creare, ottenere e assegnare un ruolo collegato ai servizi per. AWS Config
+ `sns`: consente alle entità principali di elencare le applicazioni di piattaforma in Amazon SNS.
+ `config`— Consente ai responsabili di distribuire pacchetti di AWS Config conformità, di conoscere lo stato dei pacchetti di conformità e di ottenere informazioni sui registratori di configurazione.
+ `ssm`: consente alle entità principali di ottenere informazioni sui documenti SSM e sui flussi di lavoro di automazione, di ottenere informazioni sui tag delle risorse e sulle le impostazioni del servizio, aggiornandole.
+ `compute-optimizer`: consente alle entità principali di ottenere lo stato di consenso esplicito dell'account.
+ `support`: consente alle entità principali di ottenere informazioni sui controlli AWS Trusted Advisor .
[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupCFGCPacksConfigurationPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupCFGCPacksConfigurationPolicy.html)
## AWS politica gestita: AWSQuick SetupStartStopInstancesExecutionPolicy
È possibile collegare `AWSQuickSetupStartStopInstancesExecutionPolicy` alle entità IAM. Questa policy fornisce le autorizzazioni di Quick Setup per la gestione dell'avvio e dell'interruzione delle istanze Amazon EC2 tramite l'automazione di Systems Manager.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ec2`— Consente ai responsabili di descrivere le istanze Amazon EC2, il loro stato, le regioni e i tag. Consente inoltre di avviare e arrestare istanze Amazon EC2 specifiche.
+ `ssm`— Consente ai responsabili di conoscere lo stato del calendario Quick Setup modificando i calendari, avviando associazioni ed eseguendo documenti di automazione, ad esempio la pianificazione.
+ `iam`— Consente ai responsabili di trasferire i ruoli Quick Setup IAM a Systems Manager per l'esecuzione dell'automazione, con condizioni che limitano il servizio a ssm.amazonaws.com e a risorse specifiche. ARNs
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSQuickSetupStartStopInstancesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartStopInstancesExecutionPolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: AWSQuick SetupStart SSMAssociations ExecutionPolicy
Questa politica concede le autorizzazioni che consentono a Quick Setup di eseguire il runbook Automation `AWSQuickSetupType-Scheduler-ChangeCalendarState`. Questo runbook viene utilizzato per gestire le modifiche degli stati del calendario per le operazioni pianificate nelle Quick Setup configurazioni.
È anche possibile collegare `AWSQuickSetupStartSSMAssociationsExecutionPolicy` alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ssm`: consente alle entità principali di avviare esecuzioni di automazione specifiche per il documento `AWSQuickSetupType-Scheduler-ChangeCalendarState`. È necessario per Quick Setup gestire le modifiche degli stati del calendario per le operazioni pianificate.
+ `iam`— Consente ai responsabili di trasferire ruoli con nomi che iniziano con «AWS- QuickSetup -» al servizio Systems Manager. Questa autorizzazione è limitata all'uso con documenti SSM specifici relativi alla gestione del calendario delle modifiche. Ciò è necessario per Quick Setup per passare il ruolo di esecuzione appropriato al processo di automazione.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSQuickSetupStartSSMAssociationsExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartSSMAssociationsExecutionPolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy
La policy `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` fornisce le autorizzazioni per diagnosticare i problemi con i nodi che interagiscono con i servizi Systems Manager, avviando i flussi di lavoro di automazione negli account e nelle regioni in cui vengono gestiti i nodi.
È anche possibile collegare `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni di diagnosi per conto dell'utente.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ssm`: consente alle entità principali di eseguire i runbook di Automazione che diagnosticano i problemi dei nodi e accedono allo stato di esecuzione per i flussi di lavoro e recuperare i dettagli di esecuzione dell'automazione. La policy concede le autorizzazioni per descrivere le esecuzioni di automazione, descrivere le esecuzioni delle fasi di automazione, ottenere dettagli sull'esecuzione dell'automazione e avviare le esecuzioni di automazione per i documenti relativi alla diagnosi.
+ `kms`: consente alle entità principali di utilizzare AWS Key Management Service chiavi specificate dal cliente per la decrittografia e la generazione di chiavi di dati durante l'accesso a oggetti crittografati nei bucket Amazon S3 utilizzati per le operazioni di diagnosi. Queste autorizzazioni sono limitate alle chiavi contrassegnate con `SystemsManagerManaged` e utilizzate tramite il servizio Amazon S3 con requisiti specifici del contesto di crittografia.
+ `sts`: consente alle entità principali di assumere ruoli di esecuzione della diagnosi per eseguire i runbook di Automazione sullo stesso account. Questa autorizzazione è limitata ai ruoli con lo schema di denominazione `AWS-SSM-DiagnosisExecutionRole` e include una condizione per garantire che l'account della risorsa corrisponda all'account principale.
+ `iam`: consente alle entità principali di passare il ruolo di amministrazione della diagnosi a Systems Manager per l'esecuzione dei runbook di Automazione. Questa autorizzazione è limitata ai ruoli con il modello di denominazione `AWS-SSM-DiagnosisAdminRole` e può essere passata solo al servizio di Systems Manager.
+ `s3`: consente alle entità principali di accedere, leggere, scrivere ed eliminare oggetti nei bucket Amazon S3 utilizzati per le operazioni di diagnosi. Queste autorizzazioni sono limitate ai bucket con il modello di denominazione `do-not-delete-ssm-diagnosis-` e includono condizioni per garantire che le operazioni vengano eseguite all'interno dello stesso account.
Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta [AWS-SSM- DiagnosisAutomation - AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy.html) nella *AWS Managed* Policy Reference Guide.
## AWS politica gestita: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy
La policy gestita da `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` fornisce l'autorizzazione amministrativa per l'esecuzione dei runbook Automation in un Account AWS e Regione destinati, per diagnosticare i problemi con i nodi gestiti che interagiscono con i servizi Systems Manager.
È anche possibile collegare `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ec2`— Consente ai responsabili di descrivere le risorse Amazon EC2 e Amazon VPC e le relative configurazioni per diagnosticare problemi con i servizi. Systems Manager Ciò include le autorizzazioni per descrivere VPCs, gli attributi VPC, gli endpoint VPC, le sottoreti, i gruppi di sicurezza, le istanze, lo stato dell'istanza, la rete e i gateway Internet. ACLs
+ `ssm`: consente alle entità principali di eseguire runbook di Automazione specifici per la diagnosi e di accedere allo stato del flusso di lavoro di automazione e ai metadati di esecuzione. Ciò include le autorizzazioni per descrivere le esecuzioni delle fasi di automazione, descrivere le informazioni sulle istanze, descrivere le esecuzioni di automazione, descrivere le attivazioni, ottenere dettagli sull'esecuzione dell'automazione, ottenere le impostazioni dei servizi e avviare le esecuzioni di automazione per specifici documenti di diagnosi EC2 non gestiti. AWS
+ `kms`: consente alle entità principali di utilizzare AWS Key Management Service chiavi specificate dal cliente per la decrittografia e la generazione di chiavi di dati durante l'accesso a oggetti crittografati nei bucket Amazon S3 utilizzati per le operazioni di diagnosi. Queste autorizzazioni sono limitate alle chiavi contrassegnate con `SystemsManagerManaged` e utilizzate tramite il servizio Amazon S3 con requisiti di contesto di crittografia specifici per i bucket di diagnosi.
+ `iam`: consente alle entità principali di passare il ruolo di esecuzione della diagnosi a Systems Manager per l'esecuzione dei documenti di Automazione. Questa autorizzazione è limitata ai ruoli con il modello di denominazione `AWS-SSM-DiagnosisExecutionRole` e può essere passata solo al servizio di Systems Manager.
Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta [AWS-SSM- DiagnosisAutomation - ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy.html) nella *AWS Managed* Policy Reference Guide.
## AWS politica gestita: AWS-SSM-RemediationAutomation-AdministrationRolePolicy
La policy `AWS-SSM-RemediationAutomation-AdministrationRolePolicy` fornisce le autorizzazioni per risolvere i problemi con i servizi di Systems Manager eseguendo le attività definite nei documenti di Automazione, utilizzate principalmente per eseguire i documenti di Automazione. Questa policy consente di avviare i flussi di lavoro di Automazione negli account e nelle Regioni in cui i nodi vengono gestiti per risolvere problemi di connettività e configurazione.
Puoi collegarti `AWS-SSM-RemediationAutomation-AdministrationRolePolicy` alle tue entità IAM. Systems Managerassocia inoltre questa policy a un ruolo di servizio che consente di Systems Manager eseguire azioni correttive per tuo conto.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ssm`: consente alle entità principali di eseguire i runbook di Automazione che riparano i problemi dei nodi e accedono allo stato di esecuzione di flussi di lavoro e recuperano i dettagli dell'esecuzione dell'automazione. La policy concede le autorizzazioni per descrivere le esecuzioni di automazione, le esecuzioni delle fasi di automazione, ottenere dettagli sull'esecuzione dell'automazione e avviare le esecuzioni di automazione per i documenti relativi alla riparazione.
+ `kms`: consente alle entità principali di utilizzare AWS Key Management Service chiavi specificate dal cliente per la decrittografia e la generazione di chiavi di dati durante l'accesso a oggetti crittografati nei bucket Amazon S3 utilizzati per le operazioni di riparazione. Queste autorizzazioni sono limitate alle chiavi contrassegnate con `SystemsManagerManaged` e utilizzate tramite il servizio Amazon S3 con requisiti specifici del contesto di crittografia.
+ `sts`: consente alle entità principali di assumere ruoli di esecuzione della riparazione per eseguire i runbook di Automazione sullo stesso account. Questa autorizzazione è limitata ai ruoli con lo schema di denominazione `AWS-SSM-RemediationExecutionRole` e include una condizione per garantire che l'account della risorsa corrisponda all'account principale.
+ `iam`: consente alle entità principali di passare il ruolo di amministrazione della riparazione a Systems Manager per l'esecuzione dei runbook di Automazione. Questa autorizzazione è limitata ai ruoli con il modello di denominazione `AWS-SSM-RemediationAdminRole` e può essere passata solo al servizio di Systems Manager.
+ `s3`: consente alle unità principali di accedere, leggere, scrivere ed eliminare oggetti nei bucket Amazon S3 utilizzati per le operazioni di riparazione. Queste autorizzazioni sono limitate ai bucket con il modello di denominazione `do-not-delete-ssm-diagnosis-` e includono condizioni per garantire che le operazioni vengano eseguite all'interno dello stesso account.
Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta [AWS-SSM- RemediationAutomation - AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-AdministrationRolePolicy.html) nella *AWS Managed* Policy Reference Guide.
## AWS politica gestita: AWS-SSM-RemediationAutomation-ExecutionRolePolicy
La policy `AWS-SSM-RemediationAutomation-ExecutionRolePolicy` gestita concede le autorizzazioni per l'esecuzione di runbook di Automazione in un account e in una Regione di destinazione specifici per riparare gli errori di connessione della rete con i nodi gestiti che interagiscono con i servizi di Systems Manager. Questa policy consente attività di riparazione definite nei documenti di Automazione, utilizzate principalmente per l'esecuzione di documenti di Automazione e risolvere problemi di connettività e configurazione.
Puoi collegare la policy anche alle tue entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni di riparazione per conto dell'utente.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ssm`: consente alle entità principali di recuperare informazioni sulle esecuzioni di Automazione e sulle relative fasi e di avviare runbook di Automazione di riparazione specifici, inclusi documenti `AWS-OrchestrateUnmanagedEC2Actions` e `AWS-RemediateSSMAgent`. La policy concede le autorizzazioni per descrivere le esecuzioni di automazione, le esecuzioni delle fasi di automazione, ottenere dettagli sull'esecuzione dell'automazione e avviare le esecuzioni di automazione per i documenti relativi alla riparazione.
+ `ec2`: consente alle entità principali di descrivere e modificare le risorse di rete Amazon VPC per riparare i problemi di connettività. Questo include:
+ Descrizione degli attributi e delle sottoreti di Amazon VPC, degli endpoint Amazon VPC e dei gruppi di sicurezza.
+ Creazione di endpoint Amazon VPC per i servizi di Systems Manager (`ssm`, `ssmmessages` e `ec2messages`) con i tag richiesti.
+ Modifica degli attributi di Amazon VPC per abilitare il supporto DNS e i nomi host.
+ Creazione e gestione di gruppi di sicurezza con tag specifici per l'accesso agli endpoint Amazon VPC.
+ Autorizzazione e revoca delle regole dei gruppi di sicurezza per l'accesso HTTPS con tag appropriati.
+ Creazione di tag su endpoint Amazon VPC, gruppi di sicurezza e regole dei gruppi di sicurezza durante la creazione delle risorse.
+ `kms`: consente alle entità principali di utilizzare AWS Key Management Service chiavi specificate dal cliente per la decrittografia e la generazione di chiavi di dati durante l'accesso a oggetti crittografati nei bucket Amazon S3 utilizzati per le operazioni di riparazione. Queste autorizzazioni sono limitate alle chiavi contrassegnate con `SystemsManagerManaged` e utilizzate tramite il servizio Amazon S3 con requisiti specifici del contesto di crittografia.
+ `iam`: consente alle entità principali di passare il ruolo di esecuzione di riparazione a Systems Manager per l'esecuzione dei runbook di Automazione. Questa autorizzazione è limitata ai ruoli con il modello di denominazione `AWS-SSM-RemediationExecutionRole` e può essere passata solo al servizio di Systems Manager.
Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta [AWS-SSM- RemediationAutomation - ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-ExecutionRolePolicy.html) nella *AWS Managed* Policy Reference Guide.
## AWS politica gestita: configurazione AWSQuick SSMManage ResourcesExecutionPolicy
Questa politica concede le autorizzazioni che consentono a Quick Setup di eseguire il runbook Automation `AWSQuickSetupType-SSM-SetupResources`. Questo runbook crea ruoli IAM per le associazioni di Quick Setup, a loro volta create dall'implementazione `AWSQuickSetupType-SSM`. Concede inoltre le autorizzazioni per pulire un bucket Amazon S3 associato durante un'operazione di eliminazione di Quick Setup.
È anche possibile collegare questa policy alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `iam`: consente alle entità principali di elencare e gestire i ruoli IAM da utilizzare con le operazioni di Systems Manager Explorer di Quick Setup, nonché di visualizzare, allegare e scollegare le policy IAM da utilizzare con Quick Setup e Systems Manager Explorer. Queste autorizzazioni sono necessarie in modo che Quick Setup crei i ruoli necessari per alcune delle sue operazioni di configurazione.
+ `s3`: consente alle entità principali di recuperare informazioni sugli oggetti e di eliminare quelli dai bucket Amazon S3, nell'account principale, che vengono utilizzati specificamente nelle operazioni di configurazione in Quick Setup. Ciò è necessario per rimuovere gli oggetti S3 che non sono più necessari dopo la configurazione.
Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy JSON, consulta la sezione [AWSQuickConfigurazione SSMManage ResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMManageResourcesExecutionPolicy.html) nella *AWS Managed Policy Reference Guide*.
## AWS politica gestita: configurazione AWSQuick SSMLifecycle ManagementExecutionPolicy
La `AWSQuickSetupSSMLifecycleManagementExecutionPolicy` politica concede autorizzazioni amministrative che consentono di Quick Setup eseguire una risorsa CloudFormation personalizzata sugli eventi del ciclo di vita durante la distribuzione in. Quick Setup Systems Manager
È anche possibile collegare questa policy alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ssm`: consente alle entità principali di ottenere informazioni sulle esecuzioni di automazione e di avviare le esecuzioni di automazione per impostare determinate operazioni di Quick Setup.
+ `iam`: consente alle entità principali di trasferire ruoli da IAM per la configurazione di determinate risorse di Quick Setup.
*Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy JSON, consulta la sezione [AWSQuickConfigurazione SSMLifecycle ManagementExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMLifecycleManagementExecutionPolicy.html) nella Managed Policy Reference Guide.AWS *
## AWS politica gestita: configurazione AWSQuick SSMDeployment RolePolicy
La policy gestita `AWSQuickSetupSSMDeploymentRolePolicy` concede autorizzazioni amministrative che consentono a Quick Setup di creare risorse da utilizzare durante il processo di onboarding di Systems Manager.
Sebbene sia possibile attribuire questa policy alle entità IAM, questa policy non è consigliata. Quick Setup crea entità che collegano questa policy a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per tuo conto.
Questa policy non è correlata alla [policy `SSMQuickSetupRolePolicy`](using-service-linked-roles-service-action-5.md), utilizzata per fornire le autorizzazioni per il ruolo collegato al servizio `AWSServiceRoleForSSMQuickSetup`.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ssm`— Consente ai responsabili di gestire le associazioni per determinate risorse create utilizzando AWS CloudFormation modelli e un set specifico di documenti SSM, di gestire ruoli e policy di ruolo utilizzando CloudFormation modelli per la diagnosi e la correzione dei nodi gestiti e di allegare ed eliminare le policy per gli eventi del ciclo di vita Quick Setup
+ `iam`: consente alle entità principali di aggiungere un tag ai ruoli, assegnare le autorizzazioni ai ruoli per il servizio di Systems Manager e il servizio Lambda e assegnare le autorizzazioni al ruolo per le operazioni di diagnosi.
+ `lambda`— Consente ai responsabili di etichettare e gestire le funzioni per il Quick Setup ciclo di vita nell'account principale utilizzando modelli. CloudFormation
+ `cloudformation`— Consente ai presidi di leggere informazioni da. CloudFormation Ciò è necessario per Quick Setup raccogliere dati sugli CloudFormation stack utilizzati per gestire lo stato delle risorse e le operazioni dello CloudFormation stackset.
Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy JSON, consulta la sezione [AWSQuickConfigurazione SSMDeployment RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentRolePolicy.html) nella *AWS Managed* Policy Reference Guide.
## AWS politica gestita: AWSQuick Setup S3 SSMDeployment BucketRolePolicy
La policy `AWSQuickSetupSSMDeploymentS3BucketRolePolicy` concede le autorizzazioni per elencare tutti i bucket S3 in un account e per gestire e recuperare informazioni su bucket specifici, gestiti tramite modelli CloudFormation , nell'account principale.
È anche possibile collegare `AWSQuickSetupSSMDeploymentS3BucketRolePolicy` alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `s3`— Consente ai principali di elencare tutti i bucket S3 in un account e di gestire e recuperare informazioni su bucket specifici nell'account principale gestiti tramite modelli. CloudFormation
*Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta [AWSQuickSSMDeploymentSetup S3 BucketRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentS3BucketRolePolicy.html) nella Managed Policy Reference Guide.AWS *
## AWS politica gestita: AWSQuickSetupEnableDHMCExecutionPolicy
Questa policy concede autorizzazioni amministrative che consentono alle entità principali di eseguire il runbook di Automation `AWSQuickSetupType-EnableDHMC`, abilitando la configurazione di gestione host predefinita. La funzionalità Configurazione di gestione host predefinita consente a Systems Manager di gestire automaticamente le istanze Amazon EC2 come *istanze gestite*. Un'istanza gestita è un'istanza EC2 configurata per l'uso con Systems Manager. Questa policy concede anche le autorizzazioni per la creazione di ruoli IAM specificati nelle impostazioni del servizio Systems Manager come ruoli predefiniti per SSM Agent.
È anche possibile collegare `AWSQuickSetupEnableDHMCExecutionPolicy` alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ssm`: consente alle entità principali di aggiornare e ottenere informazioni sulle impostazioni del servizio di Systems Manager.
+ `iam`: consente alle entità principali di creare e recuperare informazioni sui ruoli IAM per le operazioni di Quick Setup.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: AWSQuickSetupEnableAREXExecutionPolicy
Questa policy concede autorizzazioni amministrative che consentono a Systems Manager di eseguire il runbook di `AWSQuickSetupType-EnableAREX` Automation, consentendo a Esploratore di risorse AWS l'utilizzo con Systems Manager. Resource Explorer consente di visualizzare le risorse dell'account con un'esperienza di ricerca simile a quella di un motore di ricerca Internet. La policy concede inoltre le autorizzazioni per la gestione degli indici e delle visualizzazioni di Resource Explorer.
È anche possibile collegare `AWSQuickSetupEnableAREXExecutionPolicy` alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `iam`— Consente ai responsabili di creare un ruolo collegato al servizio nel servizio AWS Identity and Access Management (IAM).
+ `resource-explorer-2`: consente alle entità principali di recuperare informazioni sulle visualizzazioni e sugli indici di Resource Explorer, di creare visualizzazioni e indici dello stesso, nonché di modificare la tipologia per gli indici visualizzati in Quick Setup.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: AWSQuick SetupManagedInstanceProfileExecutionPolicy
Questa policy concede autorizzazioni amministrative che consentono a Systems Manager di creare un profilo dell'istanza IAM predefinito per lo strumento di Quick Setup, collegandolo a istanze Amazon EC2 a cui non sia già associato un profilo dell'istanza. La policy garantisce inoltre la possibilità a Systems Manager di assegnare autorizzazioni ai profili dell'istanza esistenti. Questa procedura è necessaria per garantire che siano presenti le autorizzazioni necessarie per la comunicazione di Systems Manager con l'SSM Agent sulle istanze EC2.
È anche possibile collegare `AWSQuickSetupManagedInstanceProfileExecutionPolicy` alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ssm`: consente alle entità principali di avviare flussi di lavoro di automazione associati ai processi di Quick Setup.
+ `ec2`: consente alle entità principali di collegare i profili dell'istanza IAM alle istanze EC2 gestite da Quick Setup.
+ `iam`: consente alle entità principali di creare, aggiornare e recuperare informazioni sui ruoli di IAM utilizzati nei processi di Quick Setup, di creare profili dell'istanza IAM e di collegare la policy gestita `AmazonSSMManagedInstanceCore` ai profili dell'istanza IAM.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSQuickSetupManagedInstanceProfileExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManagedInstanceProfileExecutionPolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: AWSQuick SetupManage JITNAResources ExecutionPolicy
La policy gestita `AWSQuickSetupManageJITNAResourcesExecutionPolicy` consenteQuick Setup, uno strumento di Systems Manager, di configurare l'accesso ai just-in-time nodi.
È anche possibile collegare `AWSQuickSetupManageJITNAResourcesExecutionPolicy` alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.
Questa politica concede autorizzazioni amministrative che consentono di Systems Manager creare risorse associate all'accesso ai just-in-time nodi.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ssm`— Consente ai responsabili di ottenere e aggiornare l'impostazione del servizio che specifica il provider di identità per l'accesso ai nodi. just-in-time
+ `iam`— Consente ai responsabili di creare, etichettare e ottenere ruoli, allegare politiche di ruolo per le politiche di gestione dell'accesso ai just-in-time nodi e creare ruoli collegati ai servizi per just-in-time l'accesso ai nodi e le notifiche.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSQuickSetupManageJITNAResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManageJITNAResourcesExecutionPolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: configurazione AWSQuick JITNADeployment RolePolicy
La policy gestita `AWSQuickSetupJITNADeploymentRolePolicy` consente di Quick Setup implementare il tipo di configurazione richiesto per configurare l'accesso al just-in-time nodo.
È anche possibile collegare `AWSQuickSetupJITNADeploymentRolePolicy` alle entità IAM. Systems Manager collega questa policy anche a un ruolo di servizio che consente a Systems Manager di eseguire operazioni per conto dell'utente.
Questa politica concede autorizzazioni amministrative che consentono di Systems Manager creare risorse associate just-in-time all'accesso ai nodi.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `cloudformation`— Consente ai principali di creare, aggiornare, eliminare e leggere gli stack. CloudFormation
+ `ssm`— Consente ai principali di creare, eliminare, aggiornare e leggere State Manager le associazioni richiamate da. CloudFormation
+ `iam`— Consente ai responsabili di creare, eliminare, leggere e contrassegnare i ruoli IAM chiamati da. CloudFormation
Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta la sezione [AWSQuickConfigurazione JITNADeployment RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupJITNADeploymentRolePolicy.html) nella *AWS Managed Policy Reference Guide*.
## AWS politica gestita: AWSSystems ManagerJustInTimeAccessServicePolicy
La policy gestita `AWSSystemsManagerJustInTimeAccessServicePolicy` fornisce l'accesso alle AWS risorse gestite o utilizzate dal framework di AWS Systems Manager just-in-time accesso. Questo aggiornamento della policy aggiunge le autorizzazioni all'aggiunta di tag in modalità di esecuzione automatica, per consentire ai clienti di limitare le autorizzazioni degli operatori a tag specifici.
Non è possibile collegare `AWSSystemsManagerJustInTimeAccessServicePolicy` alle entità IAM. Questa policy è associata a un ruolo collegato ai servizi che consente a Systems Manager di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo dei ruoli per abilitare l'accesso ai just-in-time nodi](using-service-linked-roles-service-action-8.md).
Questa politica concede autorizzazioni amministrative che consentono l'accesso alle risorse associate all'accesso ai just-in-time nodi.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ssm`: consente alle unità principali di creare e gestire OpsItems, aggiungere tag a OpsItems e automatizzare le esecuzioni, ottenere e aggiornare OpsItems, recuperare e descrivere documenti, descrivere OpsItems e sessioni, elencare documenti e tag per le istanze gestite.
+ `ssm-guiconnect`: consente alle entità principali di elencare le connessioni.
+ `identitystore`— Consente ai responsabili di ottenere utenti e gruppi IDs, descrivere gli utenti ed elencare i membri dei gruppi.
+ `sso-directory`: consente alle entità principali di descrivere gli utenti e determinare se un utente è membro di un gruppo.
+ `sso`: consente alle entità principeli di descrivere le Regioni registrate ed elencare le istanze e le associazioni di directory.
+ `cloudwatch`: consente alle entità principali di inserire dati metrici per l'`AWS/SSM/JustInTimeAccess` namespace.
+ `ec2`: consente alle entità principali di descrivere i tag.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSSystemsManagerJustInTimeAccessServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessServicePolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: AWSSystems ManagerJustInTimeAccessTokenPolicy
La policy gestita `AWSSystemsManagerJustInTimeAccessTokenPolicy` fornisce le autorizzazioni agli utenti per stabilire connessioni sicure alle istanze Amazon EC2 e alle istanze gestite tramite connessioni RDP di Session Manager Systems Manager GUI Connect come parte dei flussi di lavoro di accesso ai nodi. just-in-time
È possibile collegare `AWSSystemsManagerJustInTimeAccessTokenPolicy` alle entità IAM.
Questa policy concede le autorizzazioni dei contributori che consentono agli utenti di avviare e gestire sessioni sicure, stabilire connessioni RDP ed eseguire le operazioni crittografiche necessarie per l'accesso ai nodi. just-in-time
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ssm`— Consente ai responsabili di avviare Session Manager sessioni su istanze Amazon EC2 e istanze gestite utilizzando il documento SSM-. SessionManagerRunShell Consente inoltre di terminare e riprendere le sessioni, recuperare i dettagli di invocazione dei comandi e inviare comandi alle istanze per la configurazione degli utenti SSO quando vengono chiamate tramite Systems Manager GUI Connect. Inoltre, consente di avviare sessioni di port forwarding per le connessioni RDP quando vengono chiamate tramite Systems Manager GUI Connect.
+ `ssmmessages`— Consente ai responsabili di aprire canali di dati per comunicazioni sicure durante le sessioni. Session Manager
+ `ssm-guiconnect`— Consente ai responsabili di avviare, ottenere dettagli e annullare le connessioni RDP di Systems Manager GUI Connect alle istanze.
+ `kms`— Consente ai responsabili di generare chiavi di dati per la Session Manager crittografia e di creare concessioni per le connessioni RDP. Queste autorizzazioni sono limitate alle chiavi contrassegnate con. AWS KMS `SystemsManagerJustInTimeNodeAccessManaged=true` La creazione di sovvenzioni è ulteriormente limitata all'utilizzo solo tramite il servizio Systems Manager GUI Connect.
+ `sso`— Consente ai responsabili di elencare le associazioni di directory quando vengono chiamati tramite Systems Manager GUI Connect. Ciò è necessario per la configurazione utente RDP SSO.
+ `identitystore`— Consente ai responsabili di descrivere gli utenti nell'archivio di identità quando vengono chiamati tramite Systems Manager GUI Connect. Ciò è necessario per la configurazione utente RDP SSO.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSSystemsManagerJustInTimeAccessTokenPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenPolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: AWSSystems ManagerJustInTimeAccessTokenSessionPolicy
La policy gestita `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` consente di Systems Manager applicare autorizzazioni limitate a un token di accesso al just-in-time nodo.
È possibile collegare `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` alle entità IAM.
Questa politica concede autorizzazioni amministrative che consentono di limitare le autorizzazioni Systems Manager per i token di accesso ai nodi. just-in-time
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ssm`: consente alle entità principali di avviare sessioni Session Managerutilizzando il documento `SSM-SessionManagerRunShell`. Inoltre, quando vengono chiamati per la prima volta tramite `ssm-guiconnect`, avvia le sessioni utilizzando il documento `AWS-StartPortForwardingSession`, elenca le chiamate ai comandi e invia i comandi utilizzando il documento `AWSSSO-CreateSSOUser`.
+ `ssm-guiconnect`: consente alle entità principali di annullare, ottenere e avviare connessioni su tutte le risorse.
+ `kms`— Consente ai mandanti di creare concessioni e generare chiavi di dati per le chiavi contrassegnate `SystemsManagerJustInTimeNodeAccessManaged` quando vengono chiamate tramite un servizio. `ssm-guiconnect` AWS
+ `sso`: consente alle entità principali di elencare associazioni di directory se chiamate tramite `ssm-guiconnect`.
+ `identitystore`: consente alle entità principali di descrivere un utente se chiamato tramite `ssm-guiconnect`.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenSessionPolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: AWSSystems ManagerJustInTimeNodeAccessRolePropagationPolicy
La policy gestita `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` consente a Systems Manager di condividere le policy di negazione dell'accesso dall'account amministratore delegato agli account membri e di replicare le policy su più Regioni AWS.
È possibile collegare `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` alle entità IAM.
Questa policy fornisce le autorizzazioni amministrative necessarie a Systems Manager per condividere e creare policy di negazione dell'accesso. Ciò garantisce che le politiche di negazione dell'accesso vengano applicate a tutti gli account di un' AWS Organizations organizzazione e alle regioni configurate per l'accesso ai just-in-time nodi.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ssm`: consente alle entità principali di gestire documenti SSM e policy delle risorse.
+ `ssm-quicksetup`: consente alle entità principali di leggere i gestori di configurazione di Quick Setup.
+ `organizations`: consente alle unità principali di elencare i dettagli su un'organizzazione AWS Organizations e sugli amministratori delegati.
+ `ram`: consente alle entità principali di creare, assegnare tag e descrivere le condivisioni di risorse.
+ `iam`: consente alle entità principali di descrivere un ruolo di servizio.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: AWSSystems ManagerNotificationsServicePolicy
La policy gestita `AWSSystemsManagerNotificationsServicePolicy` consente di Systems Manager inviare notifiche e-mail per le richieste di accesso ai just-in-time nodi agli approvatori delle richieste di accesso.
Non è possibile collegare `AWSSystemsManagerJustInTimeAccessServicePolicy` alle entità IAM. Questa policy è associata a un ruolo collegato ai servizi che consente a Systems Manager di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo dei ruoli per inviare notifiche di richiesta di accesso ai just-in-time nodi](using-service-linked-roles-service-action-9.md).
Questa politica concede autorizzazioni amministrative che consentono di inviare notifiche e-mail per le richieste di accesso Systems Manager al just-in-time nodo agli approvatori delle richieste di accesso.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `identitystore`: consente alle entità principali di elencare e descrivere gli utenti e l'appartenenza ai gruppi.
+ `sso`: consente alle unità principali di elencare istanze, directory e descrivere le Regioni registrate.
+ `sso-directory`: consente alle unità principali di descrivere utenti ed elencare membri in un gruppo.
+ `iam`: consente alle entità principali di ottenere informazioni sui ruoli.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSSystemsManagerNotificationsServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerNotificationsServicePolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: AWS-SSM-Automation-DiagnosisBucketPolicy
La policy gestita `AWS-SSM-Automation-DiagnosisBucketPolicy` fornisce le autorizzazioni per la diagnosi dei problemi con i nodi che interagiscono con i AWS Systems Manager servizi, consentendo l'accesso ai bucket S3 utilizzati per la diagnosi e la risoluzione dei problemi.
È possibile allegare la policy `AWS-SSM-Automation-DiagnosisBucketPolicy` alle identità IAM. Systems Manager collega questa policy anche a un ruolo IAM che consente a Systems Manager di eseguire operazioni di diagnosi per conto dell'utente.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `s3`: consente alle entità principali l'accesso e la scrittura di oggetti in un bucket Amazon S3.
*Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta [AWS-SSM-Automation- DiagnosisBucketPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-Automation-DiagnosisBucketPolicy.html) nella Managed Policy Reference Guide.AWS *
## AWS politica gestita: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy
La policy gestita `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` fornisce le autorizzazioni per consentire a un account operativo di diagnosticare problemi con i nodi fornendo autorizzazioni specifiche dell'organizzazione.
È possibile allegare la policy `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` alle identità IAM. Systems Manager collega questa policy anche a un ruolo IAM che consente a Systems Manager di eseguire operazioni di diagnosi per conto dell'utente.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `organizations`: consente alle entità principali di elencare i root dell'organizzazione e di ottenere gli account dei membri per determinare gli account di destinazione.
+ `sts`: consente alle entità principali di assumere ruoli di esecuzione di correzione per eseguire i documenti di Automazione SSM su più account e Regioni, all'interno della stessa organizzazione.
Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta [AWS-SSM- RemediationAutomation - OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy.html) nella *AWS Managed* Policy Reference Guide.
## AWS politica gestita: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy
La policy gestita `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` fornisce le autorizzazioni per consentire a un account operativo di diagnosticare problemi con i nodi fornendo autorizzazioni specifiche dell'organizzazione.
È possibile allegare la policy `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` alle identità IAM. Systems Manager collega questa policy anche a un ruolo IAM che consente a Systems Manager di eseguire operazioni di diagnosi per conto dell'utente.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `organizations`: consente alle entità principali di elencare i root dell'organizzazione e di ottenere gli account membro per determinare gli account di destinazione.
+ `sts`: consente alle entità principali di assumere ruoli di esecuzione di diagnosi per eseguire i documenti di automazione SSM su più account e Regioni, all'interno della stessa organizzazione.
Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta [AWS-SSM- DiagnosisAutomation - OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy.html) nella *AWS Managed* Policy Reference Guide.
## Systems Manageraggiornamenti alle politiche gestite AWS
Nella tabella seguente, visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite Systems Manager da quando questo servizio ha iniziato a tenere traccia di queste modifiche il 12 marzo 2021. Per informazioni su altre policy gestite per il servizio Systems Manager, consulta [Polity gestite aggiuntive per Systems Manager](#policies-list) più avanti. Per gli avvisi automatici sulle modifiche apportate a questa pagina, sottoscrivere il feed RSS nella pagina [Cronologia dei documenti](systems-manager-release-history.md) di Systems Manager.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [Amazon SSMAutomation Role](#security-iam-awsmanpol-AmazonSSMAutomationRole) — Aggiornamento a una policy esistente | Systems Managerha aggiunto le `cloudformation:UntagResource` autorizzazioni `cloudformation:TagResource` e. Queste autorizzazioni consentono ai runbook di automazione che creano CloudFormation stack di aggiungere e rimuovere tag dalle risorse. | 20 marzo 2026 |
| [AWS-SSM- DiagnosisAutomation - ExecutionRolePolicy — Politica gestita](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) aggiornata | Systems Managerha aggiornato la policy gestita per aggiungere ulteriori autorizzazioni EC2 e SSM per funzionalità di diagnosi avanzate. La policy ora include le autorizzazioni per descrivere lo stato e la rete delle istanze EC2 ACLs, nonché le attivazioni SSM e le impostazioni dei servizi, fornendo informazioni diagnostiche più complete per la risoluzione dei problemi dei nodi gestiti. | 19 dicembre 2025 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)— Politica gestita aggiornata | Systems Managerha aggiornato la politica gestita `AWSQuickSetupDeploymentRolePolicy` per aggiungere il supporto per due documenti SSM aggiuntivi: `AWSQuickSetupType-ConfigureDevOpsGuru` e`AWSQuickSetupType-DeployConformancePack`. Queste aggiunte consentono di Quick Setup implementare le configurazioni DevOps Guru e i pacchetti di conformità tramite la policy. | 15 dicembre 2025 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy): aggiornamento di una policy esistente | Systems Managerha aggiornato la politica `AWSSystemsManagerJustInTimeAccessTokenPolicy` gestita. L'istruzione (`SID`) `TerminateAndResumeSession` è stata rinominata `TerminateAndResumeSessionAndOpenDataChannel` e ora include l'`ssmmessages:OpenDataChannel`azione, che combina la gestione delle sessioni e le autorizzazioni del canale dati in un'unica istruzione. | 25 settembre 2025 |
| Politiche gestite aggiornate: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/security-iam-awsmanpol.html) | Systems Managerha aggiornato tre policy gestite per aggiungere il supporto per l'avvio delle esecuzioni di Automation su risorse Systems Manager aggiuntive, inclusi runbook di automazione specifici e documenti SSM Command. | 12 settembre 2025 |
| [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy)— Politica gestita aggiornata | Systems Managerha aggiornato la politica gestita per perfezionare le autorizzazioni per la configurazione dello Quick Setup scheduler. La policy ora fornisce autorizzazioni più specifiche per l'avvio e l'arresto delle istanze Amazon EC2, l'accesso ai calendari delle modifiche e l'esecuzione di documenti di automazione con condizioni di sicurezza avanzate. | 12 settembre 2025 |
| [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy)— Policy gestita aggiornata | Systems Managerha aggiornato la politica gestita per modificare il documento di automazione da `AWSQuickSetupType-StartSSMAssociations` a`AWSQuickSetupType-Scheduler-ChangeCalendarState`. Questo aggiornamento modifica lo scopo della policy dall'avvio delle associazioni SSM alla gestione degli stati del calendario di modifica per le operazioni pianificate. | 12 settembre 2025 |
| [Amazon SSMAutomation Role](#security-iam-awsmanpol-AmazonSSMAutomationRole) — Aggiornamento a una policy esistente | Systems Manager ha aggiunto nuove autorizzazioni per consentire ai runbook di Automazione di stabilire canali di comunicazione per le operazioni basate sulla sessione. Autorizzazione `ssmmessages:OpenDataChannel` per la risorsa `arn:*:ssm:*:*:session/*` aggiunta. | 11 settembre 2025 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)— Politica gestita aggiornata | Systems Manager ha aggiornato la policy gestita per aggiungere autorizzazioni di etichettatura di esecuzione dell'automazione. Il servizio deve etichettare le esecuzioni di automazione con il tag `SystemsManagerJustInTimeNodeAccessManaged=true` per consentire ai clienti di limitare le autorizzazioni degli operatori a tag specifici. | 25 agosto 2025 |
| [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy): nuova policy | Systems Manager ha aggiunto una nuova policy per consentire a Quick Setup di eseguire il runbook di `AWSQuickSetupType-StartSSMAssociations` di Automazione. Questo runbook viene utilizzato per avviare le associazioni State Manager create dalle configurazioni Quick Setup. | 12 agosto 2025 |
| [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy): nuova policy | Systems Manager ha aggiunto una nuova policy per consentire a Quick Setup l'avvio e l'interruzione delle istanze Amazon EC2 in base a una pianificazione. Questa policy fornisce le autorizzazioni necessarie per il tipo di configurazione del pianificatore di Quick Setup per gestire lo stato dell'istanza in base a pianificazioni definite. | 12 agosto 2025 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)— Aggiornamento della documentazione | Systems Manager ha aggiornato la policy di `AWSQuickSetupDeploymentRolePolicy` gestita per concedere autorizzazioni per risorse aggiuntive. Inoltre, la documentazione di `AWSQuickSetupDeploymentRolePolicy` è stata aggiornata con descrizioni più dettagliate delle autorizzazioni concesse da questa policy per le operazioni di gestione della configurazione di Quick Setup. | 12 agosto 2025 |
| [AWS-SSM- RemediationAutomation - ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) — Aggiornamento a una policy esistente | Systems Managerha aggiornato la politica gestita per migliorare il livello di sicurezza dell'StartAutomationExecution API ssm: richiedendo le autorizzazioni per i tipi di risorse «documento» e «esecuzione automatica». La policy aggiornata fornisce autorizzazioni più complete e dettagliate per l'esecuzione dell'automazione di riparazione, tra cui descrizioni migliorate delle funzionalità di riparazione della rete, autorizzazioni più specifiche per la creazione di endpoint Amazon VPC, autorizzazioni dettagliate per la gestione dei gruppi di sicurezza e controlli migliorati di etichettatura delle risorse per le operazioni di riparazione. | 16 luglio 2025 |
| [AWS-SSM- RemediationAutomation - AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy) — Aggiornamento a una policy esistente | Systems Manager ha aggiornato la policy gestita per supportare i miglioramenti delle autorizzazioni delle API per le operazioni di automazione della riparazione. La policy aggiornata migliora le autorizzazioni per l'esecuzione delle attività definite nei documenti di Automazione, con controlli di sicurezza e modelli di accesso alle risorse migliorati per i flussi di lavoro di riparazione. | 16 luglio 2025 |
| [AWS-SSM- DiagnosisAutomation - ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) — Aggiornamento a una policy esistente | Systems Manager ha aggiornato la policy gestita per fornire autorizzazioni più dettagliate e accurate per l'esecuzione dell'automazione della diagnosi. La policy aggiornata include descrizioni migliorate per l'accesso alle risorse Amazon EC2 e Amazon VPC, autorizzazioni di automazione SSM più specifiche e descrizioni delle autorizzazioni IAM AWS KMS e migliorate con adeguate restrizioni sulle risorse. | 16 luglio 2025 |
| [AWS-SSM- DiagnosisAutomation - AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy) — Aggiornamento a una policy esistente | Systems Manager ha aggiornato la policy gestita per fornire autorizzazioni e condizioni di sicurezza più specifiche per le operazioni di automazione della diagnosi. La policy aggiornata fornisce controlli di sicurezza avanzati per l'utilizzo delle AWS KMS chiavi, l'accesso ai bucket Amazon S3 e le ipotesi di ruolo, con condizioni più rigorose basate sulle risorse e restrizioni a livello di account. | 16 luglio 2025 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)— Aggiornamento a una policy | Systems Managerha aggiunto le autorizzazioni alla policy gestita `AWSQuickSetupDeploymentRolePolicy` per l'accesso al [AWSQuickSetupType-ManageInstanceProfile](https://console.aws.amazon.com/systems-manager/documents/AWSQuickSetupType-ManageInstanceProfile/content)runbook di proprietà di Amazon. Questa autorizzazione consente a Quick Setup di creare associazioni utilizzando la policy gestita anziché le policy in linea. | 14 luglio 2025 |
| [Amazon SSMAutomation Role](#security-iam-awsmanpol-AmazonSSMAutomationRole) — Aggiornamento della documentazione | Systems Manager ha aggiunto una documentazione completa relativa alla policy `AmazonSSMAutomationRole` esistente, che fornisce le autorizzazioni per il servizio di Automazione di Systems Manager che esegue attività definite all'interno dei runbook di Automazione. | 15 luglio 2025 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)— Aggiornamento di una policy | Systems Managerha aggiunto autorizzazioni per consentire di Systems Manager etichettare una risorsa condivisa da AWS Resource Access Manager per l'accesso al just-in-time nodo. | 30 aprile 2025 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)— Aggiornamento a una politica | Systems Managerautorizzazioni aggiunte per consentire di Systems Manager etichettare i ruoli IAM creati per l'accesso ai just-in-time nodi. | 30 aprile 2025 |
| [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy): nuova policy | Systems Managerha aggiunto una nuova policy per consentire di Systems Manager applicare autorizzazioni limitate a un token di accesso al just-in-time nodo. | 30 aprile 2025 |
| [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy): nuova policy | Systems Managerha aggiunto una nuova politica per consentire Systems Manager l'invio di notifiche e-mail per le richieste di accesso al just-in-time nodo agli approvatori delle richieste di accesso. | 30 aprile 2025 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy): nuova policy | Systems Manager ha aggiunto una nuova policy per consentire a Systems Manager di replicare le policy di approvazione in diverse Regioni. | 30 aprile 2025 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy): nuova policy | Systems Managerha aggiunto una nuova politica per consentire di Systems Manager generare token di accesso utilizzati per just-in-time l'accesso ai nodi. | 30 aprile 2025 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy): nuova policy | Systems Managerha aggiunto una nuova politica per fornire le autorizzazioni alle AWS risorse gestite o utilizzate dalla funzionalità di accesso al just-in-time nodo Systems Manager. | 30 aprile 2025 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy): nuova policy | Systems Managerha aggiunto una nuova policy per consentireQuick Setup, uno strumento in Systems Manager, di creare i ruoli IAM necessari per l'accesso ai just-in-time nodi. | 30 aprile 2025 |
| [AWSQuickConfigurazione JITNADeployment RolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy): nuova politica | Systems Managerha aggiunto una nuova politica che fornisce le autorizzazioni che consentono di Quick Setup implementare il tipo di configurazione richiesto per configurare l'accesso al just-in-time nodo. | 30 aprile 2025 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)— Aggiornamento a una politica | Systems Managerha aggiunto autorizzazioni per consentire di Systems Manager etichettare una risorsa condivisa da AWS Resource Access Manager per l'accesso al just-in-time nodo. | 30 aprile 2025 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)— Aggiornamento a una politica | Systems Managerautorizzazioni aggiunte per consentire di Systems Manager etichettare i ruoli IAM creati per l'accesso ai just-in-time nodi. | 30 aprile 2025 |
| [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy): nuova policy | Systems Managerha aggiunto una nuova policy per consentire di Systems Manager applicare autorizzazioni limitate a un token di accesso al just-in-time nodo. | 30 aprile 2025 |
| [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy): nuova policy | Systems Managerha aggiunto una nuova politica per consentire Systems Manager l'invio di notifiche e-mail per le richieste di accesso al just-in-time nodo agli approvatori delle richieste di accesso. | 30 aprile 2025 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy): nuova policy | Systems Manager ha aggiunto una nuova policy per consentire a Systems Manager di replicare le policy di approvazione in diverse Regioni. | 30 aprile 2025 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy): nuova policy | Systems Managerha aggiunto una nuova politica per consentire di Systems Manager generare token di accesso utilizzati per just-in-time l'accesso ai nodi. | 30 aprile 2025 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy): nuova policy | Systems Managerha aggiunto una nuova politica per fornire le autorizzazioni alle AWS risorse gestite o utilizzate dalla funzionalità di accesso al just-in-time nodo Systems Manager. | 30 aprile 2025 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy): nuova policy | Systems Managerha aggiunto una nuova policy per consentireQuick Setup, uno strumento in Systems Manager, di creare i ruoli IAM necessari per l'accesso ai just-in-time nodi. | 30 aprile 2025 |
| [AWSQuickConfigurazione JITNADeployment RolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy): nuova politica | Systems Managerha aggiunto una nuova politica che fornisce le autorizzazioni che consentono di Quick Setup implementare il tipo di configurazione richiesto per configurare l'accesso al just-in-time nodo. | 30 aprile 2025 |
| [`AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy): nuova policy | Systems Manager ha aggiunto una nuova policy che autorizza un account operativo a diagnosticare problemi con i nodi, fornendo autorizzazioni specifiche dell'organizzazione. | 21 novembre 2024 |
| [`AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy): nuova policy | Systems Manager ha aggiunto una nuova policy che autorizza un account operativo a diagnosticare problemi con i nodi, fornendo autorizzazioni specifiche dell'organizzazione. | 21 novembre 2024 |
| [`AWS-SSM-Automation-DiagnosisBucketPolicy`](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy): nuova policy | Systems Manager ha aggiunto una nuova policy per supportare l'avvio di flussi di lavoro di automazione che diagnosticano i problemi con i nodi gestiti in account e Regioni specifici. | 21 novembre 2024 |
| [`AmazonSSMServiceRolePolicy`](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy): aggiornamento di una policy esistente | Systems Managerha aggiunto nuove autorizzazioni per consentire Esploratore di risorse AWS di raccogliere dettagli sulle istanze Amazon EC2 e visualizzare i risultati nei widget nella nuova dashboard. Systems Manager | 21 novembre 2024 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy): aggiornamento di una policy esistente | Systems Manager ha aggiornato la policy gestita SSMQuickSetupRolePolicy. Questi aggiornamenti consentono al ruolo AWSServiceRoleForSSMQuickSetup associato al servizio di gestire le sincronizzazioni dei dati delle risorse. | 21 novembre 2024 |
| [`AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy `](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy): nuova policy | Systems Manager ha aggiunto una nuova policy per supportare l'avvio di flussi di lavoro di automazione che diagnosticano i problemi con i nodi gestiti in account e Regioni specifici. | 21 novembre 2024 |
| [`AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy): nuova policy | Systems Manager ha aggiunto una nuova policy per supportare l'avvio di flussi di lavoro di automazione che diagnosticano i problemi con i nodi gestiti in un account e in una Regione specifici. | 21 novembre 2024 |
| [`AWS-SSM-RemediationAutomation-AdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy): nuova policy | Systems Manager ha aggiunto una nuova policy per supportare l'avvio di flussi di lavoro di automazione che risolvono i problemi nei nodi gestiti in account e Regioni specifici. | 21 novembre 2024 |
| [`AWS-SSM-RemediationAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy): nuova policy | Systems Manager ha aggiunto una nuova policy per supportare l'avvio di flussi di lavoro di automazione che risolvono i problemi nei nodi gestiti in un account e in una Regione specifici. | 21 novembre 2024 |
| [AWSQuickConfigurazione SSMDeploymentRolePolicy: aggiornamento](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy) a una policy | Systems Manager ha aggiunto le autorizzazioni per consentire a Systems Manager di etichettare i ruoli IAM e Lambda creati per la console unificata. | 7 maggio 2025 |
| [`AWSQuickSetupSSMManageResourcesExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy): nuova policy | Systems Manager ha aggiunto una nuova policy per supportare l'esecuzione di un'operazione in Quick Setup che crea ruoli IAM per le associazioni di Quick Setup, che a loro volta vengono creati da un'implementazione AWSQuickSetupType-SSM. | 21 novembre 2024 |
| [`AWSQuickSetupSSMLifecycleManagementExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy): nuova policy | Systems Manager ha aggiunto una nuova policy per supportare l'Quick Setupesecuzione di una risorsa CloudFormation personalizzata sugli eventi del ciclo di vita durante una Quick Setup distribuzione. | 21 novembre 2024 |
| [`AWSQuickSetupSSMDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy): nuova policy | Systems Manager ha aggiunto una nuova policy per supportare la concessione di autorizzazioni amministrative che consentono a Quick Setup di creare risorse da utilizzare durante il processo di onboarding di Systems Manager. | 21 novembre 2024 |
| [`AWSQuickSetupSSMDeploymentS3BucketRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy): nuova policy | Systems Manager ha aggiunto una nuova policy per supportare la gestione e il recupero di informazioni su bucket specifici nell'account principale gestiti tramite modelli. CloudFormation | 21 novembre 2024 |
| [`AWSQuickSetupEnableDHMCExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy): nuova policy | Systems Manager sta introducendo una nuova policy per consentire a Quick Setup di creare un ruolo IAM che a sua volta utilizza quello esistente [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy). Questa policy contiene tutte le autorizzazioni necessarie all'SSM Agent per comunicare con il servizio Systems Manager. La nuova policy consente inoltre di modificare le impostazioni del servizio Systems Manager. | 21 novembre 2024 |
| [`AWSQuickSetupEnableAREXExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy): nuova policy | Systems Manager ha aggiunto una nuova policy per consentire la creazione di un ruolo collegato Quick Setup al servizio per l'accesso alle viste e agli Esploratore di risorse AWS indici di aggregazione di Resource Explorer. | 21 novembre 2024 |
| [`AWSQuickSetupManagedInstanceProfileExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy): nuova policy | Systems Manager ha aggiunto una nuova policy per consentire a Quick Setup di creare un profilo dell'istanza predefinito in Quick Setup e di collegarlo a qualsiasi istanza Amazon EC2 priva di un profilo dell'istanza associato. Questa nuova policy consente inoltre a Quick Setup di collegare le autorizzazioni ai profili esistenti, garantendo che tutte le autorizzazioni necessarie di Systems Manager siano state concesse. | 21 novembre 2024 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy): aggiornamento di una policy esistente | Systems Managerha aggiunto nuove autorizzazioni per consentire di Quick Setup verificare lo stato dei set di AWS CloudFormation stack aggiuntivi che ha creato. | 13 agosto 2024 |
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy): aggiornamento di una policy esistente | Systems Managerha aggiunto una dichiarazione IDs (Sids) alla politica JSON per. AmazonSSMManagedEC2InstanceDefaultPolicy Questi Sid forniscono descrizioni in linea dello scopo di ciascuna dichiarazione di policy. | 18 luglio 2024 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy): nuova policy | Systems Manager ha aggiunto una nuova policy per consentire a Quick Setup di verificare lo stato delle risorse implementate e correggere le istanze con deviazioni dalla configurazione originale. | 3 luglio 2024 |
| [`AWSQuickSetupDeploymentRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy): nuova policy | Systems Manager ha aggiunto una nuova policy per supportare più tipi di Configurazione rapida che creano ruoli e automazioni IAM, che a loro volta configurano i servizi e le funzionalità di Amazon Web Services usati di frequente con le best practice consigliate. | 3 luglio 2024 |
| [`AWSQuickSetupPatchPolicyDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy) - Nuova policy | Systems Manager ha aggiunto una nuova policy per consentire a Quick Setup di creare risorse associate con le configurazioni in Quick Setup delle policy di patch di Patch Manager. | 3 luglio 2024 |
| [AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess): nuova policy | Systems Manager ha aggiunto una nuova policy per consentire a Quick Setup di accedere alle baseline delle patch in Patch Manager con autorizzazioni di sola lettura. | 3 luglio 2024 |
| [AWSSystemsManagerEnableExplorerExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy): nuova policy | Systems Manager ha aggiunto una nuova policy per consentire a Quick Setup di concedere le autorizzazioni amministrative per l'abilitazione di Explorer. | 3 luglio 2024 |
| [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy): nuova policy | Systems Managerha aggiunto una nuova politica per consentire di Quick Setup abilitare e configurare la registrazione AWS Config della configurazione. | 3 luglio 2024 |
| [AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary): nuova policy | Systems Managerha aggiunto una nuova policy per consentire di Quick Setup abilitare e configurare Amazon DevOps Guru. | 3 luglio 2024 |
| [AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary): nuova policy | Systems Managerha aggiunto una nuova policy per consentire di Quick Setup abilitare e configurare Distributor, uno strumento in. AWS Systems Manager | 3 luglio 2024 |
| [AWSQuickConfigurazione SSMHost MgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary): nuova politica | Systems Managerha aggiunto una nuova policy per consentire di Quick Setup abilitare e configurare gli strumenti di Systems Manager per la gestione sicura delle istanze Amazon EC2. | 3 luglio 2024 |
| [AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary): nuova policy | Systems Manager ha aggiunto una nuova policy per consentire a Quick Setup di abilitare e configurare le policy di patch in Patch Manager, uno strumento di AWS Systems Manager. | 3 luglio 2024 |
| [AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary): nuova policy | Systems Manager ha aggiunto una nuova policy per consentire a Quick Setup di abilitare e configurare le operazioni pianificate su istanze Amazon EC2 e altre risorse. | 3 luglio 2024 |
| [AWSQuickConfigurazione CFGCPacks PermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary): nuova politica | Systems Manager ha aggiunto una nuova policy per consentire a Quick Setup di implementare i pacchetti di conformità AWS Config . | 3 luglio 2024 |
| [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy): aggiornamento di una policy esistente | OpsCenterha aggiornato la policy per migliorare la sicurezza del codice di servizio nell'ambito del ruolo collegato al servizio Explorer per la gestione delle operazioni OpsData correlate. | 3 luglio 2023 |
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy): nuova policy | Systems Manager ha aggiunto una nuova policy per consentire la funzionalità Systems Manager nelle istanze Amazon EC2 senza l'uso di un profilo dell'istanza IAM. | 18 agosto 2022 |
| [Amazon SSMService RolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy): aggiornamento a una politica esistente | Systems Managersono state aggiunte nuove autorizzazioni Explorer per consentire la creazione di una regola gestita quando si attiva Security Hub CSPM da o. Explorer OpsCenter Sono state aggiunte nuove autorizzazioni per verificare che config e compute-optimizer soddisfino i requisiti necessari prima di consentire. OpsData | 27 aprile 2021 |
| [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy): nuova policy | Systems Managerha aggiunto una nuova politica per creare e aggiornare OpsItems e OpsData dai risultati CSPM di Security Hub in Explorer e. OpsCenter | 27 aprile 2021 |
| `AmazonSSMServiceRolePolicy`: aggiornamento di una policy esistente | Systems Managerha aggiunto nuove autorizzazioni per consentire la visualizzazione aggregata e dei OpsItems dettagli da più account OpsData e in entrata. Regioni AWS Explorer | 24 marzo 2021 |
| Systems ManagerRilevamento delle modifiche | Systems Managerha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 12 marzo 2021 |
## Polity gestite aggiuntive per Systems Manager
Oltre alle policy gestite descritte in precedenza in questo argomento, Systems Manager supporta anche le policy seguenti.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html): policy gestita da AWS di attendibilità dell'utente che consente l'accesso per visualizzare le esecuzioni delle automazioni e inviare le decisioni di approvazione all'automazione in attesa di approvazione.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html)— politica AWS gestita che consente di accedere SSM Agent per Directory Service conto dell'utente alle richieste di adesione al dominio da parte del nodo gestito.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html)— policy AWS gestita che garantisce l'accesso completo all'Systems ManagerAPI e ai documenti.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html): policy gestita da AWS che fornisce alle finestre di manutenzione le autorizzazioni per API di Systems Manager.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html): policy gestita da AWS che consente a un nodo di utilizzare la funzionalità principale del servizio di Systems Manager.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html): policy gestita da AWS che fornisce l'accesso alle istanze secondarie per le operazioni di applicazione di patch.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html): policy gestita da AWS che consente l'accesso alle operazioni API di Systems Manager in sola lettura, come `Get*` and `List*`.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html)— politica AWS gestita che fornisce le autorizzazioni per la creazione e l'aggiornamento di informazioni *OpsItems*operative in. Systems Manager Utilizzata per fornire autorizzazioni tramite il ruolo collegato al servizio [`AWSServiceRoleForAmazonSSM_OpsInsights`](using-service-linked-roles-service-action-4.md).
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html)— policy AWS gestita che concede a Systems Manager l'autorizzazione a scoprire Account AWS informazioni.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html): questa policy non è più supportata e non deve essere utilizzata. Al suo posto, utilizza la policy `AmazonSSMManagedInstanceCore` per consentire la funzionalità di base del servizio Systems Manager sulle istanze EC2. Per informazioni, consulta la pagina [Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager](setup-instance-permissions.md).
# Risoluzione dei problemi di identità e accesso in AWS Systems Manager
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con AWS Systems Manager and AWS Identity and Access Management (IAM).
**Topics**
+ [Non sono autorizzato a eseguire un’operazione in Systems Manager](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie Systems Manager risorse](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un’operazione in Systems Manager
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L’amministratore è colui che ti ha fornito le credenziali di accesso.
L'errore di esempio seguente si verifica quando l'utente `mateojackson` tenta di utilizzare la console per visualizzare i dettagli relativi a un documento, ma non dispone delle autorizzazioni `ssm:GetDocument`.
```
User: arn:aws:ssm::123456789012:user/mateojackson isn't authorized to perform: ssm:GetDocument on resource: MyExampleDocument
```
In questo caso, Mateo chiede al suo amministratore di aggiornare le policy per poter accedere alla risorsa `MyExampleDocument` mediante l'operazione `ssm:GetDocument`.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione `iam:PassRole`, le tue policy devono essere aggiornate per poter passare un ruolo a Systems Manager.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` cerca di utilizzare la console per eseguire un'operazione in Systems Manager. Tuttavia, l'operazione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie Systems Manager risorse
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per capire se Systems Manager supporta queste funzionalità, consulta [Funzionamento di AWS Systems Manager con IAM](security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM* User Guide.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
# Utilizzo di ruoli collegati ai servizi per Systems Manager
AWS Systems Managerutilizza ruoli [collegati ai servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato al servizio è un tipo di ruolo IAM univoco collegato direttamente a Systems Manager. I ruoli collegati ai servizi sono definiti automaticamente da Systems Manager e includono tutte le autorizzazioni richieste dal servizio per eseguire chiamate agli altri Servizi AWS per tuo conto.
**Nota**
Un *ruolo di servizio* è diverso da un ruolo collegato al servizio. Un ruolo di servizio è un tipo di ruolo AWS Identity and Access Management (IAM) che concede le autorizzazioni a un utente in Servizio AWS modo che il servizio possa accedere alle risorse. AWS Solo alcuni scenari di Systems Manager richiedono un ruolo di servizio. Quando si crea un ruolo di servizio per Systems Manager, si scelgono le autorizzazioni da concedere, affinché questo possa accedere o interagire con altre risorse AWS .
Un ruolo collegato ai servizi semplifica la configurazione di Systems Manager perché non dovrai più aggiungere manualmente le autorizzazioni necessarie. Systems Manager definisce le autorizzazioni dei relativi ruoli associati ai servizi e, salvo diversamente definito, Systems Manager potrà assumere solo i propri ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. Questa procedura protegge le risorse Systems Manager poiché impedisce la rimozione involontaria dell’autorizzazione ad accedere alle risorse.
**Nota**
Per i nodi non EC2 in un ambiente [ibrido e multicloud](operating-systems-and-machine-types.md#supported-machine-types), è necessario disporre di un ruolo IAM aggiuntivo che consenta alle macchine di comunicare con il servizio Systems Manager. Questo è il ruolo di servizio IAM per Systems Manager. Questo ruolo garantisce AWS Security Token Service (AWS STS) *AssumeRole*fiducia al servizio. Systems Manager L'operazione `AssumeRole` restituisce un set di credenziali di sicurezza temporanee (ovvero l'ID chiave di accesso, una chiave di accesso segreta e un token di sicurezza). Utilizzate queste credenziali temporanee per accedere a AWS risorse a cui normalmente non potreste avere accesso. Per ulteriori informazioni, consulta [Creare il ruolo di servizio IAM richiesto per Systems Manager in ambienti ibridi e multicloud](hybrid-multicloud-service-role.md) e [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)nel riferimento *[AWS Security Token Service API](https://docs.aws.amazon.com/STS/latest/APIReference/)*.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruoli collegati ai servizi**. Scegliere **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
**Topics**
+ [Utilizzo dei ruoli per raccogliere l'inventario e visualizzare OpsData](using-service-linked-roles-service-action-1.md)
+ [Utilizzo dei ruoli per raccogliere Account AWS informazioni per OpsCenter e Explorer](using-service-linked-roles-service-action-2.md)
+ [Usare i ruoli per creare OpsData e OpsItems per Explorer](using-service-linked-roles-service-action-3.md)
+ [Utilizzo dei ruoli per creare informazioni operative OpsItems in Systems Manager OpsCenter](using-service-linked-roles-service-action-4.md)
+ [Utilizzo dei ruoli per mantenere l'integrità e la coerenza delle risorse fornite da Quick Setup](using-service-linked-roles-service-action-5.md)
+ [Utilizzo dei ruoli per l'esportazione Explorer OpsData](using-service-linked-roles-service-action-6.md)
+ [Utilizzo dei ruoli per abilitare l'accesso ai just-in-time nodi](using-service-linked-roles-service-action-8.md)
+ [Utilizzo dei ruoli per inviare notifiche di richiesta di accesso ai just-in-time nodi](using-service-linked-roles-service-action-9.md)
# Utilizzo dei ruoli per raccogliere l'inventario e visualizzare OpsData
Systems Managerutilizza il ruolo collegato al servizio denominato. **`AWSServiceRoleForAmazonSSM`** AWS Systems Manager utilizza questo ruolo di servizio IAM per gestire AWS le risorse per tuo conto.
## autorizzazioni di ruolo collegate al servizio per l'inventario, e OpsData OpsItems
Il ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM` considera attendibile solo `ssm.amazonaws.com` ai fini dell'assunzione del ruolo.
È possibile utilizzare il ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM` di Systems Manager nei seguenti casi:
+ Lo strumento inventario di Systems Manager usa il ruolo collegato a un servizio `AWSServiceRoleForAmazonSSM` per raccogliere i metadati dell'inventario da tag e gruppi di risorse.
+ Lo Explorer strumento utilizza il ruolo collegato al servizio `AWSServiceRoleForAmazonSSM` per consentire la visualizzazione OpsData e da più account. OpsItems Questo ruolo collegato al servizio consente inoltre di Explorer creare una regola gestita quando si abilita Security Hub CSPM come origine dati da o. Explorer OpsCenter
**Importante**
In precedenza, la console Systems Manager offriva la possibilità di scegliere il ruolo collegato ai servizi IAM AWS gestito `AWSServiceRoleForAmazonSSM` da utilizzare come ruolo di manutenzione per le attività. Non è più consigliato utilizzare questo ruolo e la relativa policy associata, `AmazonSSMServiceRolePolicy`, per le attività della finestra di manutenzione. Se stai ancora utilizzando questo ruolo per le attività della finestra di manutenzione, ti invitiamo a interromperne l'utilizzo. Invece, crea il tuo ruolo IAM che abiliti la comunicazione tra Systems Manager e altri Servizi AWS quando vengono eseguite le attività della finestra di manutenzione.
Per ulteriori informazioni, consulta [Configurazione di Maintenance Windows](setting-up-maintenance-windows.md).
La policy gestita utilizzata per fornire le autorizzazioni per il ruolo `AWSServiceRoleForAmazonSSM` è `AmazonSSMServiceRolePolicy`. Per informazioni dettagliate sulle autorizzazioni necessarie, consulta [AWS politica gestita: Amazon SSMService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMServiceRolePolicy).
## Creazione del ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM` per Systems Manager
È possibile utilizzare la console IAM per creare un ruolo collegato ai servizi con il caso d'uso **EC2**. Utilizzando i comandi per IAM nella AWS Command Line Interface (AWS CLI) o utilizzando l'API IAM, crea un ruolo collegato ai servizi con il nome del servizio `ssm.amazonaws.com`. Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l'utente IAM*.
Se elimini questo ruolo collegato ai servizi, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account.
## Modifica di un ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM` per Systems Manager
Systems Manager non consente di modificare il ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM`. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente IAM*.
## Eliminazione di un ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM` per Systems Manager
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare quel ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente. Puoi utilizzare la console IAM AWS CLI, o l'API IAM per eliminare manualmente il ruolo collegato al servizio. Per farlo, devi prima effettuare manualmente la pulizia delle risorse associate al ruolo collegato ai servizi e poi è possibile eliminarlo manualmente.
Poiché il ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM` può essere utilizzato da più strumenti, assicurati che nessuno stia utilizzando il ruolo prima di provare ad eliminarlo.
+ **Inventario:** se si elimina il ruolo collegato ai servizi utilizzato dall'inventario, i dati dell'inventario per i tag e i gruppi di risorse non saranno più sincronizzati. È necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
+ **Explorer:** Se elimini il ruolo collegato al servizio utilizzato dallo Explorer strumento, i ruoli interaccount e Cross-region OpsData non sono più visualizzabili. OpsItems
**Nota**
Se il servizio Systems Manager utilizza tale ruolo quando tenti di eliminare i tag o i gruppi di risorse, è possibile che l'eliminazione non abbia esito positivo. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare le risorse di Systems Manager utilizzate da `AWSServiceRoleForAmazonSSM`**
1. Per eliminare i tag, vedi [Aggiunta ed eliminazione di tag in una singola risorsa](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1. [Per eliminare gruppi di risorse, consulta Eliminare gruppi da. AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html)
**Per eliminare manualmente il ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM` utilizzando IAM**
Utilizza la console IAM AWS CLI, o l'API IAM per eliminare il ruolo `AWSServiceRoleForAmazonSSM` collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per il ruolo collegato ai servizi Systems Manager `AWSServiceRoleForAmazonSSM`
Systems Managersupporta l'utilizzo del ruolo `AWSServiceRoleForAmazonSSM` collegato al servizio in tutti i luoghi in Regioni AWS cui il servizio è disponibile. Per ulteriori informazioni, consulta [Endpoint e quote per AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
# Utilizzo dei ruoli per raccogliere Account AWS informazioni per OpsCenter e Explorer
Systems Managerutilizza il ruolo collegato al servizio denominato. **`AWSServiceRoleForAmazonSSM_AccountDiscovery`** AWS Systems Manager utilizza questo ruolo di servizio IAM per chiamare altri utenti Servizi AWS per scoprire Account AWS informazioni.
## Autorizzazioni del ruolo collegato ai servizi per l'individuazione account di Systems Manager
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio `AWSServiceRoleForAmazonSSM_AccountDiscovery` considera attendibili i seguenti servizi:
+ `accountdiscovery.ssm.amazonaws.com`
La policy delle autorizzazioni del ruolo consente ad Systems Manager di eseguire le seguenti operazioni sulle risorse specificate:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListDelegatedServicesForAccount`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListRoots`
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione del ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM_AccountDiscovery` per Systems Manager
Se vuoi utilizzare Explorer e OpsCenter, strumenti di Systems Manager su più Account AWS, devi creare un ruolo collegato ai servizi. Per quanto riguarda OpsCenter, crea manualmente il ruolo collegato ai servizi. Per ulteriori informazioni, consulta [(Facoltativo) Configurazione manuale di OpsCenter per la gestione centralizzata di OpsItems su più account](OpsCenter-getting-started-multiple-accounts.md).
Per Explorer, se crei una sincronizzazione dei dati delle risorse utilizzando Systems Manager nella Console di gestione AWS, è possibile generare il ruolo collegato ai servizi tramite il pulsante **Crea ruolo**. Se si desidera creare una sincronizzazione dei dati delle risorse a livello di programmazione, è necessario creare il ruolo prima di creare la sincronizzazione dei dati delle risorse. È possibile creare il ruolo utilizzando l'operazione [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)API.
## Modifica di un ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM_AccountDiscovery` per Systems Manager
Systems Manager non consente di modificare il ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM_AccountDiscovery`. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente IAM*.
## Eliminazione di un ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM_AccountDiscovery` per Systems Manager
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
### Pulizia del ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM_AccountDiscovery`
Prima di poter utilizzare IAM per eliminare un ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM_AccountDiscovery`, devi innanzitutto eliminare tutte le sincronizzazioni dei dati della risorsa Explorer.
**Nota**
Se il servizio Systems Manager utilizza tale ruolo quando tenti di eliminare le risorse, è possibile che l’eliminazione non abbia esito positivo. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
### Eliminazione manuale del ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM_AccountDiscovery`
Utilizza la console IAM AWS CLI, l'o l' AWS API per eliminare il ruolo `AWSServiceRoleForAmazonSSM_AccountDiscovery` collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per il Systems Manager `AWSServiceRoleForAmazonSSM_AccountDiscovery` ruolo collegati ai servizi
Systems Manager supporta l’utilizzo di ruoli collegati al servizio in tutte le Regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Endpoint e quote per AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
## Aggiornamenti al ruolo collegato al servizio AWSServiceRoleForAmazonSSM\$1AccountDiscovery
Visualizza i dettagli sugli aggiornamenti al ruolo AWSServiceRoleForAmazonSSM\$1AccountDiscovery collegato al servizio da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, sottoscrivere il feed RSS nella pagina [Cronologia dei documenti](systems-manager-release-history.md) di Systems Manager.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| Nuove autorizzazioni aggiunte | Questo ruolo collegato ai servizi include ora le autorizzazioni `organizations:DescribeOrganizationalUnit` e `organizations:ListRoots`. Queste autorizzazioni consentono a un account di AWS Organizations gestione o a un account amministratore delegato di Systems Manager di utilizzare OpsItems più account. Per ulteriori informazioni, consulta [(Facoltativo) Configurazione manuale di OpsCenter per la gestione centralizzata di OpsItems su più account](OpsCenter-getting-started-multiple-accounts.md). | 17 ottobre 2022 |
# Usare i ruoli per creare OpsData e OpsItems per Explorer
Systems Managerutilizza il ruolo collegato al servizio denominato. **`AWSServiceRoleForSystemsManagerOpsDataSync`** AWS Systems Manager utilizza questo ruolo di servizio IAM per Explorer creare OpsData e. OpsItems
## Autorizzazioni dei ruoli collegati al servizio per la sincronizzazione Systems Manager OpsData
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio `AWSServiceRoleForSystemsManagerOpsDataSync` considera attendibili i seguenti servizi:
+ `opsdatasync.ssm.amazonaws.com`
La policy delle autorizzazioni del ruolo consente ad Systems Manager di eseguire le seguenti operazioni sulle risorse specificate:
+ Systems Manager Explorer richiede che un ruolo collegato al servizio conceda l'autorizzazione per aggiornare un risultato di sicurezza quando un OpsItem viene aggiornato, creare e aggiornare un'OpsItemorigine dati CSPM Security Hub e disattivare l'origine dati CSPM Security Hub quando una regola gestita SSM viene eliminata dai clienti.
La policy gestita utilizzata per fornire le autorizzazioni per il ruolo `AWSServiceRoleForSystemsManagerOpsDataSync` è `AWSSystemsManagerOpsDataSyncServiceRolePolicy`. Per informazioni dettagliate sulle autorizzazioni necessarie, consulta [AWS politica gestita: AWSSystems ManagerOpsDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy).
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione del ruolo collegato ai servizi `AWSServiceRoleForSystemsManagerOpsDataSync` per Systems Manager
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando abiliti Console di gestione AWS, Systems Manager crea Explorer automaticamente il ruolo collegato al servizio.
**Importante**
Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Inoltre, se usavi il servizio Systems Manager prima del 1° gennaio 2017, data da cui è disponibile il supporto dei ruoli collegati ai servizi, Systems Manager ha creato il ruolo `AWSServiceRoleForSystemsManagerOpsDataSync` nel tuo account. Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando lo abiliti Explorer in Console di gestione AWS, Systems Manager crea nuovamente il ruolo collegato al servizio per te.
Puoi anche utilizzare la console IAM per creare un ruolo collegato al servizio con il ruolo di **AWS servizio che consente di creare OpsData e utilizzare Explorer case**. OpsItems Nella AWS CLI o nell' AWS API, crea un ruolo collegato al servizio con il nome del servizio. `opsdatasync.ssm.amazonaws.com` Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l’utente IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
## Modifica di un ruolo collegato ai servizi `AWSServiceRoleForSystemsManagerOpsDataSync` per Systems Manager
Systems Manager non consente di modificare il ruolo collegato ai servizi `AWSServiceRoleForSystemsManagerOpsDataSync`. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente IAM*.
## Eliminazione di un ruolo collegato ai servizi `AWSServiceRoleForSystemsManagerOpsDataSync` per Systems Manager
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il servizio Systems Manager utilizza tale ruolo quando tenti di eliminare le risorse, è possibile che l’eliminazione non abbia esito positivo. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
La procedura per eliminare Systems Manager le risorse utilizzate dal `AWSServiceRoleForSystemsManagerOpsDataSync` ruolo dipende dalla configurazione Explorer o OpsCenter dall'integrazione con Security Hub CSPM.
**Per eliminare le risorse di Systems Manager utilizzate da `AWSServiceRoleForSystemsManagerOpsDataSync`**
+ Per interrompere la creazione Explorer di nuovi OpsItems risultati CSPM di Security Hub, vedere. [Come interrompere l'invio degli esiti](explorer-securityhub-integration.md#explorer-securityhub-integration-disable-receive)
+ Per interrompere la creazione OpsCenter di nuovi OpsItems risultati CSPM di Security Hub, vedere
**Per eliminare manualmente il ruolo collegato ai servizi `AWSServiceRoleForSystemsManagerOpsDataSync` utilizzando IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al `AWSServiceRoleForSystemsManagerOpsDataSync` servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per il Systems Manager `AWSServiceRoleForSystemsManagerOpsDataSync` ruolo collegati ai servizi
Systems Manager supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Endpoint e quote per AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
Systems Manager non supporta l'utilizzo di ruoli collegati ai servizi in ogni regione nella quale è disponibile il servizio. Il ruolo `AWSServiceRoleForSystemsManagerOpsDataSync` può essere utilizzato nelle Regioni seguenti.
****
| Regione AWS nome | Identità della Regione | Supporto in Systems Manager |
| --- | --- | --- |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | Sì |
| Stati Uniti orientali (Ohio) | us-east-2 | Sì |
| Stati Uniti occidentali (California settentrionale) | us-west-1 | Sì |
| Stati Uniti occidentali (Oregon) | us-west-2 | Sì |
| Asia Pacifico (Mumbai) | ap-south-1 | Sì |
| Asia Pacifico (Osaka) | ap-northeast-3 | Sì |
| Asia Pacifico (Seoul) | ap-northeast-2 | Sì |
| Asia Pacifico (Singapore) | ap-southeast-1 | Sì |
| Asia Pacifico (Sydney) | ap-southeast-2 | Sì |
| Asia Pacifico (Tokyo) | ap-northeast-1 | Sì |
| Canada (Centrale) | ca-central-1 | Sì |
| Europa (Francoforte) | eu-central-1 | Sì |
| Europa (Irlanda) | eu-west-1 | Sì |
| Europa (Londra) | eu-west-2 | Sì |
| Europa (Parigi) | eu-west-3 | Sì |
| Europa (Stoccolma) | eu-north-1 | Sì |
| Sud America (San Paolo) | sa-east-1 | Sì |
| AWS GovCloud (US) | us-gov-west-1 | No |
# Utilizzo dei ruoli per creare informazioni operative OpsItems in Systems Manager OpsCenter
Systems Managerutilizza il ruolo collegato al servizio denominato. **`AWSServiceRoleForAmazonSSM_OpsInsights`** AWS Systems Manager utilizza questo ruolo di servizio IAM per creare e aggiornare informazioni operative OpsItems in Systems ManagerOpsCenter.
## `AWSServiceRoleForAmazonSSM_OpsInsights`autorizzazioni relative ai ruoli collegati ai servizi per informazioni operative Systems Manager OpsItems
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio `AWSServiceRoleForAmazonSSM_OpsInsights` considera attendibili i seguenti servizi:
+ `opsinsights.ssm.amazonaws.com`
La policy delle autorizzazioni del ruolo consente ad Systems Manager di eseguire le seguenti operazioni sulle risorse specificate:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateOpsItem",
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem",
"ssm:AddTagsToResource"
],
"Resource": "*"
},
{
"Sid": "AllowAccessOpsItem",
"Effect": "Allow",
"Action": [
"ssm:UpdateOpsItem",
"ssm:GetOpsItem"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SsmOperationalInsight": "true"
}
}
}
]
}
```
------
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione del ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM_OpsInsights` per Systems Manager
È necessario creare un ruolo collegato ai servizi. **Se abiliti gli approfondimenti operativi utilizzando Systems Manager in Console di gestione AWS, puoi creare il ruolo collegato al servizio scegliendo il pulsante Abilita.**
## Modifica di un ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM_OpsInsights` per Systems Manager
Systems Manager non consente di modificare il ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM_OpsInsights`. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente IAM*.
## Eliminazione di un ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM_OpsInsights` per Systems Manager
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
### Pulizia del ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM_OpsInsights`
Per utilizzare IAM per eliminare il ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM_OpsInsights`, prima occorre disattivare gli approfondimenti operativi in OpsCenter di Systems Manager. Per ulteriori informazioni, consulta [Analisi degli approfondimenti operativi per ridurre gli OpsItems](OpsCenter-working-operational-insights.md).
### Eliminazione manuale del ruolo collegato ai servizi `AWSServiceRoleForAmazonSSM_OpsInsights`
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al `AWSServiceRoleForAmazonSSM_OpsInsights` servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per il Systems Manager `AWSServiceRoleForAmazonSSM_OpsInsights` ruolo collegati ai servizi
Systems Manager non supporta l'utilizzo di ruoli collegati ai servizi in ogni regione nella quale è disponibile il servizio. Puoi utilizzare il AWSServiceRoleForAmazonSSM\$1OpsInsights ruolo nelle seguenti regioni.
****
| Nome della Regione | Identità della Regione | Supporto in Systems Manager |
| --- | --- | --- |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | Sì |
| Stati Uniti orientali (Ohio) | us-east-2 | Sì |
| Stati Uniti occidentali (California settentrionale) | us-west-1 | Sì |
| Stati Uniti occidentali (Oregon) | us-west-2 | Sì |
| Asia Pacifico (Mumbai) | ap-south-1 | Sì |
| Asia Pacifico (Tokyo) | ap-northeast-1 | Sì |
| Asia Pacifico (Seoul) | ap-northeast-2 | Sì |
| Asia Pacifico (Singapore) | ap-southeast-1 | Sì |
| Asia Pacifico (Sydney) | ap-southeast-2 | Sì |
| Asia Pacific (Hong Kong) | ap-east-1 | Sì |
| Canada (Centrale) | ca-central-1 | Sì |
| Europa (Francoforte) | eu-central-1 | Sì |
| Europa (Irlanda) | eu-west-1 | Sì |
| Europa (Londra) | eu-west-2 | Sì |
| Europa (Parigi) | eu-west-3 | Sì |
| Europa (Stoccolma) | eu-north-1 | Sì |
| Europe (Milan) | eu-south-1 | Sì |
| Sud America (San Paolo) | sa-east-1 | Sì |
| Medio Oriente (Bahrein) | me-south-1 | Sì |
| Africa (Città del Capo) | af-south-1 | Sì |
| AWS GovCloud (US) | us-gov-west-1 | Sì |
| AWS GovCloud (US) | us-gov-east-1 | Sì |
# Utilizzo dei ruoli per mantenere l'integrità e la coerenza delle risorse fornite da Quick Setup
Systems Manager usa il ruolo collegato ai servizi denominato **`AWSServiceRoleForSSMQuickSetup`**.
## Autorizzazioni del ruolo collegato ai servizi `AWSServiceRoleForSSMQuickSetup` per Systems Manager
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio `AWSServiceRoleForSSMQuickSetup` considera attendibili i seguenti servizi:
+ `ssm-quicksetup.amazonaws.com`
AWS Systems Manager utilizza questo ruolo di servizio IAM per verificare lo stato della configurazione, garantire un uso coerente dei parametri e delle risorse assegnate e correggere le risorse quando viene rilevata una deriva.
La policy delle autorizzazioni del ruolo consente ad Systems Manager di eseguire le seguenti operazioni sulle risorse specificate:
+ `ssm` (Systems Manager): legge le informazioni sullo stato in cui è necessario che si trovino le risorse configurate, inclusi gli account degli amministratori delegati.
+ `iam` (AWS Identity and Access Management): è necessario affinché le sincronizzazioni dei dati sulle risorse siano accessibili in tutte le organizzazioni in AWS Organizations.
+ `organizations` (AWS Organizations): legge le informazioni sugli account dei membri che appartengono a un'organizzazione come configurato in Organizations.
+ `cloudformation`(CloudFormation) — Legge le informazioni sugli CloudFormation stack utilizzati per gestire lo stato delle risorse e le operazioni dello stackset. CloudFormation
La policy gestita utilizzata per fornire le autorizzazioni per il ruolo `AWSServiceRoleForSSMQuickSetup` è `SSMQuickSetupRolePolicy`. Per informazioni dettagliate sulle autorizzazioni necessarie, consulta [AWS politica gestita: SSMQuick SetupRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SSMQuickSetupRolePolicy).
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione del ruolo collegato ai servizi `AWSServiceRoleForSSMQuickSetup` per Systems Manager
Non è necessario creare manualmente il ruolo collegato al servizio di installazione. AWSService RoleFor SSMQuick Quando esegui una configurazione Quick Setup nella Console di gestione AWS, Systems Manager crea automaticamente il ruolo collegato ai servizi.
## Modifica di un ruolo collegato ai servizi `AWSServiceRoleForSSMQuickSetup` per Systems Manager
Systems Manager non consente di modificare il ruolo collegato ai servizi `AWSServiceRoleForSSMQuickSetup`. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente IAM*.
## Eliminazione di un ruolo collegato ai servizi `AWSServiceRoleForSSMQuickSetup` per Systems Manager
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
### Pulizia del ruolo collegato ai servizi `AWSServiceRoleForSSMQuickSetup`
Prima di utilizzare IAM per eliminare il ruolo collegato al servizio `AWSServiceRoleForSSMQuickSetup`, è necessario prima rimuovere le configurazioni di Quick Setup che utilizzano il ruolo. Per ulteriori informazioni, consulta [Modifica ed eliminazione della configurazione](quick-setup-using.md#quick-setup-edit-delete).
### Eliminazione manuale del ruolo collegato ai servizi `AWSServiceRoleForSSMQuickSetup`
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al `AWSServiceRoleForSSMQuickSetup` servizio. Per ulteriori informazioni, consulta i seguenti argomenti:
+ [Eliminazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*
+ [https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html](https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html) nella sezione Quick Setup della *Riferimementi AWS CLI *
+ [https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html](https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html) nel *Documentazione di riferimento API di Quick Setup*
## Regioni supportate per il Systems Manager `AWSServiceRoleForSSMQuickSetup` ruolo collegati ai servizi
Systems Manager non supporta l'utilizzo di ruoli collegati ai servizi in ogni regione nella quale è disponibile il servizio. Puoi utilizzare il ruolo AWSService RoleFor SSMQuick Setup nelle seguenti regioni.
+ Stati Uniti orientali (Ohio)
+ Stati Uniti orientali (Virginia settentrionale)
+ Stati Uniti occidentali (California settentrionale)
+ Stati Uniti occidentali (Oregon)
+ Asia Pacifico (Mumbai)
+ Asia Pacifico (Seoul)
+ Asia Pacifico (Singapore)
+ Asia Pacifico (Sydney)
+ Asia Pacifico (Tokyo)
+ Canada (Centrale)
+ Europa (Francoforte)
+ Europa (Stoccolma)
+ Europa (Irlanda)
+ Europa (Londra)
+ Europa (Parigi)
+ Sud America (San Paolo)
# Utilizzo dei ruoli per l'esportazione Explorer OpsData
AWS Systems Manager Explorerutilizza il ruolo di SSMExplorer ExportRole servizio **Amazon** per esportare i dati delle operazioni (OpsData) utilizzando il runbook di `AWS-ExportOpsDataToS3` automazione.
## Autorizzazioni del ruolo collegato ai servizi per Explorer
Il ruolo collegato ai servizi `AmazonSSMExplorerExportRole` considera attendibile solo `ssm.amazonaws.com` ai fini dell'assunzione del ruolo.
Puoi utilizzare il ruolo `AmazonSSMExplorerExportRole` collegato al servizio per esportare i dati delle operazioni (OpsData) utilizzando il `AWS-ExportOpsDataToS3` runbook di automazione. Puoi esportare 5.000 OpsData articoli da Explorer un file con valori separati da virgole (.csv) in un bucket Amazon Simple Storage Service (Amazon S3).
La policy delle autorizzazioni del ruolo consente ad Systems Manager di eseguire le seguenti operazioni sulle risorse specificate:
+ `s3:PutObject`
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
+ `sns:Publish`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:CreateLogGroup`
+ `logs:PutLogEvents`
+ `logs:CreateLogStream`
+ `ssm:GetOpsSummary`
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione del ruolo collegato ai servizi `AmazonSSMExplorerExportRole` per Systems Manager
Systems Manager crea il ruolo `AmazonSSMExplorerExportRole` collegato al servizio quando si esporta OpsData utilizzando Explorer nella console Systems Manager. Per ulteriori informazioni, consulta [Esportazione OpsData da Systems Manager Explorer](Explorer-exporting-OpsData.md).
Se elimini questo ruolo collegato ai servizi, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account.
## Modifica di un ruolo collegato ai servizi `AmazonSSMExplorerExportRole` per Systems Manager
Systems Manager non consente di modificare il ruolo collegato ai servizi `AmazonSSMExplorerExportRole`. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente IAM*.
## Eliminazione di un ruolo collegato ai servizi `AmazonSSMExplorerExportRole` per Systems Manager
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare quel ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente. È possibile utilizzare la console IAM AWS CLI, l'o l'API IAM per eliminare manualmente il ruolo collegato al servizio. Per farlo, devi prima effettuare manualmente la pulizia delle risorse associate al ruolo collegato ai servizi e poi è possibile eliminarlo manualmente.
**Nota**
Se il servizio Systems Manager utilizza tale ruolo quando tenti di eliminare i tag o i gruppi di risorse, è possibile che l'eliminazione non abbia esito positivo. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare le risorse di Systems Manager utilizzate da `AmazonSSMExplorerExportRole`**
1. Per eliminare i tag, vedi [Aggiunta ed eliminazione di tag in una singola risorsa](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1. Per eliminare i gruppi di risorse, consulta [Eliminare gruppi](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html) da. AWS Resource Groups
**Per eliminare manualmente il ruolo collegato ai servizi `AmazonSSMExplorerExportRole` utilizzando IAM**
Utilizza la console IAM AWS CLI, o l'API IAM per eliminare il ruolo `AmazonSSMExplorerExportRole` collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per il ruolo collegato ai servizi Systems Manager `AmazonSSMExplorerExportRole`
Systems Managersupporta l'utilizzo del ruolo `AmazonSSMExplorerExportRole` collegato al servizio in tutti i luoghi in Regioni AWS cui il servizio è disponibile. Per ulteriori informazioni, consulta [Endpoint e quote per AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
# Utilizzo dei ruoli per abilitare l'accesso ai just-in-time nodi
Systems Managerutilizza il ruolo collegato al servizio denominato. **`AWSServiceRoleForSystemsManagerJustInTimeAccess`** AWS Systems Manager utilizza questo ruolo di servizio IAM per abilitare l'accesso ai just-in-time nodi.
## Autorizzazioni di ruolo collegate al servizio per l'accesso ai nodi Systems Manager just-in-time
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio `AWSServiceRoleForSystemsManagerJustInTimeAccess` considera attendibili i seguenti servizi:
+ `ssm.amazonaws.com`
La policy delle autorizzazioni del ruolo consente ad Systems Manager di eseguire le seguenti operazioni sulle risorse specificate:
+ `ssm:CreateOpsItem`
+ `ssm:GetOpsItem`
+ `ssm:UpdateOpsItem`
+ `ssm:DescribeOpsItems`
+ `ssm:DescribeSessions`
+ `ssm:ListTagsForResource`
+ `ssm-guiconnect:ListConnections`
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:DescribeUser`
+ `identitystore:GetGroupId`
+ `identitystore:GetUserId`
+ `sso-directory:DescribeUsers`
+ `sso-directory:IsMemberInGroup`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `ec2:DescribeTags`
La policy gestita utilizzata per fornire le autorizzazioni per il ruolo `AWSServiceRoleForSystemsManagerJustInTimeAccess` è `AWSSystemsManagerEnableJustInTimeAccessPolicy`. Per informazioni dettagliate sulle autorizzazioni necessarie, consulta [AWS politica gestita: AWSSystems ManagerJustInTimeAccessServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy).
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione del ruolo collegato ai servizi `AWSServiceRoleForSystemsManagerJustInTimeAccess` per Systems Manager
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando abiliti l'accesso al just-in-time nodo in Console di gestione AWS, Systems Manager crea automaticamente il ruolo collegato al servizio.
**Importante**
Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le funzionalità supportate da questo ruolo. Se inoltre usavi il servizio Systems Manager prima del 19 novembre 2024, data da cui è disponibile il supporto dei ruoli collegati ai servizi, Systems Manager ha creato il ruolo `AWSServiceRoleForSystemsManagerJustInTimeAccess` nel tuo account. Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando abiliti l'accesso al just-in-time nodo in Console di gestione AWS, Systems Manager crea nuovamente il ruolo collegato al servizio per te.
Puoi anche utilizzare la console IAM per creare un ruolo collegato al servizio con il ruolo di **AWS servizio che consente a Systems Manager di abilitare l'accesso ai just-in-time nodi.** caso d'uso. Nella AWS CLI o nell' AWS API, crea un ruolo collegato al servizio con il nome del `ssm.amazonaws.com` servizio. Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l’utente IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
## Modifica di un ruolo collegato ai servizi `AWSServiceRoleForSystemsManagerJustInTimeAccess` per Systems Manager
Systems Manager non consente di modificare il ruolo collegato ai servizi `AWSServiceRoleForSystemsManagerJustInTimeAccess`. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente IAM*.
## Eliminazione di un ruolo collegato ai servizi `AWSServiceRoleForSystemsManagerJustInTimeAccess` per Systems Manager
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il servizio Systems Manager utilizza tale ruolo quando tenti di eliminare le risorse, è possibile che l’eliminazione non abbia esito positivo. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare manualmente il ruolo collegato ai servizi `AWSServiceRoleForSystemsManagerJustInTimeAccess` utilizzando IAM**
Utilizza la console IAM AWS CLI, l'o l' AWS API per eliminare il ruolo collegato al `AWSServiceRoleForSystemsManagerJustInTimeAccess` servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per il ruolo collegato ai servizi Systems Manager `AWSServiceRoleForSystemsManagerJustInTimeAccess`
****
| Regione AWS nome | Identità della Regione | Supporto in Systems Manager |
| --- | --- | --- |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | Sì |
| Stati Uniti orientali (Ohio) | us-east-2 | Sì |
| Stati Uniti occidentali (California settentrionale) | us-west-1 | Sì |
| Stati Uniti occidentali (Oregon) | us-west-2 | Sì |
| Asia Pacifico (Mumbai) | ap-south-1 | Sì |
| Asia Pacifico (Osaka) | ap-northeast-3 | Sì |
| Asia Pacifico (Seoul) | ap-northeast-2 | Sì |
| Asia Pacifico (Singapore) | ap-southeast-1 | Sì |
| Asia Pacifico (Sydney) | ap-southeast-2 | Sì |
| Asia Pacifico (Tokyo) | ap-northeast-1 | Sì |
| Canada (Centrale) | ca-central-1 | Sì |
| Europa (Francoforte) | eu-central-1 | Sì |
| Europa (Irlanda) | eu-west-1 | Sì |
| Europa (Londra) | eu-west-2 | Sì |
| Europa (Parigi) | eu-west-3 | Sì |
| Europa (Stoccolma) | eu-north-1 | Sì |
| Sud America (San Paolo) | sa-east-1 | Sì |
| AWS GovCloud (US) | us-gov-west-1 | No |
# Utilizzo dei ruoli per inviare notifiche di richiesta di accesso ai just-in-time nodi
Systems Managerutilizza il ruolo collegato al servizio denominato. **`AWSServiceRoleForSystemsManagerNotifications`** AWS Systems Manager utilizza questo ruolo del servizio IAM per inviare notifiche agli approvatori delle richieste di accesso.
## Autorizzazioni di ruolo collegate al servizio per le notifiche di accesso ai nodi Systems Manager just-in-time
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio `AWSServiceRoleForSystemsManagerNotifications` considera attendibili i seguenti servizi:
+ `ssm.amazonaws.com`
La policy delle autorizzazioni del ruolo consente ad Systems Manager di eseguire le seguenti operazioni sulle risorse specificate:
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:ListGroupMemberships`
+ `identitystore:DescribeUser`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `sso-directory:DescribeUser`
+ `sso-directory:ListMembersInGroup`
+ `iam:GetRole`
La policy gestita utilizzata per fornire le autorizzazioni per il ruolo `AWSServiceRoleForSystemsManagerNotifications` è `AWSSystemsManagerNotificationsServicePolicy`. Per informazioni dettagliate sulle autorizzazioni necessarie, consulta [AWS politica gestita: AWSSystems ManagerNotificationsServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy).
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione del ruolo collegato ai servizi `AWSServiceRoleForSystemsManagerNotifications` per Systems Manager
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando abiliti l'accesso al just-in-time nodo in Console di gestione AWS, Systems Manager crea automaticamente il ruolo collegato al servizio.
**Importante**
Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le funzionalità supportate da questo ruolo. Se inoltre usavi il servizio Systems Manager prima del 19 novembre 2024, data da cui è disponibile il supporto dei ruoli collegati ai servizi, Systems Manager ha creato il ruolo `AWSServiceRoleForSystemsManagerNotifications` nel tuo account. Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando abiliti l'accesso al just-in-time nodo in Console di gestione AWS, Systems Manager crea nuovamente il ruolo collegato al servizio per te.
È possibile utilizzare la console IAM anche per creare un ruolo collegato ai servizi con il **ruolo di servizio AWS che consente a Systems Manager di inviare notifiche agli approvatori delle richieste di accesso**. caso d'uso. Nella AWS CLI o nell' AWS API, crea un ruolo collegato al servizio con il nome del servizio. `ssm.amazonaws.com` Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l’utente IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
## Modifica di un ruolo collegato ai servizi `AWSServiceRoleForSystemsManagerNotifications` per Systems Manager
Systems Manager non consente di modificare il ruolo collegato ai servizi `AWSServiceRoleForSystemsManagerNotifications`. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente IAM*.
## Eliminazione di un ruolo collegato ai servizi `AWSServiceRoleForSystemsManagerNotifications` per Systems Manager
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il servizio Systems Manager utilizza tale ruolo quando tenti di eliminare le risorse, è possibile che l’eliminazione non abbia esito positivo. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare manualmente il ruolo collegato ai servizi `AWSServiceRoleForSystemsManagerNotifications` utilizzando IAM**
Utilizza la console IAM AWS CLI, l'o l' AWS API per eliminare il ruolo collegato al `AWSServiceRoleForSystemsManagerNotifications` servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per il ruolo collegato ai servizi Systems Manager `AWSServiceRoleForSystemsManagerNotifications`
****
| Regione AWS nome | Identità della Regione | Supporto in Systems Manager |
| --- | --- | --- |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | Sì |
| Stati Uniti orientali (Ohio) | us-east-2 | Sì |
| Stati Uniti occidentali (California settentrionale) | us-west-1 | Sì |
| Stati Uniti occidentali (Oregon) | us-west-2 | Sì |
| Asia Pacifico (Mumbai) | ap-south-1 | Sì |
| Asia Pacifico (Osaka) | ap-northeast-3 | Sì |
| Asia Pacifico (Seoul) | ap-northeast-2 | Sì |
| Asia Pacifico (Singapore) | ap-southeast-1 | Sì |
| Asia Pacifico (Sydney) | ap-southeast-2 | Sì |
| Asia Pacifico (Tokyo) | ap-northeast-1 | Sì |
| Canada (Centrale) | ca-central-1 | Sì |
| Europa (Francoforte) | eu-central-1 | Sì |
| Europa (Irlanda) | eu-west-1 | Sì |
| Europa (Londra) | eu-west-2 | Sì |
| Europa (Parigi) | eu-west-3 | Sì |
| Europa (Stoccolma) | eu-north-1 | Sì |
| Sud America (San Paolo) | sa-east-1 | Sì |
| AWS GovCloud (US) | us-gov-west-1 | No |
# Registrazione e monitoraggio in AWS Systems Manager
Il monitoraggio è un elemento importante per mantenere l'affidabilità, la disponibilità e le prestazioni delle AWS Systems Manager vostre AWS soluzioni. È necessario raccogliere i dati di monitoraggio da tutte le parti della AWS soluzione in modo da poter eseguire più facilmente il debug di un errore multipunto, se si verifica. AWS fornisce diversi strumenti per monitorare le vostre Systems Manager e altre risorse e rispondere a potenziali incidenti.
**AWS CloudTrail registri**
CloudTrail fornisce un registro delle azioni intraprese da un utente, un ruolo o un membro Servizio AWS . Systems Manager Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare a quale richiesta è stata inviataSystems Manager, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi. Per ulteriori informazioni, consulta [Registrazione delle chiamate AWS Systems Manager API con AWS CloudTrail](monitoring-cloudtrail-logs.md).
** CloudWatch Allarmi Amazon**
Utilizzando Amazon CloudWatch Alarms, controlli una singola metrica in un periodo di tempo specificato per le istanze Amazon Elastic Compute Cloud (Amazon EC2) e altre risorse. Se la metrica supera una determinata soglia, viene inviata una notifica a un argomento o a una policy di Amazon Simple Notification Service (Amazon SNS). AWS Auto Scaling CloudWatch gli allarmi non richiamano azioni perché si trovano in uno stato particolare. È necessario invece cambiare lo stato e mantenerlo per un numero di periodi specificato. Per ulteriori informazioni, consulta [Using Amazon CloudWatch alarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) nella *Amazon CloudWatch User Guide*.
**Pannelli di CloudWatch controllo Amazon**
CloudWatch Le dashboard sono home page personalizzabili della CloudWatch console che puoi utilizzare per monitorare le risorse in un'unica visualizzazione, anche quelle distribuite su più risorse. Regioni AWS Puoi utilizzare CloudWatch le dashboard per creare visualizzazioni personalizzate delle metriche e degli allarmi relativi alle tue risorse. AWS Per ulteriori informazioni, consulta [Utilizzo di CloudWatch dashboard Amazon ospitati da Systems Manager](systems-manager-cloudwatch-dashboards.md).
**Amazon EventBridge**
Con Amazon EventBridge, puoi configurare regole per avvisarti dei cambiamenti nelle Systems Manager risorse e indurti EventBridge a intraprendere azioni in base al contenuto di tali eventi. EventBridge fornisce supporto per una serie di eventi emessi da vari Systems Manager strumenti. Per ulteriori informazioni, consulta [Monitoraggio degli eventi di Systems Manager con Amazon EventBridge](monitoring-eventbridge-events.md).
**Registri e CloudWatch SSM Agent registri di Amazon**
SSM Agent scrive informazioni su esecuzioni, operazioni pianificate, errori e stati di integrità in file di log per ogni nodo. È possibile visualizzare i file di log collegandosi manualmente a un nodo. Consigliamo di inviare automaticamente i dati di log degli agenti a un gruppo di log in CloudWatch Logs per l'analisi. Per ulteriori informazioni, consultare [Invio dei log dei nodi a CloudWatch registri unificati (agente) CloudWatch](monitoring-cloudwatch-agent.md) e [Visualizzazione dei log di SSM Agent](ssm-agent-logs.md).
**Conformità AWS Systems Manager**
Puoi utilizzare Compliance, uno strumento di cui disponi AWS Systems Manager, per scansionare la tua flotta di nodi gestiti alla ricerca della conformità delle patch e delle incongruenze di configurazione. Puoi raccogliere e aggregare dati da più Account AWS fonti e quindi approfondire risorse specifiche non conformi. Regioni AWS Per impostazione predefinita, Conformità mostra i dati di conformità correnti sull'applicazione di patch in Patch Manager, uno strumento di AWS Systems Manager, e le associazioni in State Manager, uno strumento di AWS Systems Manager. Per ulteriori informazioni, consulta [ConformitàAWS Systems Manager](systems-manager-compliance.md).
**AWS Systems Manager Explorer**
Explorer, uno strumento in AWS Systems Manager, è una dashboard operativa personalizzabile che riporta informazioni sulle tue risorse. AWS Explorermostra una visualizzazione aggregata dei dati operativi (OpsData) per te Account AWS e per tutti Regioni AWS. OpsData Include Explorer i metadati sulle istanze EC2, i dettagli sulla conformità delle patch e gli elementi di lavoro operativi (). OpsItems Explorerfornisce un contesto su come OpsItems vengono distribuite tra le unità aziendali o le applicazioni, su come si evolvono nel tempo e su come variano in base alla categoria. È possibile raggruppare e filtrare le informazioni Explorer per concentrarti sugli elementi rilevanti e per cui è necessario prendere misure. Per ulteriori informazioni, consulta [AWS Systems Manager Explorer](Explorer.md).
**AWS Systems Manager OpsCenter**
OpsCenter, uno strumento in AWS Systems Manager, fornisce una posizione centrale in cui gli ingegneri operativi e i professionisti IT possono visualizzare, esaminare e risolvere gli elementi di lavoro operativi (OpsItems) relativi alle AWS risorse. OpsCenteraggrega e standardizza OpsItems tutti i servizi fornendo al contempo dati di indagine contestuali su ciascuna OpsItem risorsa correlata e OpsItems correlata. OpsCenterfornisce anche runbook in Automation, uno strumento che consente di risolvere rapidamente i problemi. AWS Systems ManagerOpsCenterè integrato con Amazon EventBridge. Ciò significa che puoi creare EventBridge regole che vengono create automaticamente OpsItems per chiunque Servizio AWS pubblichi eventi su EventBridge. Per ulteriori informazioni, consulta [AWS Systems Manager OpsCenter](OpsCenter.md).
**Amazon Simple Notification Service**
Puoi configurare Amazon Simple Notification Service (Amazon SNS) per inviare notifiche sullo stato dei comandi inviati utilizzando Run Command o Maintenance Windows, uno strumento di AWS Systems Manager. Amazon SNS coordina e gestisce l'invio e la consegna delle notifiche ai clienti o agli endpoint che sono iscritti agli argomenti di Amazon SNS. Ogni volta che un comando cambia di stato o passa a uno stato specifico, ad esempio `Failed` o `Timed Out`, è possibile decidere di ricevere una notifica. Quando si invia un comando a più nodi, è possibile ricevere una notifica per ciascuna copia del comando inviato a un determinato nodo. Per ulteriori informazioni, consulta [Monitoraggio delle modifiche di stato di Systems Manager utilizzando le notifiche Amazon SNS](monitoring-sns-notifications.md).
**AWS Trusted Advisor e Dashboard AWS Health**
Trusted Advisor attinge alle migliori pratiche apprese servendo centinaia di migliaia di AWS clienti. Trusted Advisor ispeziona l' AWS ambiente e quindi formula raccomandazioni quando esistono opportunità per risparmiare denaro, migliorare la disponibilità e le prestazioni del sistema o contribuire a colmare le lacune di sicurezza. Tutti i AWS clienti hanno accesso a cinque Trusted Advisor controlli. I clienti con un piano Supporto AWS Business o Enterprise possono visualizzare tutti gli Trusted Advisor assegni. Per ulteriori informazioni, consulta la sezione [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) nella *Guida per l'utente di Supporto AWS * e la *[Guida per l'utente di AWS Health](https://docs.aws.amazon.com/health/latest/ug/)*.
**Ulteriori informazioni**
+ [Registrazione e monitoraggio AWS Systems Manager](monitoring.md)
# Convalida della conformità per AWS Systems Manager
Questo argomento affronta la conformità di AWS Systems Manager ai programmi di garanzia di terze parti. Per informazioni sulla visualizzazione dei dati di conformità per le istanze gestite, consulta [ConformitàAWS Systems Manager](systems-manager-compliance.md).
Revisori di terza parte valutano la sicurezza e la conformità di Systems Manager come parte di più programmi di conformità di AWS . Questi includono SOC, PCI, FedRAMP, HIPAA e altri.
Per un elenco dei programmi di conformità specifici, vedere [AWS Servizi Servizi AWS nell'ambito del programma di conformità in Ambito del programma di conformitàServizi AWS](https://aws.amazon.com/compliance/services-in-scope/) . Per informazioni generali, vedere Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Systems Manager è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. AWS fornisce le seguenti risorse per contribuire alla conformità:
+ [Le guide rapide per la sicurezza e la conformità](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): queste guide all'implementazione illustrano considerazioni architettoniche e forniscono i passaggi per l'implementazione di ambienti di base incentrati sulla sicurezza e sulla conformità su AWS.
+ [Whitepaper sull'architettura per la sicurezza e la conformità HIPAA: questo white paper](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/introduction.html) descrive come le aziende possono utilizzare per creare applicazioni conformi allo standard HIPAA. AWS
+ AWS Risorse per [la conformità Risorse per la conformità](https://aws.amazon.com/compliance/resources/): questa raccolta di potrebbe riguardare il settore e la località in cui operate.
+ [Valutazione delle risorse con le regole](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) nella *Guida per gli AWS Config sviluppatori*: il AWS Config servizio valuta la conformità delle configurazioni delle risorse alle pratiche interne, alle linee guida del settore e alle normative.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Ciò Servizio AWS fornisce una visione completa dello stato di sicurezza dell'utente, AWS che consente di verificare la conformità agli standard e alle best practice del settore della sicurezza.
# Resilienza nell'AWS Systems Manager
L'infrastruttura globale dei servizi AWS è progettata attorno a regioni Regioni AWS e zone di disponibilità. Le regioni di Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate che sono connesse tramite reti altamente ridondanti, a bassa latenza e throughput elevato. Con le zone di disponibilità, puoi progettare e gestire applicazioni e database che eseguono automaticamente il failover tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
Per ulteriori informazioni sulle Regioni AWS e le zone di disponibilità, consulta [Infrastruttura globale di AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sicurezza dell’infrastruttura nell’ AWS Systems Manager
In quanto servizio gestito, AWS Systems Manager è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzate chiamate API AWS pubblicate per accedere Systems Manager attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
# Analisi della configurazione e delle vulnerabilità in AWS Systems Manager
AWS gestisce le attività di sicurezza di base come la configurazione del firewall e il disaster recovery. Queste procedure sono state riviste e certificate dalle terze parti appropriate. Per ulteriori dettagli, consulta le seguenti risorse :
+ [Convalida della conformità per AWS Systems Manager](compliance-validation.md)
+ [Modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [Best practice per sicurezza, identità e conformità.](https://aws.amazon.com/architecture/security-identity-compliance/)
# Best practice relative alla sicurezza di Systems Manager
AWS Systems Manager offre una serie di funzionalità di sicurezza da considerare durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l’ambiente, sono da considerare come considerazioni utili anziché prescrizioni.
**Topics**
+ [Best practice relative alla sicurezza di prevenzione per Systems Manager](#security-best-practices-prevent)
+ [Best practice per l'installazione di SSM Agent](#security-best-practices-ssm-agent)
+ [Best practice di monitoraggio e auditing di Systems Manager](#security-best-practices-detect)
## Best practice relative alla sicurezza di prevenzione per Systems Manager
Le seguenti best practice per Systems Manager consentono di evitare incidenti di sicurezza.
**Applicazione dell'accesso con privilegio minimo**
Attribuite le autorizzazioni, si può decidere chi ottiene tali autorizzazioni e verso quali Systems Manager risorse. È possibile abilitare operazioni specifiche che desideri consentire su tali risorse. Pertanto è necessario concedere solo le autorizzazioni necessarie per eseguire un'attività. L'implementazione dell'accesso con privilegi minimi è fondamentale per ridurre i rischi di sicurezza e l'impatto risultante da errori o intenzioni dannose.
Gli strumenti seguenti sono disponibili per implementare l'accesso con privilegi minimi:
+ [Policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) e [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
**Utilizza le impostazioni consigliate per SSM Agent quando è configurato per utilizzare un proxy**
Quando si configura SSM Agent per utilizzare un proxy, utilizza la variabile `no_proxy` con l'indirizzo IP del servizio di metadati dell'istanza Systems Manager, per garantire che le chiamate a Systems Manager non assumano l'identità del servizio proxy.
Per ulteriori informazioni, consultare [Configurazione di SSM Agent per l'utilizzo di un proxy sui nodi Linux](configure-proxy-ssm-agent.md) e [Configurazione di SSM Agent per utilizzare un proxy per le istanze Windows Server](configure-proxy-ssm-agent-windows.md).
**Utilizza SecureString i parametri per crittografare e proteggere i dati segreti**
Su Parameter Store, uno strumento di AWS Systems Manager, un parametro `SecureString` è costituito da qualsiasi dato sensibile che deve essere archiviato e a cui è necessario fare riferimento in modo sicuro. Se hai dati che non vuoi che gli utenti modifichino o facciano riferimento in testo semplice, come password o chiavi di licenza, crea questi parametri utilizzando il tipo di dati. `SecureString` Parameter Storeutilizza un AWS KMS key in AWS Key Management Service (AWS KMS) per crittografare il valore del parametro. AWS KMS utilizza una chiave gestita dal cliente o una per crittografare Chiave gestita da AWS il valore del parametro. Per la massima sicurezza, si consiglia di utilizzare il proprio CMK. Se utilizzi il Chiave gestita da AWS, qualsiasi utente autorizzato a eseguire le [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html)azioni [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html)e nel tuo account può visualizzare o recuperare il contenuto di tutti i `SecureString` parametri. Se si utilizzano CMK gestiti dal cliente per crittografare i valori `SecureString` protetti, è possibile utilizzare le policy IAM e le policy chiave per gestire le autorizzazioni per la crittografia e la decrittografia dei parametri.
È molto difficile stabilire le policy di controllo degli accessi per queste operazioni utilizzando una Chiave gestita da AWS. Ad esempio, se utilizzi an per Chiave gestita da AWS crittografare `SecureString` i parametri e non desideri che gli utenti utilizzino `SecureString` i parametri, le policy IAM dell'utente devono negare esplicitamente l'accesso alla chiave predefinita.
Per ulteriori informazioni, consulta[Limitazione dell'accesso ai parametri Parameter Store mediante policy IAM](sysman-paramstore-access.md)e[ComeAWS Systems ManagerParameter StoreUsa Usa AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html)nella*AWS Key Management Service Guida per gli sviluppatori*.
**Definire allowedValues e allowedPattern per parametri del documento**
È possibile convalidare l'input dell'utente per i parametri del documento Systems Manager (documenti SSM) definendo `allowedValues` e `allowedPattern`. Per `allowedValues`, definire una matrice di valori consentiti per il parametro. Se un utente inserisce un valore non consentito, l'esecuzione non viene avviata. Per `allowedPattern`, definire un'espressione regolare che convalida se l'input dell'utente corrisponde al modello definito per il parametro. Se l'input dell'utente non corrisponde al modello consentito, l'esecuzione non viene avviata.
Per ulteriori informazioni su `allowedValues` e `allowedPattern`, consulta [Elementi di dati e parametri](documents-syntax-data-elements-parameters.md).
**Blocca la condivisione pubblica per i documenti**
A meno che il caso d'uso non richieda l'autorizzazione della condivisione pubblica, si consiglia di attivare l'impostazione Blocca condivisione pubblica per i documenti SSM nella sezione **Preferenze** della console Documenti di Systems Manager.
**Utilizzare un Amazon Virtual Private Cloud (Amazon VPC) e gli endpoint VPC**
Puoi usare Amazon VPC per lanciare AWS risorse in una rete virtuale che hai definito. Questa rete virtuale è simile a una comune rete da gestire all’interno del proprio data center, ma con i vantaggi dell’infrastruttura scalabile di AWS.
Implementando un endpoint VPC, puoi connettere privatamente il tuo VPC a servizi endpoint VPC supportati Servizi AWS e forniti AWS PrivateLink da senza richiedere un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect Le istanze nel VPC non richiedono indirizzi IP pubblici per comunicare con risorse nel servizio. Il traffico tra il VPC e gli altri servizi non lascia la rete Amazon.
Per ulteriori informazioni sulla sicurezza di Amazon VPC, consulta [Migliora la sicurezza delle istanze EC2 utilizzando gli endpoint VPC per Systems Manager](setup-create-vpc.md) e [Riservatezza del traffico Internet in Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) nella *Guida per l'utente di Amazon VPC*.
**Limitare gli utenti Session Manager alle sessioni che utilizzano comandi interattivi e documenti di sessione SSM specifici**
Session Manager, uno strumento di AWS Systems Manager, fornisce [diversi metodi per avviare le sessioni](session-manager-working-with-sessions-start.md) nei nodi gestiti. Per le connessioni più sicure, è possibile richiedere agli utenti di connettersi utilizzando il metodo dei *comandi interattivi* per limitare l'interazione dell'utente a uno specifico comando o a una sequenza di comandi. Ciò consente di gestire le operazioni interattive che un utente può intraprendere. Per ulteriori informazioni, consulta [Avvio di una sessione (comandi interattivi e non interattivi)](session-manager-working-with-sessions-start.md#sessions-start-interactive-commands).
Per una maggiore sicurezza, è possibile limitare l'accesso Session Manager a istanze Amazon EC2 specifiche e a documenti di sessione Session Manager specifici. Puoi concedere o revocare l'Session Manageraccesso in questo modo utilizzando le policy (IAM). AWS Identity and Access Management Per ulteriori informazioni, consulta [Fase 3: Controlla l'accesso della sessione ai nodi gestiti](session-manager-getting-started-restrict-access.md).
**Fornire autorizzazioni di nodo temporanee per flussi di lavoro di automazione**
Durante un flusso di lavoro in Automazione, uno strumento di AWS Systems Manager, i nodi potrebbero aver bisogno delle autorizzazioni necessarie solo per tale esecuzione, ma non per altre operazioni Systems Manager. Ad esempio, un flusso di lavoro di automazione potrebbe richiedere che un nodo chiami una particolare operazione API o acceda a una AWS risorsa specificamente durante il flusso di lavoro. Se queste chiamate o risorse sono quelle a cui si desidera limitare l'accesso, è possibile fornire autorizzazioni temporanee e supplementari per i nodi all'interno del runbook di Automazione stesso invece di aggiungere le autorizzazioni al profilo dell'istanza IAM. Al termine dell'esecuzione di automazione, le autorizzazioni temporanee vengono rimosse. Per ulteriori informazioni, consulta [Fornire autorizzazioni di istanza temporanee con le automazioni AWS Systems Manager](https://aws.amazon.com/blogs/mt/providing-temporary-instance-permissions-with-aws-systems-manager-automations/) nel *Blog di Gestione e Controllo AWS *.
** AWS Mantieni aggiornati Systems Manager gli strumenti**
AWS rilascia regolarmente versioni aggiornate di strumenti e plugin che puoi utilizzare nelle tue AWS Systems Manager operazioni. Mantenere aggiornate queste risorse garantisce che gli utenti e i nodi dell'account abbiano accesso alle funzionalità e alle funzioni di sicurezza più recenti di questi strumenti.
+ SSM Agent – AWS Systems Manager Agent (SSM Agent) è un software Amazon che può essere installato e configurato su un'istanza Amazon Elastic Compute Cloud (Amazon EC2), un server on-premises o una macchina virtuale (VM). SSM Agent consente a Systems Manager di aggiornare, gestire e configurare tali risorse. Si consiglia di verificare la presenza di nuove versioni o di automatizzare gli aggiornamenti dell'agente almeno ogni due settimane. Per informazioni, consulta [Automazione degli aggiornamenti di SSM Agent](ssm-agent-automatic-updates.md). Ti consigliamo inoltre di verificare la firma di SSM Agent nell'ambito del processo di aggiornamento. Per informazioni, consulta [Verifica della firma di SSM Agent](verify-agent-signature.md).
+ AWS CLI — The AWS Command Line Interface (AWS CLI) è uno strumento open source che consente di interagire Servizi AWS utilizzando i comandi nella shell della riga di comando. Per aggiornare il AWS CLI, si esegue lo stesso comando utilizzato per installare il. AWS CLI Si consiglia di creare un'attività pianificata sul computer locale per eseguire il comando appropriato al sistema operativo almeno una volta ogni due settimane. Per informazioni sui comandi di installazione, vedere [Installazione della AWS CLI versione 2](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) nella *Guida per l'AWS Command Line Interface utente*.
+ AWS Tools for Windows PowerShell — Gli strumenti per Windows PowerShell sono un insieme di PowerShell moduli basati sulle funzionalità esposte dall' AWS SDK for .NET. Ti AWS Tools for Windows PowerShell consentono di eseguire operazioni tramite script sulle tue AWS risorse dalla PowerShell riga di comando. Periodicamente, man mano che PowerShell vengono rilasciate versioni aggiornate degli Strumenti per Windows, è necessario aggiornare la versione in esecuzione localmente. Per informazioni, consulta [Aggiornamento AWS Tools for Windows PowerShell su Windows](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-windows.html#pstools-updating) o [Aggiornamento AWS Tools for Windows PowerShell su Linux o macOS](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-linux-mac.html#pstools-updating-linux) nella *Guida per l'utente di IAM Policy Simulator*.
+ Plug-in di Session Manager - Se gli utenti dell'organizzazione con autorizzazioni a utilizzare Session Manager desiderano connettersi a un nodo utilizzando l' AWS CLI, devono prima installare il plug-in Session Manager sui computer locali. Per aggiornare il plugin, si esegue lo stesso comando utilizzato per installare il plugin. Si consiglia di creare un'attività pianificata sul computer locale per eseguire il comando appropriato al sistema operativo almeno una volta ogni due settimane. Per informazioni, consulta [Installa il Session Manager plugin per AWS CLI](session-manager-working-with-install-plugin.md).
+ CloudWatch agente: puoi configurare e utilizzare l' CloudWatch agente per raccogliere metriche e log dalle istanze EC2, dalle istanze locali e dalle macchine virtuali (). VMs Questi log possono essere inviati ad Amazon CloudWatch Logs per il monitoraggio e l'analisi. Si consiglia di verificare la presenza di nuove versioni o di automatizzare gli aggiornamenti dell'agente almeno ogni due settimane. Per gli aggiornamenti più semplici, utilizza la configurazione rapida di AWS Systems Manager. Per informazioni, consulta [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md).
## Best practice per l'installazione di SSM Agent
Durante l'installazione dell'SSM Agent, utilizza il metodo di installazione appropriato per il tipo di macchina in uso. In particolare, utilizza lo strumento `ssm-setup-cli` per tutte le installazioni non EC2 in un ambiente [ibrido e multicloud](operating-systems-and-machine-types.md#supported-machine-types). Questo strumento fornisce protezioni di sicurezza aggiuntive per macchine non EC2.
Per installare l'agente sui server on-premises e sulle macchine virtuali, utilizzare lo strumento `ssm-setup-cli` come descritto nei seguenti argomenti:
+ [Installare SSM Agent su nodi Linux ibridi](hybrid-multicloud-ssm-agent-install-linux.md)
+ [Installazione di SSM Agent su nodi ibridi di Windows Server](hybrid-multicloud-ssm-agent-install-windows.md)
Per installare l'agente sulle istanze EC2, utilizza la procedura di installazione appropriata per il tipo di sistema operativo:
+ [Installazione e disinstallazione manuale di SSM Agent su istanze EC2 per Linux](manually-install-ssm-agent-linux.md)
+ [Installazione e disinstallazione manuale di SSM Agent su istanze EC2 per macOS](manually-install-ssm-agent-macos.md)
+ [Installazione e disinstallazione manuale di SSM Agent su istanze EC2 per Windows Server](manually-install-ssm-agent-windows.md)
## Best practice di monitoraggio e auditing di Systems Manager
Le best practice seguenti per Systems Manager consentono di rilevare potenziali debolezze e incidenti di sicurezza.
**Identificare e controllare tutte le risorse di Systems Manager**
L'identificazione degli asset IT è un aspetto essenziale di governance e sicurezza. È richiesta identificare tutte le risorse Systems Manager per valutare il loro assetto di sicurezza e intervenire su aree di debolezza potenziali.
Utilizza Tag Editor per identificare risorse sensibili alla sicurezza e risorse sensibili al controllo, quindi utilizza questi tag quando occorre cercare le risorse. Per ulteriori informazioni, consulta [Ricerca di risorse per i tag](https://docs.aws.amazon.com/ARG/latest/userguide/find-resources-to-tag.html) nella *Guida per l'utente AWS Resource Groups *.
Crea gruppi di risorse per le risorse Systems Manager. Per ulteriori informazioni, consulta [Che cos'è Resource Groups?](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html).
**Implementa il monitoraggio utilizzando gli strumenti CloudWatch di monitoraggio di Amazon**
Il monitoraggio è importante per garantire l'affidabilità, la disponibilità e le prestazioni di Systems Manager e delle soluzioni AWS . Amazon CloudWatch offre diversi strumenti e servizi per aiutarti a monitorare Systems Manager e a gestire le tue attività Servizi AWS. Per ulteriori informazioni, consultare [Invio dei log dei nodi a CloudWatch registri unificati (agente) CloudWatch](monitoring-cloudwatch-agent.md) e [Monitoraggio degli eventi di Systems Manager con Amazon EventBridge](monitoring-eventbridge-events.md).
**Usa CloudTrail**
AWS CloudTrail fornisce un registro delle azioni intraprese da un utente, un ruolo o un Servizio AWS membroSystems Manager. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare a quale richiesta è stata inviataSystems Manager, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi. Per ulteriori informazioni, consulta [Registrazione delle chiamate AWS Systems Manager API con AWS CloudTrail](monitoring-cloudtrail-logs.md).
**Attiva AWS Config**
AWS Config consente di valutare, controllare e valutare le configurazioni delle AWS risorse. AWS Config monitora le configurazioni delle risorse, consentendo di valutare le configurazioni registrate rispetto alle configurazioni sicure richieste. Utilizzando AWS Config, è possibile esaminare le modifiche nelle configurazioni e nelle relazioni tra le AWS risorse, esaminare le cronologie dettagliate delle configurazioni delle risorse e determinare la conformità complessiva rispetto alle configurazioni specificate nelle linee guida interne. Questo semplifica il controllo della conformità, l'analisi della sicurezza, la gestione delle modifiche e la risoluzione dei problemi operativi. Per ulteriori informazioni, consulta la sezione [Configurazione di AWS Config con la console](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) nella *Guida per gli sviluppatori di AWS Config *. Durante la specifica dei tipi di risorse da registrare, assicurati di includere le risorse Systems Manager.
**Monitora gli avvisi di sicurezza AWS **
Dovresti controllare regolarmente gli avvisi di sicurezza pubblicati Trusted Advisor su. Account AWS Puoi farlo a livello di codice usando. [describe-trusted-advisor-checks](https://docs.aws.amazon.com/cli/latest/reference/support/describe-trusted-advisor-checks.html)
Inoltre, monitora attivamente l'indirizzo email principale registrato su ciascuno dei tuoi. Account AWS AWS ti contatterà, utilizzando questo indirizzo email, in merito a problemi di sicurezza emergenti che potrebbero interessarti.
AWS i problemi operativi di ampio impatto sono pubblicati nel [AWS Service Health Dashboard](https://status.aws.amazon.com/). Problemi operativi sono anche pubblicati su singoli account tramite il Personal Health Dashboard. Per ulteriori informazioni, consulta la [Documentazione AWS Health](https://docs.aws.amazon.com/health/).
**Ulteriori informazioni**
+ [Best practice per sicurezza, identità e conformità.](https://aws.amazon.com/architecture/security-identity-compliance/)
+ [Guida introduttiva: segui le migliori pratiche di sicurezza durante la configurazione AWS delle risorse](https://aws.amazon.com/blogs/security/getting-started-follow-security-best-practices-as-you-configure-your-aws-resources/) (AWS Security Blog)
+ [Best practice per la sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Le migliori pratiche di sicurezza in AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html)
+ [Best practice di sicurezza per Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)
+ [Migliori pratiche di sicurezza per AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html)