Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Controlla il traffico verso AWS le tue risorse utilizzando i gruppi di sicurezza
<a name="vpc-security-groups"></a>

Un *gruppo di sicurezza* controlla il traffico consentito per raggiungere e lasciare le risorse a cui è associato. Ad esempio, dopo aver associato un gruppo di sicurezza a un'istanza EC2, controlla il traffico in entrata e in uscita per l'istanza.

Al momento della creazione di un VPC, questo include un gruppo di sicurezza di default. È possibile creare gruppi di sicurezza aggiuntivi per un VPC, ciascuno con le proprie regole in entrata e in uscita. È possibile specificare l'origine, l'intervallo di porte e il protocollo per ogni regola in entrata. È possibile specificare la destinazione, l'intervallo di porte e il protocollo per ogni regola in uscita.

Il diagramma seguente mostra un VPC con una sottorete, un gateway Internet e un gruppo di sicurezza. La sottorete contiene un'istanza EC2. Il gruppo di sicurezza del viene assegnato all'istanza. Il gruppo di sicurezza funziona da firewall virtuale. L'unico traffico che raggiunge l'istanza è quello consentito dalle regole del gruppo di sicurezza. Ad esempio, se il gruppo di sicurezza contiene una regola che consente il traffico ICMP verso l'istanza dalla rete, è possibile eseguire il ping dell'istanza dal computer. Se il gruppo di sicurezza non contiene una regola che consenta il traffico SSH, non potrai connetterti all'istanza tramite SSH.

![\[VPC con 2 sottoreti, 2 gruppi di sicurezza, server in sottoreti associati a gruppi di sicurezza diversi\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/security-group-overview.png)


**Topics**
+ [

## Nozioni di base sui gruppi di sicurezza
](#security-group-basics)
+ [

## Esempio di gruppo di sicurezza
](#security-group-example-details)
+ [

# Regole del gruppo di sicurezza
](security-group-rules.md)
+ [Gruppi di sicurezza predefiniti](default-security-group.md)
+ [Creare un gruppo di sicurezza](creating-security-groups.md)
+ [

# Configurazione delle regole per i gruppi di sicurezza
](working-with-security-group-rules.md)
+ [

# Eliminare un gruppo di sicurezza
](deleting-security-groups.md)
+ [

# Associare gruppi di sicurezza a più gruppi di sicurezza VPCs
](security-group-assoc.md)
+ [

# Condividi i gruppi di sicurezza con AWS Organizations
](security-group-sharing.md)

**Prezzi**  
L'utilizzo di gruppi di sicurezza non comporta costi supplementari.

## Nozioni di base sui gruppi di sicurezza
<a name="security-group-basics"></a>
+ È possibile assegnare un gruppo di sicurezza a risorse create nello stesso VPC del gruppo di sicurezza o a risorse in VPCs altro se si utilizza [la funzione Security Group VPC Association](security-group-assoc.md) per associare il gruppo di sicurezza ad VPCs altri nella stessa regione. Puoi anche assegnare più gruppi di sicurezza a un’unica risorsa.
+ Quando crei un gruppo di sicurezza, devi indicarne il nome e la descrizione. Si applicano le regole seguenti:
  + Il nome di un gruppo di sicurezza deve Essere univoco all'interno del VPC.
  + I nomi dei gruppi di sicurezza non prevedono una distinzione tra lettere maiuscole e minuscole.
  + I nomi e le descrizioni possono avere una lunghezza massima di 255 caratteri.
  + I nomi e le descrizioni possono contenere solo i seguenti caratteri: a-z, A-Z, 0-9, spazi e .\$1-:/()\$1,@[]\$1=&;\$1\$1\$1\$1\$1.
  + Quando il nome contiene spazi finali, questi vengono eliminati. Ad esempio, se inserisci “Test Security Group ". per il nome, lo memorizziamo come “Test Security Group”.
  + Il nome di un gruppo di sicurezza non può iniziare per `sg-`.
+ I gruppi di sicurezza sono stateful. Ad esempio, inviando una richiesta da un'istanza, il traffico in risposta alla richiesta è autorizzato a raggiungerla, indipendentemente dalle regole in entrata del gruppo di sicurezza. Le risposte al traffico in entrata autorizzato possono lasciare l'istanza indipendentemente dalle regole in uscita.
+ I gruppi di sicurezza non filtrano il traffico destinato a e da i seguenti:
  + Amazon Domain Name Services (DNS)
  + Amazon Dynamic Host Configuration Protocol (DHCP)
  + Metadati delle istanze Amazon EC2.
  + Endpoint di metadati dei processi Amazon ECS
  + Attivazione della licenza per le istanze Windows
  + Servizio di sincronizzazione oraria di Amazon
  + Indirizzi IP riservati utilizzati dal router VPC predefinito
+ Esistono delle quote per il numero di gruppi di sicurezza che si possono creare per ogni VPC, al numero di regole che si possono aggiungere a ciascun gruppo di sicurezza e al numero di gruppi di sicurezza che si possono associare a un'interfaccia di rete. Per ulteriori informazioni, consulta [Quote Amazon VPC](amazon-vpc-limits.md).

**Best practice**
+ Autorizza solo specifici principali IAM a creare e modificare gruppi di sicurezza.
+ Crea il numero minimo di gruppi di sicurezza di cui hai bisogno per ridurre il rischio di errore. Utilizza ogni gruppo di sicurezza per gestire l'accesso a risorse con funzioni e requisiti di sicurezza simili.
+ Quando aggiungi regole per le porte 22 (SSH) o 3389 (RDP) in modo da poter accedere alle istanze EC2, autorizza solo intervalli di indirizzi IP specifici. Se specificate 0.0.0.0/0 (IPv4) e: :/ (IPv6), ciò consente a chiunque di accedere alle vostre istanze da qualsiasi indirizzo IP utilizzando il protocollo specificato.
+ Non aprire grandi intervalli di porte. Assicurati che l'accesso tramite ciascuna porta sia limitato alle origini o alle destinazioni che lo richiedono.
+ Valuta la possibilità di creare una rete ACLs con regole simili ai tuoi gruppi di sicurezza, per aggiungere un ulteriore livello di sicurezza al tuo VPC. Per ulteriori informazioni sulle differenze tra gruppi di sicurezza e rete ACLs, consulta[Confronta i gruppi di sicurezza e la rete ACLs](infrastructure-security.md#VPC_Security_Comparison).

## Esempio di gruppo di sicurezza
<a name="security-group-example-details"></a>

Il seguente diagramma mostra un VPC con due gruppi di sicurezza e due sottoreti. Le istanze nella sottorete A hanno gli stessi requisiti di connettività, quindi sono associate al gruppo di sicurezza 1. Le istanze nella sottorete B hanno gli stessi requisiti di connettività, quindi sono associate al gruppo di sicurezza 2. Le regole del gruppo di sicurezza consentono il traffico nel modo seguente:
+ La prima regola in entrata nel gruppo di sicurezza 1 consente il traffico SSH verso le istanze nella sottorete A dall'intervallo di indirizzi specificato (ad esempio, un intervallo nella propria rete).
+ La seconda regola in entrata nel gruppo di sicurezza 1 consente alle istanze della sottorete A di comunicare tra loro utilizzando qualsiasi protocollo e porta.
+ La seconda regola in entrata nel gruppo di sicurezza 2 consente alle istanze della sottorete B di comunicare tra loro utilizzando qualsiasi protocollo e porta.
+ La seconda regola in entrata nel gruppo di sicurezza 2 consente alle istanze della sottorete A di comunicare con le istanze nella sottorete B utilizzando SSH.
+ Entrambi i gruppi di sicurezza usano la regola in uscita predefinita che consente tutto il traffico.

![\[Un VPC con due gruppi di sicurezza e server in due sottoreti. I server nella sottorete A sono associati al gruppo di sicurezza 1. I server nella sottorete B sono associati al gruppo di sicurezza 2.\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/security-group-details.png)


# Regole del gruppo di sicurezza
<a name="security-group-rules"></a>

Le regole di un gruppo di sicurezza controllano il traffico in entrata autorizzato a raggiungere le risorse associate al gruppo di sicurezza. e il traffico in uscita autorizzato a lasciarle.

Puoi aggiungere o rimuovere le regole di un gruppo di sicurezza (*autorizzazione* o *revoca* dell'accesso in entrata o in uscita). Una regola si applica al traffico in entrata (ingresso) o al traffico in uscita (uscita). Puoi concedere l'accesso a un'origine o a una destinazione specifica.

**Topics**
+ [

## Nozioni di base sulle regole dei gruppi di sicurezza
](#security-group-rule-characteristics)
+ [

## Componenti di una regola di un gruppo di sicurezza
](#security-group-rule-components)
+ [

## Riferimenti dei gruppi di sicurezza
](#security-group-referencing)
+ [

## Dimensioni dei gruppi di sicurezza
](#security-group-size)
+ [

## Regole obsolete del gruppo di sicurezza
](#vpc-stale-security-group-rules)

## Nozioni di base sulle regole dei gruppi di sicurezza
<a name="security-group-rule-characteristics"></a>

Di seguito sono riportate le caratteristiche delle regole dei gruppi di sicurezza:
+ Puoi specificare regole che autorizzano, non regole che negano.
+ Al momento della sua creazione, un gruppo di sicurezza è privo di regole in entrata. Di conseguenza, non è consentito alcun traffico in entrata fino a quando al gruppo di sicurezza non vengono aggiunte regole in entrata.
+ Quando si crea per la prima volta un gruppo di sicurezza, questo include una regola in uscita che consente tutto il traffico in uscita dalla risorsa. Puoi rimuovere la regola e aggiungere regole in uscita che autorizzano l'uscita solo di un determinato tipo di traffico. Se un gruppo di sicurezza è privo di regole in uscita, non viene autorizzato alcun traffico in uscita.
+ Se si associano a una risorsa molteplici gruppi di sicurezza, le regole di ciascun gruppo di sicurezza vengono aggregate efficacemente per creare un unico set di regole utilizzate per determinare se consentire l'accesso o meno.
+ Quando si aggiunge, aggiorna o rimuove delle regole, queste si applicano automaticamente a tutte le risorse associate al gruppo di sicurezza. Per istruzioni, consulta [Configurazione delle regole per i gruppi di sicurezza](working-with-security-group-rules.md).
+ Gli effetti di alcune modifiche delle regole possono dipendere dalle modalità di monitoraggio del traffico. Per maggiori informazioni, consulta [Tracciamento delle connessioni](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) nella *Guida dell'utente di Amazon EC2*.
+ Quando crei una regola del gruppo di sicurezza, AWS assegna un ID univoco alla regola. È possibile utilizzare l'ID di una regola quando si utilizza l'API o la CLI per modificare o eliminare la regola.

**Limitazione**  
[I gruppi di sicurezza non possono bloccare le richieste DNS da o verso il Route 53 Resolver, a volte indicato come «indirizzo IP VPC\$12» (vedi [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)nella *Amazon Route 53* Developer Guide) o come DNS. AmazonProvided](DHCPOptionSet.md) Per filtrare le richieste DNS attraverso il risolutore Route 53, utilizza [DNS Firewall per il risolutore Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html).

## Componenti di una regola di un gruppo di sicurezza
<a name="security-group-rule-components"></a>

Di seguito vengono riportati i componenti delle regole del gruppo di sicurezza in entrata e in uscita:
+ **Protocollo**: il protocollo da autorizzare. I protocolli più comuni sono 6 (TCP) 17 (UDP) e 1 (ICMP).
+ **Intervallo di porte**: per un protocollo personalizzato o per TCP e UDP, l'intervallo di porte da autorizzare. Puoi specificare un solo numero di porta (ad esempio `22`) o un intervallo dei numeri di porta (ad esempio `7000-8000`).
+ **Tipo e codice ICMP**: per ICMP, il tipo e il codice ICMP. Ad esempio, usa il tipo 8 per ICMP Echo Request o il tipo 128 per Echo Request. ICMPv6 Per ulteriori informazioni, consulta [Rules for ping/ICMP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-ping) nella *Guida per l’utente di Amazon EC2*.
+ **Origine o destinazione**: l'origine (regole in entrata) o la destinazione (regole in uscita) del traffico da consentire. Specifica una delle seguenti proprietà:
  + Un unico indirizzo. IPv4 Devi utilizzare la lunghezza del prefisso `/32`. Ad esempio, `203.0.113.1/32`. 
  + Un solo IPv6 indirizzo. Devi utilizzare la lunghezza del prefisso `/128`. Ad esempio, `2001:db8:1234:1a00::123/128`.
  + Un intervallo di IPv4 indirizzi, in notazione a blocchi CIDR. Ad esempio, `203.0.113.0/24`.
  + Una serie di IPv6 indirizzi, in notazione a blocchi CIDR. Ad esempio, `2001:db8:1234:1a00::/64`.
  + L'ID di un elenco di prefissi. Ad esempio, `pl-1234abc1234abc123`. Per ulteriori informazioni, consulta [Elenchi di prefissi gestiti](managed-prefix-lists.md).
  + L'ID di un gruppo di sicurezza. Ad esempio, `sg-1234567890abcdef0`. Per ulteriori informazioni, consulta [Riferimenti dei gruppi di sicurezza](#security-group-referencing).
+ **(Opzionale) Descrizione**: puoi aggiungere una descrizione della regola, per semplificarne l'identificazione in un secondo momento. Una descrizione può essere lunga fino a 255 caratteri. I caratteri consentiti sono a-z, A-Z, 0-9, spazi e .\$1-:/()\$1,@[]\$1=;\$1\$1\$1\$1\$1.

Per vedere esempi, consulta [Security group rules for different use cases](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html) nella *Guida per l’utente di Amazon EC2*.

## Riferimenti dei gruppi di sicurezza
<a name="security-group-referencing"></a>

Quando specifichi un gruppo di sicurezza come origine o destinazione di una regola, la regola interessa tutte le istanze associate ai gruppi di sicurezza. Le istanze possono comunicare nella direzione specificata utilizzando gli indirizzi IP privati delle istanze tramite il protocollo e la porta specificati.

Ad esempio, la tabella seguente rappresenta una regola in entrata per un gruppo di sicurezza che si riferisce al gruppo di sicurezza sg-0abcdef1234567890. Questa regola consente il traffico SSH in entrata dalle istanze associate a sg-0abcdef1234567890.


| Crea | Protocollo | Intervallo porte | 
| --- | --- | --- | 
| sg-0abcdef1234567890 | TCP | 22 | 

Quando fai riferimento a un gruppo di sicurezza in una regola di un gruppo di sicurezza, tieni presente quanto segue:
+ È possibile fare riferimento a un gruppo di sicurezza nella regola in entrata di un altro gruppo se si verifica una delle seguenti condizioni:
  + I gruppi di sicurezza sono associati allo stesso VPC.
  + Esiste una connessione peering tra i gruppi di sicurezza a VPCs cui sono associati i gruppi di sicurezza.
  + Esiste un gateway di transito tra quelli a VPCs cui sono associati i gruppi di sicurezza.
+ È possibile fare riferimento a un gruppo di sicurezza nella regola in entrata se si verifica una delle seguenti condizioni:
  + I gruppi di sicurezza sono associati allo stesso VPC.
  + Esiste una connessione peering tra quelli a VPCs cui sono associati i gruppi di sicurezza.
+ Nessuna regola del gruppo di sicurezza di riferimento viene aggiunta al gruppo di sicurezza che vi fa riferimento.
+ Per le regole in entrata, le istanze EC2 associate al gruppo di sicurezza possono ricevere traffico in entrata dagli indirizzi IP privati dalle interfacce di rete delle istanze EC2 associate al gruppo di sicurezza di riferimento.
+ Per le regole in uscita, le istanze EC2 associate al gruppo di sicurezza possono indirizzare traffico in uscita agli indirizzi IP privati dalle interfacce di rete delle istanze EC2 associate al gruppo di sicurezza di riferimento.
+ I gruppi di sicurezza di riferimento non sono autorizzati per le seguenti operazioni: `AuthorizeSecurityGroupIngress`, `AuthorizeSecurityGroupEgress`, `RevokeSecurityGroupIngress` e `RevokeSecurityGroupEgress`. In questi casi, verifichiamo solo che il gruppo di sicurezza esista. I risultati sono illustrati di seguito:
  + L’indicazione del gruppo di sicurezza di riferimento nelle policy IAM per queste operazioni non ha alcun effetto.
  + Quando un gruppo di sicurezza a cui si fa riferimento è di proprietà di un altro account, l'account del proprietario non riceve CloudTrail eventi per queste azioni.

**Limitazione**

Se le route vengono configurate per inoltrare il traffico tra due istanze in sottoreti diverse attraverso un'appliance middlebox, è necessario assicurarsi che i gruppi di sicurezza per entrambe le istanze consentano il flusso del traffico tra le istanze. Il gruppo di sicurezza per ogni istanza deve fare riferimento all'indirizzo IP privato dell'altra istanza o all'intervallo CIDR della sottorete che contiene l'altra istanza come origine. Se si fa riferimento al gruppo di sicurezza dell’altra istanza come origine, allora il flusso del traffico tra le istanze non sarà consentito.

**Esempio**

Il seguente diagramma mostra un VPC con sottoreti in due zone di disponibilità, un gateway Internet e un Application Load Balancer. Ogni zona di disponibilità ha una sottorete pubblica per i server web e una sottorete privata per i server di database. Esistono gruppi di sicurezza separati per il sistema di bilanciamento del carico, i server web e i server di database. Crea le seguenti regole del gruppo di sicurezza per consentire il traffico.
+ Aggiungi regole al gruppo di sicurezza del sistema di bilanciamento del carico per consentire il traffico HTTP e HTTPS da Internet. Il codice sorgente è 0.0.0.0/0.
+ Aggiungi regole al gruppo di sicurezza dei server Web per consentire il traffico HTTP e HTTPS solo dal sistema di bilanciamento del carico. L'origine è il gruppo di sicurezza per il sistema di bilanciamento del carico.
+ Aggiungi regole al gruppo di sicurezza dei server di database per consentire le richieste dei database dai server Web. L'origine è il gruppo di sicurezza dei server Web.

![\[Architettura con server web e db, gruppi di sicurezza, gateway Internet e bilanciatori del carico\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/security-group-referencing.png)


## Dimensioni dei gruppi di sicurezza
<a name="security-group-size"></a>

Il tipo di origine o destinazione determina la modalità con cui ogni regola viene conteggiata ai fini del numero massimo di regole che è possibile avere per ogni gruppo di sicurezza.
+ Una regola che fa riferimento a un blocco CIDR viene conteggiata come regola singola.
+ Una regola che fa riferimento a un altro gruppo di sicurezza viene conteggiata come regola singola, indipendentemente dalle dimensioni del gruppo di sicurezza di riferimento.
+ Una regola che fa riferimento a un elenco di prefissi gestito dal cliente viene conteggiata in base alla dimensione massima dell'elenco di prefissi. Ad esempio, se la dimensione massima dell'elenco di prefissi è 20, una regola che fa riferimento a questo elenco di prefissi viene conteggiata come 20 regole.
+ Una regola che fa riferimento a un elenco di prefissi AWS-managed conta come peso dell'elenco di prefissi. Ad esempio, se il peso dell'elenco di prefissi è 10, una regola che fa riferimento a tale elenco di prefissi viene conteggiata come 10 regole. Per ulteriori informazioni, consulta [Elenchi di prefissi gestiti disponibili AWS](working-with-aws-managed-prefix-lists.md#available-aws-managed-prefix-lists).

## Regole obsolete del gruppo di sicurezza
<a name="vpc-stale-security-group-rules"></a>

Se il VPC ha una connessione peering VPC con un altro VPC, o se utilizza un VPC condiviso da un altro account, una regola del gruppo di sicurezza potrebbe fare riferimento all'altro gruppo di sicurezza nel VPC simile o condiviso. Ciò consente alle risorse associate al gruppo di sicurezza e a quelle associate al gruppo di protezione di riferimento di comunicare tra loro. Per ulteriori informazioni, consulta la sezione relativa all'[aggiornamento dei gruppi di sicurezza per fare riferimento ai gruppi di sicurezza in peering](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html) nella *Guida ad Amazon VPC Peering*.

Se disponi di una regola del gruppo di sicurezza che fa riferimento a un gruppo in un VPC in peering o condiviso e il gruppo di sicurezza nel VPC condiviso viene eliminato o la connessione peering VPC viene eliminata, la regola del gruppo viene contrassegnata come obsoleta. Le regole obsolete possono essere Eliminate nello stesso modo delle altre regole del gruppo di sicurezza.

# Gruppi di sicurezza predefiniti per i tuoi VPCs
<a name="default-security-group"></a>

I tuoi valori predefiniti VPCs e quelli VPCs che crei includono un gruppo di sicurezza predefinito. Il nome del gruppo di sicurezza predefinito è "default".

Ti consigliamo di creare gruppi di sicurezza per risorse o gruppi di risorse specifici invece di utilizzare il gruppo di sicurezza predefinito. Tuttavia, per alcune risorse, se non si associa un gruppo di sicurezza quando vengono create, queste vengono associate al gruppo di sicurezza predefinito. Ad esempio, se non specifichi un gruppo di sicurezza all'avvio di un'istanza EC2, l'istanza sarà associata al gruppo di sicurezza predefinito per il relativo VPC.

## Nozioni di base sui gruppi di sicurezza predefiniti
<a name="default-security-group-basics"></a>
+ È possibile modificare le regole di un gruppo di sicurezza di default.
+ Non è possibile eliminare un gruppo di sicurezza predefinito. Se provi a eliminare un gruppo di sicurezza predefinito, sarà restituito il seguente codice di errore: `Client.CannotDelete`.

## Regole predefinite
<a name="default-security-group-default-rules"></a>

La tabella seguente descrive le regole in entrata predefinite di un gruppo di sicurezza predefinito.


| Crea | Protocollo | Intervallo porte | Description | 
| --- | --- | --- | --- | 
| sg-1234567890abcdef0  | Tutti | Tutti | Consente il traffico in entrata da tutte le risorse assegnate a questo gruppo di sicurezza. L'origine è l'ID di questo gruppo di sicurezza. | 

La tabella seguente descrive le regole in uscita predefinite di un gruppo di sicurezza predefinito.


| Destinazione | Protocollo | Intervallo porte | Descrizione | 
| --- | --- | --- | --- | 
| 0.0.0.0/0 | Tutti | Tutti | Consente tutto il IPv4 traffico in uscita. | 
| ::/0 | Tutti | Tutti | Consente tutto il traffico in uscita IPv6 . Questa regola viene aggiunta solo se al VPC è associato un blocco IPv6 CIDR. | 

## Esempio
<a name="default-security-group-example"></a>

Il diagramma seguente mostra un VPC con un gruppo di sicurezza predefinito, un gateway Internet e un gateway NAT. Il gruppo di sicurezza predefinito contiene solo le regole predefinite ed è associato a due istanze EC2 in esecuzione nel cloud VPC. In questo scenario, ogni istanza può ricevere traffico in entrata da un'altra istanza su tutte le porte e i protocolli. Le regole predefinite non consentono alle istanze di ricevere traffico dal gateway Internet o dal gateway NAT. Se le istanze devono ricevere traffico aggiuntivo, è consigliabile creare un gruppo di sicurezza con le regole richieste e associare il nuovo gruppo di sicurezza alle istanze anziché il gruppo di sicurezza predefinito.

![\[VPC con 2 sottoreti, gruppo di sicurezza predefinito, 2 istanze EC2, gateway Internet e gateway NAT\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/default-security-group.png)


# Creazione di un gruppo di sicurezza per il VPC
<a name="creating-security-groups"></a>

Il cloud privato virtuale (VPC) include un gruppo di sicurezza predefinito. È possibile creare gruppi di sicurezza aggiuntivi. I gruppi di sicurezza possono essere utilizzati solo con le risorse nel VPC per cui vengono creati.

Di default, i nuovi gruppi di sicurezza hanno solo una regola in uscita che autorizza tutto il traffico a lasciare la risorsa. Devi aggiungere le regole per autorizzare qualsiasi tipo di traffico in entrata o per limitare quello in uscita. È possibile aggiungere regole quando si crea un gruppo di sicurezza o in un secondo momento. Per ulteriori informazioni, consulta [Regole del gruppo di sicurezza](security-group-rules.md).

**Autorizzazioni richieste**

Prima di iniziare, assicurati di disporre delle autorizzazioni richieste. Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Gestione dei gruppi di sicurezza](vpc-policy-examples.md#vpc-security-groups-iam)
+ [Gestione delle regole del gruppo di sicurezza](vpc-policy-examples.md#vpc-security-group-rules-iam)

**Per creare un gruppo di sicurezza tramite console**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Scegli **Gruppi di sicurezza** nel riquadro di navigazione.

1. Scegliere **Create Security Group (Crea gruppo di sicurezza)**.

1. Immettere un nome e una descrizione per il gruppo di sicurezza. Non è possibile modificare il nome e la descrizione di un gruppo di sicurezza dopo averlo creato.

1. Per **VPC**, scegli il VPC in cui creare le risorse a cui associare il gruppo di sicurezza.

1. (Facoltativo) Per aggiungere regole in entrata, scegli **Regole in entrata**. Per ogni regola, scegli **Aggiungi regola** e specifica il protocollo, la porta e l'origine. Per ulteriori informazioni, consulta [Configurazione delle regole per i gruppi di sicurezza](working-with-security-group-rules.md).

1. (Facoltativo) Per aggiungere regole in uscita, scegli **Regole in uscita**. Per ogni regola, scegli **Aggiungi regola** e specifica il protocollo, la porta e la destinazione.

1. (Facoltativo) Per aggiungere un tag, scegli **Add new tag** (Aggiungi nuovo tag) e immetti la chiave e il valore del tag.

1. Scegliere **Create Security Group** (Crea gruppo di sicurezza).

**Per creare un gruppo di sicurezza utilizzando AWS CLI**  
Utilizza il comando [create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html).

In alternativa, puoi creare un nuovo gruppo di sicurezza copiandone uno esistente. Quando copi un gruppo di sicurezza, aggiungiamo automaticamente le stesse regole in entrata e in uscita del gruppo di sicurezza originale e utilizziamo lo stesso VPC del gruppo di sicurezza originale. Puoi immettere un nome e una descrizione per il nuovo gruppo di sicurezza. Facoltativamente, puoi scegliere un VPC diverso e modificare le regole in entrata e in uscita secondo le esigenze. Tuttavia, non puoi copiare un gruppo di sicurezza da una Regione a un'altra.

**Per creare un gruppo di sicurezza in base a uno esistente**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel pannello di navigazione, seleziona **Gruppi di sicurezza**.

1. Selezionare un gruppo di sicurezza.

1. Scegli **Operazioni**, **Copia in un nuovo gruppo di sicurezza**.

1. Immettere un nome e una descrizione per il gruppo di sicurezza.

1. (Facoltativo) Scegli un VPC diverso se necessario.

1. (Facoltativo) Aggiungi, rimuovi o modifica le regole del gruppo di sicurezza in base alle esigenze.

1. Scegliere **Create Security Group** (Crea gruppo di sicurezza).

# Configurazione delle regole per i gruppi di sicurezza
<a name="working-with-security-group-rules"></a>

Dopo aver creato un gruppo di sicurezza, puoi aggiungere, aggiornare ed eliminare le relative regole. Quando aggiungi, aggiorni o elimini una regola, la modifica viene applicata automaticamente alle risorse associate a quel gruppo.

**Autorizzazioni richieste**  
Prima di iniziare, assicurati di disporre delle autorizzazioni richieste. Per ulteriori informazioni, consulta [Gestione delle regole del gruppo di sicurezza](vpc-policy-examples.md#vpc-security-group-rules-iam).

**Protocolli e porte**
+ Con la console, quando selezioni un tipo predefinito, il **protocollo** e l’**intervallo di porte** vengono specificati automaticamente. Per inserire un intervallo di porte, dovrai selezionare uno dei seguenti tipi personalizzati: **TCP personalizzato** o **UDP personalizzato**.
+ Con AWS CLI, è possibile aggiungere una singola regola con una singola porta utilizzando le `--port` opzioni `--protocol` and. Per aggiungere più regole o una regola con un intervallo di porte, seleziona l’opzione `--ip-permissions`.

**Origini e destinazioni**
+ Tramite la console potrai indicare i seguenti dati come origine per le regole in entrata o come destinazione per le regole in uscita:
  + **Personalizzato**: un blocco IPv4 CIDR, un blocco IPv6 CIDR, un gruppo di sicurezza o un elenco di prefissi.
  + **Anywhere- IPv4** — Il blocco CIDR 0.0.0.0/0 IPv4 .
  + **Anywhere- IPv6 —** Il blocco CIDR: :/0. IPv6 
  + **Il mio IP**: l' IPv4 indirizzo pubblico del computer locale.
+ Con AWS CLI, è possibile specificare un blocco IPv4 CIDR utilizzando l'`--cidr`opzione o un gruppo di sicurezza utilizzando l'`--source-group`opzione. Per specificare un elenco di prefissi o un blocco IPv6 CIDR, utilizzate l'opzione. `--ip-permissions`

**avvertimento**  
Se scegli **Anywhere- IPv4**, consenti il traffico proveniente da tutti gli IPv4 indirizzi. Se scegli **Anywhere- IPv6**, consenti il traffico proveniente da tutti IPv6 gli indirizzi. È consigliabile autorizzare solo gli intervalli di indirizzi IP specifici che richiedono l'accesso alle risorse.

**Configurare le regole di un gruppo di sicurezza tramite la console**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Scegli **Gruppi di sicurezza** nel riquadro di navigazione.

1. Selezionare il gruppo di sicurezza.

1. Per modificare le regole in entrata, scegli **Modifica regole in entrata** dalla scheda **Azioni** o dalla scheda **Regole in entrata**.

   1. Per aggiungere una regola, scegli **Aggiungi regola** e immetti il tipo, il protocollo, la porta e l'origine della regola.

      Se il tipo è TCP o UDP, è necessario immettere l'intervallo di porte consentito. Se si sceglie un protocollo ICMP personalizzato, occorre scegliere il nome del tipo ICMP da **Protocollo** e, se applicabile, il nome del codice da **Intervallo di porte**. Se scegli qualsiasi altro tipo, il protocollo e l'intervallo di porte vengono configurati automaticamente.

   1. Per aggiornare una regola, modificane il protocollo, la descrizione e l'origine in base alle esigenze. Tuttavia, il tipo di origine non può essere modificato. Ad esempio, se l'origine è un blocco IPv4 CIDR, non è possibile specificare un blocco IPv6 CIDR, un elenco di prefissi o un gruppo di sicurezza.

   1. Per eliminare una regola, seleziona il pulsante **Elimina** corrispondente.

1. Per modificare le regole in uscita, scegli **Modifica regole in uscita** dalla scheda **Azioni** o dalla scheda **Regole in uscita**.

   1. Per aggiungere una regola, scegli **Aggiungi regola** e immetti il tipo, il protocollo, la porta e la destinazione della regola. Facoltativamente, è possibile inserire una descrizione.

      Se il tipo è TCP o UDP, è necessario immettere l'intervallo di porte consentito. Se si sceglie un protocollo ICMP personalizzato, occorre scegliere il nome del tipo ICMP da **Protocollo** e, se applicabile, il nome del codice da **Intervallo di porte**. Se scegli qualsiasi altro tipo, il protocollo e l'intervallo di porte vengono configurati automaticamente.

   1. Per aggiornare una regola, modificane il protocollo, la descrizione e l'origine in base alle esigenze. Tuttavia, il tipo di origine non può essere modificato. Ad esempio, se l'origine è un blocco IPv4 CIDR, non è possibile specificare un blocco IPv6 CIDR, un elenco di prefissi o un gruppo di sicurezza.

   1. Per eliminare una regola, seleziona il pulsante **Elimina** corrispondente.

1. Scegliere **Salva regole**.

**Per configurare le regole dei gruppi di sicurezza utilizzando il AWS CLI**
+ **Aggiungi**: utilizza i [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html)comandi [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html)and.
+ **Rimuovi**: utilizza i [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html)comandi [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html)and.
+ **Modifica**[: utilizza i [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html)comandi [update-security-group-rule-descriptions-ingress e -descriptions-egress.](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-ingress.html) update-security-group-rule](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-egress.html)

# Eliminare un gruppo di sicurezza
<a name="deleting-security-groups"></a>

Quando un gruppo di sicurezza creato non è più necessario, è possibile eliminarlo.

**Requisiti**
+ Il gruppo di sicurezza non può essere associato ad alcuna risorsa.
+ Il gruppo di sicurezza non può essere utilizzato come riferimento da una regola di un altro gruppo di sicurezza.
+ Il gruppo di sicurezza non può essere utilizzato come gruppo di sicurezza predefinito di un VPC.

**Per eliminare un gruppo di sicurezza tramite console**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel pannello di navigazione, seleziona **Gruppi di sicurezza**.

1. Seleziona il gruppo di sicurezza e scegli **Operazioni**, **Elimina gruppi di sicurezza**.

1. Se hai selezionato più di un gruppo di sicurezza, ti verrà richiesta la conferma. Se alcuni gruppi di sicurezza non possono essere eliminati, viene visualizzato lo stato di ciascun gruppo di sicurezza, che indica se verrà eliminato. Per confermare l'eliminazione, immetti **Elimina**.

1. Scegli **Elimina**.

**Per eliminare un gruppo di sicurezza utilizzando il AWS CLI**  
Utilizza il comando [delete-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html).

# Associare gruppi di sicurezza a più gruppi di sicurezza VPCs
<a name="security-group-assoc"></a>

Se hai carichi di lavoro in esecuzione in più gruppi VPCs che condividono i requisiti di sicurezza di rete, puoi utilizzare la funzionalità Security Group VPC Associations per associare un gruppo di sicurezza a VPCs più gruppi nella stessa regione. Ciò consente di gestire e mantenere i gruppi di sicurezza in un unico posto per più utenti del proprio VPCs account.

![\[Un diagramma del gruppo di sicurezza associato a due VPCs.\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/sec-group-vpc-assoc.png)


Il diagramma precedente mostra l' AWS account A con due al suo VPCs interno. Ciascuno di essi VPCs ha carichi di lavoro in esecuzione in una sottorete privata. In questo caso, i carichi di lavoro nelle sottoreti A e B del VPC condividono gli stessi requisiti di traffico di rete, quindi l'account A può utilizzare la funzionalità Associazioni di VPC e gruppi di sicurezza per associare il gruppo di sicurezza nel VPC A al VPC B. Qualsiasi aggiornamento apportato al gruppo di sicurezza associato viene applicato automaticamente al traffico dei carichi di lavoro nella sottorete B del VPC.

**Requisiti della funzionalità Associazioni di VPC e gruppi di sicurezza**
+ Per associare un gruppo di sicurezza al VPC devi possedere il VPC o avere in condivisione una delle sue sottoreti.
+ Il VPC e il gruppo di sicurezza devono trovarsi nella stessa AWS regione.
+ Non è possibile associare un gruppo di sicurezza predefinito a un altro VPC o associare un gruppo di sicurezza a un VPC predefinito.
+ Sia il proprietario del gruppo di sicurezza che il proprietario del VPC possono visualizzare le associazioni tra VPC e gruppi di sicurezza.

**Servizi che supportano questa funzionalità**
+ Amazon API Gateway ( APIs solo REST)
+ AWS Auto Scaling
+ CloudFormation
+ Amazon EC2
+ Amazon EFS
+ Amazon EKS
+ Amazon FSx
+ AWS PrivateLink
+ Amazon Route 53
+ Elastic Load Balancing
  + Application Load Balancer
  + Network Load Balancer

## Associazione di un gruppo di sicurezza a un altro VPC
<a name="assoc-sg"></a>

Questa sezione spiega come utilizzare Console di gestione AWS e AWS CLI a cui associare un gruppo di sicurezza VPCs.

------
#### [ AWS Management Console ]

**Come associare un gruppo di sicurezza a un altro VPC**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione a sinistra, scegli **Gruppi di sicurezza**.

1. Scegli un gruppo di sicurezza per visualizzare i dettagli.

1. Scegli la scheda **Associazioni VPC**.

1. Scegli **Associa VPC**.

1. In **ID VPC**, scegli un VPC da associare al gruppo di sicurezza.

1. Scegli **Associa VPC**.

------
#### [ Command line ]

**Associare un gruppo di sicurezza a un altro VPC**

1. Crea un'associazione VPC con. [associate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/associate-security-group-vpc.html)

1. Controlla lo stato di un'associazione VPC con [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) e attendi che lo sia lo stato. `associated`

------

Il VPC è ora associato al gruppo di sicurezza.

 Dopo aver associato il VPC al gruppo di sicurezza, puoi, ad esempio, [avviare un'istanza nel VPC e scegliere questo nuovo gruppo di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) o [fare riferimento a questo gruppo di sicurezza in una regola del gruppo di sicurezza esistente](security-group-rules.md#security-group-referencing).

## Dissociazione di un gruppo di sicurezza da un altro VPC
<a name="disassoc-sg"></a>

Questa sezione spiega come utilizzare Console di gestione AWS e da cui AWS CLI dissociare un gruppo di sicurezza. VPCs Potresti volerlo fare se il tuo obiettivo è eliminare il gruppo di sicurezza. I gruppi di sicurezza non possono essere eliminati se sono associati. Puoi dissociare un gruppo di sicurezza solo se non ci sono interfacce di rete nel VPC associato che utilizza quel gruppo di sicurezza.

------
#### [ AWS Management Console ]

**Come dissociare un gruppo di sicurezza da un VPC**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione a sinistra, scegli **Gruppi di sicurezza**.

1. Scegli un gruppo di sicurezza per visualizzare i dettagli.

1. Scegli la scheda **Associazioni VPC**.

1. Scegli **Dissocia VPC**.

1. In **ID VPC**, scegli un VPC da dissociare dal gruppo di sicurezza.

1. Scegli **Dissocia VPC**.

1. Visualizza lo **stato** della dissociazione nella scheda Associazioni VPC e attendi che lo stato sia `disassociated`.

------
#### [ Command line ]

**Per dissociare un gruppo di sicurezza da un VPC**

1. Dissocia un'associazione VPC con. [disassociate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/disassociate-security-group-vpc.html)

1. Controlla lo stato di una disassociazione VPC con [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) e attendi che lo sia lo stato. `disassociated`

------

Il VPC è ora dissociato dal gruppo di sicurezza.

# Condividi i gruppi di sicurezza con AWS Organizations
<a name="security-group-sharing"></a>

La funzionalità Shared Security Group consente di condividere un gruppo di sicurezza con altri account AWS Organizations all'interno della stessa AWS regione e di rendere il gruppo di sicurezza disponibile per l'utilizzo da parte di tali account.

Il diagramma seguente mostra come utilizzare la funzionalità Shared Security Group per semplificare la gestione dei gruppi di sicurezza tra gli account delle Organizzazioni AWS :

![\[Diagramma della condivisione di gruppi di sicurezza con altri account in una sottorete VPC condivisa.\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/sec-group-sharing.png)


Questo diagramma mostra tre account che fanno parte della stessa organizzazione. L'account A condivide una sottorete VPC con gli account B e C. L'account A condivide il gruppo di sicurezza con gli account B e C utilizzando la funzionalità Gruppo di sicurezza condiviso. Gli account B e C utilizzano quindi quel gruppo di sicurezza quando avviano istanze nella sottorete condivisa. Ciò consente all'account A di gestire il gruppo di sicurezza; qualsiasi aggiornamento al gruppo di sicurezza si applica alle risorse che gli account B e C hanno in esecuzione nella sottorete VPC condivisa.

**Requisiti della funzionalità Gruppo di sicurezza condiviso**
+ Questa funzionalità è disponibile solo per gli account della stessa organizzazione in AWS Organizations. [La condivisione delle risorse](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) deve essere abilitata in AWS Organizations.
+ L'account che condivide il gruppo di sicurezza deve possedere sia il VPC che il gruppo di sicurezza. 
+ Non è possibile condividere gruppi di sicurezza predefiniti.
+ Non è possibile condividere gruppi di sicurezza che si trovano in un VPC predefinito.
+ Gli account dei partecipanti possono creare gruppi di sicurezza in un VPC condiviso, ma non possono condividere tali gruppi di sicurezza.
+ È necessario un set minimo di autorizzazioni per consentire a un principale IAM di condividere un gruppo di AWS RAM sicurezza. Utilizza le policy IAM `AmazonEC2FullAccess` e `AWSResourceAccessManagerFullAccess` gestite per assicurarti che i principali IAM dispongano delle autorizzazioni necessarie per condividere e utilizzare gruppi di sicurezza condivisi. Se utilizzi una policy IAM personalizzata, sono necessarie le operazioni `c2:PutResourcePolicy` e `ec2:DeleteResourcePolicy`. Si tratta di operazioni IAM che richiedono solo l'autorizzazione. Se a un principale IAM non sono concesse queste autorizzazioni, si verificherà un errore nel tentativo di condividere il gruppo di sicurezza utilizzando AWS RAM.

**Servizi che supportano questa funzionalità**
+ Gateway Amazon API
+ Amazon EC2
+ Amazon ECS
+ Amazon EFS
+ Amazon EKS
+ Amazon EMR
+ Amazon FSx
+ Amazon ElastiCache
+ AWS Elastic Beanstalk
+ AWS Glue
+ Amazon MQ
+ Amazon SageMaker AI
+ Elastic Load Balancing
  + Application Load Balancer
  + Network Load Balancer

**In che modo questa funzionalità influisce sulle quote esistenti**

Si applicano le [quote dei gruppi di sicurezza](amazon-vpc-limits.md#vpc-limits-security-groups). Per la quota “Gruppi di sicurezza per interfaccia di rete”, tuttavia, se un partecipante utilizza sia gruppi di proprietà che gruppi condivisi su un’interfaccia di rete elastica (ENI), si applica la quota minima del proprietario e del partecipante.

Esempio per dimostrare in che modo la quota è influenzata da questa funzionalità:
+ Quota dell'account del proprietario: 4 gruppi di sicurezza per interfaccia
+ Quota dell'account del partecipante: 5 gruppi di sicurezza per interfaccia
+ Il proprietario condivide i gruppi SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 con il partecipante. Il partecipante dispone già di gruppi propri nel VPC: SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.
+ Se un partecipante crea una ENI e utilizza solo i gruppi di cui è proprietario, può associare tutti e 5 i gruppi di sicurezza (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5) perché questa è la sua quota.
+ Se il partecipante crea una ENI e utilizza dei gruppi condivisi al suo interno, può associare solo fino a 4 gruppi. In questo caso, la quota per tale ENI è la quota minima delle quote del proprietario e del partecipante. Le possibili configurazioni valide sono le seguenti:
  + SG-O1, SG-P1, SG-P2, SG-P3
  + SG-O1, SG-O2, SG-O3, SG-O4

## Condivisione di un gruppo di sicurezza
<a name="share-sg-org"></a>

Questa sezione spiega come utilizzare Console di gestione AWS e AWS CLI condividere un gruppo di sicurezza con altri account dell'organizzazione.

------
#### [ AWS Management Console ]

**Condividere un gruppo di sicurezza**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione a sinistra, scegli **Gruppi di sicurezza**.

1. Scegli un gruppo di sicurezza per visualizzare i dettagli.

1. Scegliere la scheda **Sharing (Condivisione)** .

1. Scegli **Condividi gruppo di sicurezza**.

1. Seleziona **Crea condivisione risorse**. Di conseguenza, si apre la AWS RAM console in cui potrai creare la condivisione di risorse per il gruppo di sicurezza.

1. Aggiungi un **Nome** per la condivisione della risorsa.

1. In **Risorse - facoltativo**, scegli **Gruppi di sicurezza**.

1. Scelta del gruppo di sicurezza. Il gruppo di sicurezza non può essere un gruppo di sicurezza predefinito e non può essere associato al VPC predefinito.

1. Scegli **Next (Successivo)**.

1. Controlla le operazioni che i principali saranno autorizzati a eseguire e scegli **Avanti**.

1. In **Principali - facoltativo**, scegli **Consenti la condivisione solo all'interno dell'organizzazione**.

1. In **Principali**, seleziona uno dei seguenti tipi di principali e inserisci i numeri appropriati:
   + **AWS account**: il numero di account di un account dell'organizzazione.
   + **Organizzazione**: The AWS Organizations ID.
   + **Unità organizzativa (UO)**: l'ID di un'unità organizzativa nell'organizzazione.
   + **Ruolo IAM**: l'ARN di un ruolo IAM. L'account che ha creato il ruolo deve essere membro della stessa organizzazione dell'account che crea questa condivisione di risorse.
   + **Utente IAM**: l'ARN di un utente IAM. L'account che ha creato l'utente deve essere membro della stessa organizzazione dell'account che crea questa condivisione di risorse.
   + **Principale del servizio**: non è possibile condividere un gruppo di sicurezza con un principale del servizio.

1. Scegli **Aggiungi**.

1. Scegli **Next (Successivo)**.

1. Seleziona **Crea condivisione risorse**.

1. In **Risorse condivise**, attendi di visualizzare lo **stato** di `Associated`. Se si verifica un errore nell'associazione tra i gruppi di sicurezza, il motivo può essere una delle limitazioni sopra elencate. Visualizza i dettagli del gruppo di sicurezza e la scheda **Condivisione** nella pagina dei dettagli per visualizzare eventuali messaggi relativi al motivo per cui un gruppo di sicurezza potrebbe non essere condivisibile.

1. Torna all'elenco dei gruppi di sicurezza della console VPC.

1. Scegli il gruppo di sicurezza che hai condiviso.

1. Scegliere la scheda **Sharing (Condivisione)** . La tua AWS RAM risorsa dovrebbe essere visibile lì. In caso contrario, la creazione della condivisione di risorse potrebbe non essere riuscita e potrebbe essere necessario ricrearla.

------
#### [ Command line ]

**Condividere un gruppo di sicurezza**

1. È innanzitutto necessario creare una condivisione di risorse per il gruppo di sicurezza con cui si desidera condividere AWS RAM. Per istruzioni su come creare una condivisione di risorse AWS RAM utilizzando il AWS CLI, consulta [Creazione di una condivisione di risorse AWS RAM nella](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) *Guida per l'AWS RAM utente* 

1. Per visualizzare le associazioni di condivisione delle risorse create, utilizzare [get-resource-share-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-resource-share-associations.html).

------

Il gruppo di sicurezza è ora condiviso. Puoi selezionare il gruppo di sicurezza quando [avvii un’istanza EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) in una sottorete condivisa all’interno dello stesso VPC.

## Interruzione della condivisione di un gruppo di sicurezza
<a name="stop-share-sg-org"></a>

Questa sezione spiega come utilizzare Console di gestione AWS e AWS CLI per interrompere la condivisione di un gruppo di sicurezza con altri account dell'organizzazione.

------
#### [ AWS Management Console ]

**Interrompere la condivisione di un gruppo di sicurezza**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione a sinistra, scegli **Gruppi di sicurezza**.

1. Scegli un gruppo di sicurezza per visualizzare i dettagli.

1. Scegliere la scheda **Sharing (Condivisione)** .

1. Scegli una condivisione di risorse per il gruppo di sicurezza e successivamente **Interrompi condivisione**.

1. Scegli **Sì, interrompi condivisione**.

------
#### [ Command line ]

**Interrompere la condivisione di un gruppo di sicurezza**

Elimina la condivisione di risorse con [delete-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-resource-share.html).

------

Il gruppo di sicurezza non è più condiviso. Una volta che il proprietario interrompe la condivisione di un gruppo di sicurezza, si applicano le regole seguenti: 
+ Il partecipante esistente Elastic Network Interfaces (ENIs) continua a ricevere tutti gli aggiornamenti delle regole dei gruppi di sicurezza apportati ai gruppi di sicurezza non condivisi. L'annullamento della condivisione impedisce solo al partecipante di creare nuove associazioni con il gruppo non condiviso.
+ I partecipanti non possono più associare il gruppo di sicurezza non condiviso a nessuno di loro proprietà. ENIs 
+ I partecipanti possono descrivere ed eliminare i gruppi ENIs di sicurezza ancora associati a gruppi di sicurezza non condivisi.
+ Se i partecipanti sono ancora ENIs associati al gruppo di sicurezza non condiviso, il proprietario non può eliminare il gruppo di sicurezza non condiviso. Il proprietario può eliminare il gruppo di sicurezza solo dopo che i partecipanti hanno dissociato (rimosso) il gruppo di sicurezza da tutti i propri. ENIs
+ I partecipanti non possono avviare nuove istanze EC2 utilizzando una ENI associata a un gruppo di sicurezza non condiviso.