**Ti presentiamo una nuova esperienza di console per AWS WAF**

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Sicurezza nella AWS WAF versione classica
<a name="classic-security"></a>

**avvertimento**  
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe e le date specifiche della tua regione.

**Nota**  
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)  
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md). 

La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.

La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. L'efficacia della nostra sicurezza è regolarmente testata e verificata da revisori di terze parti come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per ulteriori informazioni sui programmi di conformità applicabili a AWS WAF Classic, consulta [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L'utente è anche responsabile per altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda e leggi e normative applicabili. 

Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi AWS WAF Classic. I seguenti argomenti mostrano come configurare AWS WAF Classic per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse AWS WAF Classic. 

**Topics**
+ [Protezione dei dati in AWS WAF Classic](classic-data-protection.md)
+ [Gestione delle identità e degli accessi per AWS WAF Classic](classic-security-iam.md)
+ [Registrazione e monitoraggio nella versione classica AWS WAF](classic-waf-incident-response.md)
+ [Convalida della conformità per Classic AWS WAF](classic-waf-compliance.md)
+ [Resilienza nella versione classica AWS WAF](classic-disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in AWS WAF Classic](classic-infrastructure-security.md)

# Protezione dei dati in AWS WAF Classic
<a name="classic-data-protection"></a>

**avvertimento**  
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.

**Nota**  
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)  
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md). 

Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati in AWS WAF Classic. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.

Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+  SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con AWS WAF Classic o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.

AWS WAF Le entità classiche, come web ACLs, regole e condizioni, sono crittografate a riposo, tranne in alcune regioni in cui la crittografia non è disponibile, tra cui Cina (Pechino) e Cina (Ningxia). Per ogni regione vengono utilizzate chiavi di crittografia univoche. 

## AWS WAF Eliminazione delle risorse classiche
<a name="classic-deleting-resources"></a>

Puoi eliminare le risorse che crei nella AWS WAF versione classica. Consulta la guida per ogni tipo di risorsa nelle sezioni seguenti.
+ [Eliminazione di un'ACL Web](classic-web-acl-deleting.md)
+ [Aggiungere ed eliminare regole da un gruppo di regole AWS WAF classico](classic-rule-group-editing.md)
+ [Eliminazione di una regola](classic-web-acl-rules-deleting.md)

# Gestione delle identità e degli accessi per AWS WAF Classic
<a name="classic-security-iam"></a>

**avvertimento**  
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.

**Nota**  
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)  
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md). 



AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse Classic. AWS WAF IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.

**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona AWS WAF Classic con IAM](classic-security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per Classic AWS WAF](classic-security_iam_id-based-policy-examples.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso AWS WAF classici](classic-security_iam_troubleshoot.md)
+ [Utilizzo di ruoli collegati ai servizi per Classic AWS WAF](classic-using-service-linked-roles.md)

## Destinatari
<a name="security_iam_audience"></a>

Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia a seconda del lavoro svolto in AWS WAF Classic.

**Utente del servizio**: se utilizzi il servizio AWS WAF Classic per svolgere il tuo lavoro, l'amministratore ti fornisce le credenziali e le autorizzazioni necessarie. Man mano che utilizzi più funzionalità della AWS WAF versione classica per svolgere il tuo lavoro, potresti aver bisogno di autorizzazioni aggiuntive. La comprensione della gestione dell’accesso consente di richiedere le autorizzazioni corrette all’amministratore. Se non riesci ad accedere a una funzionalità della AWS WAF versione classica, consulta[Risoluzione dei problemi relativi all'identità e all'accesso AWS WAF classici](classic-security_iam_troubleshoot.md).

**Amministratore del servizio**: se sei responsabile delle risorse di AWS WAF Classic presso la tua azienda, probabilmente hai pieno accesso a AWS WAF Classic. Spetta a te determinare a quali funzionalità e risorse della AWS WAF versione Classic devono accedere gli utenti del servizio. Devi quindi inviare le richieste all’amministratore IAM per modificare le autorizzazioni degli utenti del servizio. Esamina le informazioni contenute in questa pagina per comprendere i concetti di base relativi a IAM. Per saperne di più su come la tua azienda può utilizzare IAM con AWS WAF Classic, consulta[Come funziona AWS WAF Classic con IAM](classic-security_iam_service-with-iam.md).

**Amministratore IAM**: se sei un amministratore IAM, potresti voler conoscere i dettagli su come scrivere policy per gestire l'accesso a AWS WAF Classic. Per visualizzare esempi di policy AWS WAF classiche basate sull'identità che puoi utilizzare in IAM, consulta. [Esempi di policy basate sull'identità per Classic AWS WAF](classic-security_iam_id-based-policy-examples.md)

## Autenticazione con identità
<a name="security_iam_authentication"></a>

L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS

Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.

Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.

### Account AWS utente root
<a name="security_iam_authentication-rootuser"></a>

 Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*. 

### Identità federata
<a name="security_iam_authentication-federated"></a>

Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.

Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.

Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.

### Utenti e gruppi IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*

Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.

### Ruoli IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.

I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.

## Gestione dell’accesso tramite policy
<a name="security_iam_access-manage"></a>

Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.

Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.

Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.

### Policy basate sull’identità
<a name="security_iam_access-manage-id-based-policies"></a>

Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.

Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.

### Policy basate sulle risorse
<a name="security_iam_access-manage-resource-based-policies"></a>

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).

Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.

### Elenchi di controllo degli accessi () ACLs
<a name="security_iam_access-manage-acl"></a>

Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.

Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.

### Altri tipi di policy
<a name="security_iam_access-manage-other-policies"></a>

AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.

### Più tipi di policy
<a name="security_iam_access-manage-multiple-policies"></a>

Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.

# Come funziona AWS WAF Classic con IAM
<a name="classic-security_iam_service-with-iam"></a>

**avvertimento**  
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.

**Nota**  
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)  
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md). 

Prima di utilizzare IAM per gestire l'accesso a AWS WAF Classic, scopri quali funzionalità IAM sono disponibili per l'uso con AWS WAF Classic.






**Funzionalità IAM che puoi utilizzare con AWS WAF Classic**  

| Funzionalità IAM | AWS WAF Supporto classico | 
| --- | --- | 
|  [Policy basate sull’identità](#classic-security_iam_service-with-iam-id-based-policies)  |   Sì  | 
|  [Policy basate su risorse](#classic-security_iam_service-with-iam-resource-based-policies)  |   No   | 
|  [Operazioni di policy](#classic-security_iam_service-with-iam-id-based-policies-actions)  |   Sì  | 
|  [Risorse relative alle policy](#classic-security_iam_service-with-iam-id-based-policies-resources)  |   Sì  | 
|  [Chiavi di condizione della policy (specifica del servizio)](#classic-security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Sì  | 
|  [ACLs](#classic-security_iam_service-with-iam-acls)  |   No   | 
|  [ABAC (tag nelle policy)](#classic-security_iam_service-with-iam-tags)  |   Parziale  | 
|  [Credenziali temporanee](#classic-security_iam_service-with-iam-roles-tempcreds)  |   Sì  | 
|  [Inoltro delle sessioni di accesso (FAS)](#classic-security_iam_service-with-iam-principal-permissions)  |   Sì  | 
|  [Ruoli di servizio](#classic-security_iam_service-with-iam-roles-service)  |   Sì  | 
|  [Ruoli collegati al servizio](#classic-security_iam_service-with-iam-roles-service-linked)  |   Sì  | 

Per avere una visione di alto livello di come AWS WAF Classic e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.

## Politiche basate sull'identità per Classic AWS WAF
<a name="classic-security_iam_service-with-iam-id-based-policies"></a>

**Supporta le policy basate sull’identità:** sì

Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.

Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.

Per visualizzare esempi di politiche AWS WAF classiche basate sull'identità, vedere. [Esempi di policy basate sull'identità per Classic AWS WAF](classic-security_iam_id-based-policy-examples.md)

## Politiche basate sulle risorse all'interno di Classic AWS WAF
<a name="classic-security_iam_service-with-iam-resource-based-policies"></a>

**Supporta le policy basate su risorse:** no 

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS

Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.

## Azioni politiche per Classic AWS WAF
<a name="classic-security_iam_service-with-iam-id-based-policies-actions"></a>

**Supporta le operazioni di policy:** si

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.



Per visualizzare un elenco di azioni AWS WAF classiche, vedere [Azioni definite da AWS WAF e Azioni definite da AWS WAF](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswaf.html#awswaf-actions-as-permissions) [Regional](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafregional.html#awswafregional-actions-as-permissions) nel *Service Authorization* Reference.

Le azioni politiche in AWS WAF Classic utilizzano il seguente prefisso prima dell'azione:

```
waf
```

Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.

```
"Action": [
      "waf:action1",
      "waf:action2"
         ]
```



È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni in AWS WAF Classic che iniziano con`List`, includi la seguente azione:

```
"Action": "waf:List*"
```

Per visualizzare esempi di politiche AWS WAF classiche basate sull'identità, vedere. [Esempi di policy basate sull'identità per Classic AWS WAF](classic-security_iam_id-based-policy-examples.md)

## Risorse politiche per Classic AWS WAF
<a name="classic-security_iam_service-with-iam-id-based-policies-resources"></a>

**Supporta le risorse relative alle policy:** sì

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.

```
"Resource": "*"
```

Per visualizzare l'elenco dei tipi di risorse AWS WAF Classic e relativi ARNs, vedere [Resources defined by AWS WAF e Resources defined by AWS WAF](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswaf.html#awswaf-resources-for-iam-policies) [Regional](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafregional.html#awswafregional-resources-for-iam-policies) nel *Service Authorization* Reference. Per sapere con quali azioni è possibile specificare l'ARN di ogni risorsa, vedere [Azioni definite da AWS WAF e Azioni definite da](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswaf.html#awswaf-actions-as-permissions) [Regional](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafregional.html#awswafregional-actions-as-permissions). AWS WAF Per consentire o negare l'accesso a un sottoinsieme di risorse AWS WAF Classic, includi l'ARN della risorsa nell'`resource`elemento della tua politica.

*Nella AWS WAF versione classica, le risorse sono *web ACLs* e regole.* AWS WAF Classic supporta anche condizioni come la corrispondenza dei *byte, la corrispondenza* *IP* e il *vincolo di dimensione*. 

A queste risorse e condizioni sono associati Amazon Resource Names (ARNs) univoci, come illustrato nella tabella seguente. 


****  

| Nome nella AWS WAF console | Nome in AWS WAF SDK/CLI | Formato ARN  | 
| --- | --- | --- | 
| ACL Web | WebACL |  `arn:aws:waf::account:webacl/ID`  | 
| Regola | Rule |  `arn:aws:waf::account:rule/ID `  | 
| Condizione di corrispondenza stringa | ByteMatchSet |  `arn:aws:waf::account:bytematchset/ID`  | 
| condizione di corrispondenza SQL injection | SqlInjectionMatchSet | arn:aws:waf::account:sqlinjectionset/ID | 
| Condizione di vincolo di dimensione | SizeConstraintSet | arn:aws:waf::account:sizeconstraintset/ID | 
| Condizione di corrispondenza IP | IPSet | arn:aws:waf::account:ipset/ID | 
| Condizione di corrispondenza Cross-site scripting | XssMatchSet | arn:aws:waf::account:xssmatchset/ID |  | 

Per consentire o negare l'accesso a un sottoinsieme di risorse AWS WAF Classic, includi l'ARN della risorsa nell'`resource`elemento della tua politica. I ARNs for AWS WAF Classic hanno il seguente formato:

```
arn:aws:waf::account:resource/ID
```

Sostituisci le *ID* variabili *account**resource*, e con valori validi. I valori validi possono essere i seguenti:
+ *account*: L'ID del tuo Account AWS. È necessario specificare un valore.
+ *resource*: Il tipo di risorsa AWS WAF classica. 
+ *ID*: L'ID della risorsa AWS WAF classica o un carattere jolly (`*`) per indicare tutte le risorse del tipo specificato associate alla risorsa specificata Account AWS.

Ad esempio, il seguente ARN specifica tutto il web ACLs per l'account: `111122223333`

```
arn:aws:waf::111122223333:webacl/*
```

## Chiavi relative alle condizioni della policy per Classic AWS WAF
<a name="classic-security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.

Per visualizzare un elenco delle chiavi di condizione AWS WAF classiche, consulta [Chiavi di condizione per AWS WAF](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswaf.html#awswaf-policy-keys) e [Risorse definite da AWS WAF Regional](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafregional.html#awswafregional-resources-for-iam-policies) nel *Service Authorization Reference*. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, vedi [Azioni definite da AWS WAF](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswaf.html#awswaf-actions-as-permissions) e [Azioni definite da AWS WAF Regional](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafregional.html#awswafregional-actions-as-permissions).

Per visualizzare esempi di politiche AWS WAF classiche basate sull'identità, vedere. [Esempi di policy basate sull'identità per Classic AWS WAF](classic-security_iam_id-based-policy-examples.md)

## ACLs AWS WAF nella versione classica
<a name="classic-security_iam_service-with-iam-acls"></a>

**Supporti ACLs:** no 

Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.

## ABAC con Classic AWS WAF
<a name="classic-security_iam_service-with-iam-tags"></a>

**Supporta ABAC (tag nelle policy):** parzialmente

Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.

Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.

Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.

Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.

## Utilizzo di credenziali temporanee con Classic AWS WAF
<a name="classic-security_iam_service-with-iam-roles-tempcreds"></a>

**Supporta le credenziali temporanee:** sì

Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.

## Sessioni di accesso diretto per Classic AWS WAF
<a name="classic-security_iam_service-with-iam-principal-permissions"></a>

**Supporta l’inoltro delle sessioni di accesso (FAS):** sì

 Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante e Servizio AWS, in combinazione con la richiesta, di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Ruoli di servizio per Classic AWS WAF
<a name="classic-security_iam_service-with-iam-roles-service"></a>

**Supporta i ruoli di servizio:** sì

 Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*. 

**avvertimento**  
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità AWS WAF Classic. Modifica i ruoli di servizio solo quando AWS WAF Classic fornisce indicazioni in tal senso.

## Ruoli collegati ai servizi per Classic AWS WAF
<a name="classic-security_iam_service-with-iam-roles-service-linked"></a>

**Supporta i ruoli collegati ai servizi:** sì

 Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle. 

Per informazioni dettagliate sulla creazione o la gestione dei ruoli AWS WAF classici collegati ai servizi, consulta. [Utilizzo di ruoli collegati ai servizi per Classic AWS WAF](classic-using-service-linked-roles.md)

# Esempi di policy basate sull'identità per Classic AWS WAF
<a name="classic-security_iam_id-based-policy-examples"></a>

**avvertimento**  
AWS WAF Classic sta attraversando un processo pianificato. end-of-life Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.

**Nota**  
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)  
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md). 

Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse AWS WAF Classic. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.

Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.

Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da AWS WAF Classic, incluso il formato di ARNs per ogni tipo di risorsa, vedere [Azioni, risorse e chiavi di condizione per e](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswaf.html) [Azioni, risorse AWS WAF e chiavi di condizione per AWS WAF Regionale](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafregional.html) nel *Service Authorization Reference*.

**Topics**
+ [Best practice per le policy](#classic-security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Classic AWS WAF](#classic-security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#classic-security_iam_id-based-policy-examples-view-own-permissions)

## Best practice per le policy
<a name="classic-security_iam_service-with-iam-policy-best-practices"></a>

Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse AWS WAF Classic nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.

Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.

## Utilizzo della console Classic AWS WAF
<a name="classic-security_iam_id-based-policy-examples-console"></a>

Per accedere alla console AWS WAF Classic, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse della AWS WAF versione classica del tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.

Non è necessario concedere autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.

Gli utenti che possono accedere e utilizzare la AWS console possono accedere anche alla console AWS WAF Classic. Non sono necessarie autorizzazioni supplementari.

## Consentire agli utenti di visualizzare le loro autorizzazioni
<a name="classic-security_iam_id-based-policy-examples-view-own-permissions"></a>

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questo criterio include le autorizzazioni per completare questa azione sulla console o a livello di codice utilizzando l' AWS CLI API o. AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```







# Risoluzione dei problemi relativi all'identità e all'accesso AWS WAF classici
<a name="classic-security_iam_troubleshoot"></a>

**avvertimento**  
AWS WAF La versione classica sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe e le date specifiche della tua regione.

**Nota**  
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)  
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md). 

Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con AWS WAF Classic e IAM.

**Topics**
+ [Non sono autorizzato a eseguire un'azione in Classic AWS WAF](#classic-security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#classic-security_iam_troubleshoot-passrole)
+ [Desidero consentire a persone esterne Account AWS a me di accedere alle mie risorse AWS WAF Classic](#classic-security_iam_troubleshoot-cross-account-access)

## Non sono autorizzato a eseguire un'azione in Classic AWS WAF
<a name="classic-security_iam_troubleshoot-no-permissions"></a>

Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.

L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `waf:GetWidget` fittizie.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: waf:GetWidget on resource: my-example-widget
```

In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `waf:GetWidget`.

Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.

## Non sono autorizzato a eseguire iam: PassRole
<a name="classic-security_iam_troubleshoot-passrole"></a>

Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di passare un ruolo a AWS WAF Classic.

Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio anziché creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.

L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in AWS WAF Classic. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.

Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.

## Desidero consentire a persone esterne Account AWS a me di accedere alle mie risorse AWS WAF Classic
<a name="classic-security_iam_troubleshoot-cross-account-access"></a>

È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.

Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se AWS WAF Classic supporta queste funzionalità, consulta. [Come funziona AWS WAF Classic con IAM](classic-security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l’accesso tramite la federazione delle identità, consulta [Fornire l’accesso a utenti autenticati esternamente (Federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l’utente IAM*.
+ Per informazioni sulle differenze tra l'utilizzo di ruoli e policy basate su risorse per l'accesso multi-account, consultare [Differenza tra i ruoli IAM e le policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) nella *Guida per l'utente di IAM*.

# Utilizzo di ruoli collegati ai servizi per Classic AWS WAF
<a name="classic-using-service-linked-roles"></a>

**avvertimento**  
AWS WAF Classic sta attraversando un processo pianificato end-of-life. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.

**Nota**  
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)  
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md). 

AWS WAF La versione classica utilizza AWS Identity and Access Management ruoli [collegati ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a Classic. AWS WAF I ruoli collegati ai servizi sono predefiniti da AWS WAF Classic e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS 

Un ruolo collegato ai servizi semplifica la configurazione di AWS WAF Classic perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS WAF Classic definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo AWS WAF Classic può assumerne i ruoli. Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. Questa policy delle autorizzazioni non può essere collegata ad alcun'altra entità IAM.

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi le tue risorse AWS WAF Classic perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

## Autorizzazioni di ruolo collegate al servizio per Classic AWS WAF
<a name="classic-slr-permissions"></a>

AWS WAF Classic utilizza i seguenti ruoli collegati ai servizi:
+ `AWSServiceRoleForWAFLogging`
+ `AWSServiceRoleForWAFRegionalLogging`

AWS WAF Classic utilizza questi ruoli collegati ai servizi per scrivere log su Amazon Data Firehose. Questi ruoli vengono utilizzati solo se abiliti l'accesso. AWS WAF Per ulteriori informazioni, consulta [Registrazione informazioni di traffico ACL Web](classic-logging.md).

I ruoli `AWSServiceRoleForWAFRegionalLogging` collegati ai servizi `AWSServiceRoleForWAFLogging` e affidano il ruolo ai seguenti servizi (rispettivamente):
+ `waf.amazonaws.com`

  `waf-regional.amazonaws.com`

Le politiche di autorizzazione dei ruoli consentono a AWS WAF Classic di completare le seguenti azioni sulle risorse specificate:
+ Azione: `firehose:PutRecord` e `firehose:PutRecordBatch` su Amazon Data Firehose risorse di flusso di dati con un nome che inizia con "aws-waf-logs-». Ad esempio, `aws-waf-logs-us-east-2-analytics`.

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.

## Creazione di un ruolo collegato ai servizi per Classic AWS WAF
<a name="classic-create-slr"></a>

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando abiliti l'accesso AWS WAF classico o Console di gestione AWS effettui una `PutLoggingConfiguration` richiesta nella CLI AWS WAF classica o nell'API classica AWS WAF , Classic crea automaticamente AWS WAF il ruolo collegato al servizio. 

È necessario disporre dell'autorizzazione `iam:CreateServiceLinkedRole` per attivare la registrazione.

Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando abiliti la registrazione AWS WAF classica, AWS WAF Classic crea nuovamente il ruolo collegato al servizio per te. 

## Modifica di un ruolo collegato al servizio per Classic AWS WAF
<a name="classic-edit-slr"></a>

AWS WAF La versione classica non consente di modificare i ruoli `AWSServiceRoleForWAFLogging` e i ruoli collegati al `AWSServiceRoleForWAFRegionalLogging` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.

## Eliminazione di un ruolo collegato al servizio per Classic AWS WAF
<a name="classic-delete-slr"></a>

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.

**Nota**  
Se il servizio AWS WAF Classic utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.

**Per eliminare le risorse della AWS WAF versione classica utilizzate da `AWSServiceRoleForWAFLogging` e `AWSServiceRoleForWAFRegionalLogging`**

1. Sulla console AWS WAF Classic, rimuovi la registrazione da ogni ACL Web. Per ulteriori informazioni, consulta [Registrazione informazioni di traffico ACL Web](classic-logging.md).

1. Utilizzando l'API o l'interfaccia CLI, inviare una richiesta di `DeleteLoggingConfiguration` per ogni ACL Web che ha la registrazione attivata. Per ulteriori informazioni, consulta [AWS WAF Classic API](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html) Reference.

**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**

Utilizza la console IAM, l'IAM CLI o l'API IAM per eliminare i ruoli `AWSServiceRoleForWAFLogging` e i ruoli collegati ai `AWSServiceRoleForWAFRegionalLogging` servizi. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.

## Regioni supportate per i ruoli classici collegati ai servizi AWS WAF
<a name="classic-slr-regions"></a>

AWS WAF La versione classica supporta l'utilizzo di ruoli collegati ai servizi nei seguenti casi. Regioni AWS


****  

| Nome della regione | Identità della regione | Support nella AWS WAF versione classica | 
| --- | --- | --- | 
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | Sì | 
| Stati Uniti orientali (Ohio) | us-east-2 | Sì | 
| Stati Uniti occidentali (California settentrionale) | us-west-1 | Sì | 
| US West (Oregon) | us-west-2 | Sì | 
| Asia Pacifico (Mumbai) | ap-south-1 | Sì | 
| Asia Pacifico (Osaka) | ap-northeast-3 | Sì | 
| Asia Pacifico (Seul) | ap-northeast-2 | Sì | 
| Asia Pacifico (Singapore) | ap-southeast-1 | Sì | 
| Asia Pacifico (Sydney) | ap-southeast-2 | Sì | 
| Asia Pacifico (Tokyo) | ap-northeast-1 | Sì | 
| Canada (Centrale) | ca-central-1 | Sì | 
| Europa (Francoforte) | eu-central-1 | Sì | 
| Europa (Irlanda) | eu-west-1 | Sì | 
| Europa (Londra) | eu-west-2 | Sì | 
| Europa (Parigi) | eu-west-3 | Sì | 
| Sud America (San Paolo) | sa-east-1 | Sì | 

# Registrazione e monitoraggio nella versione classica AWS WAF
<a name="classic-waf-incident-response"></a>

**avvertimento**  
AWS WAF La versione classica è che sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.

**Nota**  
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)  
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md). 

Il monitoraggio è una parte importante per mantenere l'affidabilità, la disponibilità e le prestazioni di AWS WAF Classic e delle tue AWS soluzioni. È necessario raccogliere i dati di monitoraggio da tutte le parti della AWS soluzione in modo da poter eseguire più facilmente il debug di un errore multipunto, se si verifica. AWS fornisce diversi strumenti per monitorare le risorse AWS WAF Classic e rispondere a potenziali eventi:

** CloudWatch Allarmi Amazon**  
Utilizzando gli CloudWatch allarmi, controlli una singola metrica per un periodo di tempo specificato. Se la metrica supera una determinata soglia, CloudWatch invia una notifica a un argomento o una policy di Amazon SNS. AWS Auto Scaling Per ulteriori informazioni, consulta [Monitoraggio con Amazon CloudWatch](monitoring-cloudwatch.md).

**AWS CloudTrail Registri**  
CloudTrail fornisce un registro delle azioni intraprese da un utente, un ruolo o un AWS servizio in AWS WAF Classic. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta effettuata a AWS WAF Classic, l'indirizzo IP da cui è stata effettuata, chi ha effettuato la richiesta, quando è stata effettuata e ulteriori dettagli. Per ulteriori informazioni, consulta [Registrazione delle chiamate API di AWS CloudTrail con](logging-using-cloudtrail.md).

# Convalida della conformità per Classic AWS WAF
<a name="classic-waf-compliance"></a>

**avvertimento**  
AWS WAF La versione classica consiste nel seguire un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe e le date specifiche della tua regione.

**Nota**  
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)  
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md). 

Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .

È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta [AWS la documentazione sulla sicurezza](https://docs.aws.amazon.com/security/).

# Resilienza nella versione classica AWS WAF
<a name="classic-disaster-recovery-resiliency"></a>

**avvertimento**  
AWS WAF Classic sta attraversando un processo pianificato. end-of-life Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.

**Nota**  
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)  
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md). 

L'infrastruttura AWS globale è costruita attorno a Regioni AWS zone di disponibilità. Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture tradizionali a data center singolo o multiplo. 

[Per ulteriori informazioni sulle zone di disponibilità, vedere Global Regioni AWS Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)

# Sicurezza dell'infrastruttura in AWS WAF Classic
<a name="classic-infrastructure-security"></a>

**avvertimento**  
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.

**Nota**  
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)  
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md). 

In quanto servizio gestito, AWS WAF Classic è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.

Utilizzi chiamate API AWS pubblicate per accedere a AWS WAF Classic attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.