**Ti presentiamo una nuova esperienza di console per AWS WAF**
Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS Shield direttore della sicurezza di rete (anteprima)
**Nota**
AWS Shield Network Security Director è disponibile in anteprima pubblica ed è soggetto a modifiche.
AWS Shield network security director aiuta a proteggere AWS l'ambiente individuando le risorse di calcolo, di rete e di sicurezza di rete disponibili nell'account. Network Security Director valuta la configurazione di sicurezza di ogni risorsa analizzando la topologia di rete e le configurazioni di sicurezza rispetto AWS alle best practice e all'intelligence sulle minacce. Per aiutarti a rafforzare la tua sicurezza, il responsabile della sicurezza di rete valuta i risultati da un livello di gravità basso a uno critico e condivide i passaggi correttivi specifici, che puoi esplorare utilizzando query in linguaggio naturale tramite Amazon Q Developer.
## AWS Shield prezzi del direttore della sicurezza di rete
AWS attualmente non prevede costi per l'utilizzo di Network Security Director. Tuttavia, sei responsabile delle commissioni sostenute per i servizi sottostanti che utilizzi, come AWS WAF. Quando Network Security Director sarà disponibile a livello generale, i prezzi saranno diversi rispetto alla versione di anteprima.
# AWS Shield casi d'uso del responsabile della sicurezza di rete
**Nota**
AWS Shield Network Security Director è disponibile in anteprima pubblica ed è soggetto a modifiche.
AWS Shield network security director aiuta a proteggere AWS l'ambiente individuando le risorse di calcolo, di rete e di sicurezza di rete disponibili nell'account. Network Security Director valuta la configurazione di sicurezza di ogni risorsa analizzando la topologia di rete e le configurazioni di sicurezza rispetto AWS alle best practice e all'intelligence sulle minacce. Per aiutarti a rafforzare la tua sicurezza, il responsabile della sicurezza di rete valuta i risultati da un livello di gravità basso a uno critico e condivide i passaggi correttivi specifici, che puoi esplorare utilizzando query in linguaggio naturale tramite Amazon Q Developer.
Network Security Director e Amazon Q Developer ti aiutano a identificare i problemi di sicurezza nella configurazione di sicurezza della rete e forniscono opzioni di mitigazione:
+ **Accesso eccessivamente permissivo alle tue EC2 istanze**: identifica i gruppi di sicurezza e la rete ACLs (NACLs) associati alle tue istanze e ad VPCs Amazon Elastic Compute Cloud che consentono l'accesso illimitato a porte ad alto rischio, come le porte 22 e 3389. Segui step-by-step le istruzioni per implementare le regole corrette per i gruppi di sicurezza o per limitare l'accesso a queste porte ad alto rischio. NACLs
+ **Risorse di calcolo e di rete aperte a Internet**: identifica le risorse raggiungibili da Internet tramite la connettività con un gateway Internet.
+ **Risorse connesse a Internet che non sono completamente protette da AWS WAF**: identifica le risorse raggiungibili da Internet e comprendi lo stato delle relative protezioni. AWS WAF Segui step-by-step le istruzioni per la configurazione e la distribuzione AWS WAF, compresi i consigli per l'utilizzo di regole come le regole di limitazione della velocità e i gruppi di regole Managed Rules. AWS
+ **Risorse esposte a minacce note**: identifica le risorse esposte a minacce note, come attacchi Distributed Denial of Service (DDoS), attacchi SQL injection e attacchi Cross-Site Scripting (XSS). Segui step-by-step le istruzioni per implementare regole personalizzate o gruppi di regole AWS WAF AWS Managed Rules per difenderti da queste minacce.
+ **Servizi di sicurezza di rete abilitati ma non collegati ad alcuna risorsa di elaborazione o di rete: identifica i gruppi NACLs di sicurezza AWS WAF Web ACLs e VPC che attualmente non proteggono nessuna delle tue risorse** di elaborazione o di rete. Segui le istruzioni per rimuoverli o per aggiungere regole consigliate per migliorare le protezioni nel caso in cui decidessi di associarli a risorse di calcolo o di rete in futuro.
# Concetti chiave di Network Security Director
**Nota**
AWS Shield Network Security Director è disponibile in anteprima pubblica ed è soggetto a modifiche.
**Resources**
Le risorse di elaborazione, rete e sicurezza che gestiscono il traffico delle applicazioni:
+ *Elaborazione*: istanze Amazon Elastic Compute Cloud
+ *Rete*: Application Load Balancer, Amazon API Gateway, CloudFront distribuzioni Amazon, sottoreti VPC e interfacce di rete elastiche VPC () ENIs
+ *Sicurezza*: AWS WAF web ACLs, gruppi di sicurezza VPC ed elenchi di controllo degli accessi alla rete VPC () NACLs
**Esiti**
Avvisi relativi a servizi di sicurezza di rete mancanti o configurati in modo errato, con livelli di gravità pari a NONE, INFORMATIONAL, LOW, MEDIUM, HIGH o CRITICAL. Il responsabile della sicurezza di rete genera i risultati valutando le impostazioni di configurazione e l'intelligence sulle minacce per ciascuna risorsa.
**Gravità**
Misura della vulnerabilità di una risorsa a potenziali eventi di sicurezza, basata sulle migliori pratiche e sull'intelligence sulle minacce. AWS La valutazione della gravità considera sia le potenziali vulnerabilità che le protezioni esistenti. Il livello di gravità di una risorsa corrisponde al risultato più grave o risulta assente se non ci sono risultati.
**Topologia di rete**
Una rappresentazione visiva della rete che mostra le connessioni alle risorse, l'esposizione a Internet e le relazioni basate su tag. Utilizza la visualizzazione topologica per esaminare le risorse e i relativi risultati.
## Comprensione dei risultati del responsabile della sicurezza di rete
**Nota**
AWS Shield Network Security Director è disponibile in anteprima pubblica ed è soggetto a modifiche.
Il direttore della sicurezza di rete genera risultati specifici per ogni tipo di risorsa che analizza. Questi risultati aiutano a identificare i problemi di sicurezza e ad adottare le misure appropriate. La tabella seguente elenca tutti i possibili risultati per tipo di risorsa.
**risultati del responsabile della sicurezza di rete per tipo di risorsa**
| Tipo di risorsa | Descrizione del risultato |
| --- | --- |
| Application Load Balancer | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/nsd-concepts.html) |
| Gateway Amazon API | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/nsd-concepts.html) |
| Amazon CloudFront | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/nsd-concepts.html) |
| Istanza Amazon Elastic Compute Cloud (EC2) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/nsd-concepts.html) |
| Gruppo di sicurezza VPC | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/nsd-concepts.html) |
| Elenco di controllo dell'accesso alla rete VPC (NACL) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/nsd-concepts.html) |
| AWS WAF ACL web | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/nsd-concepts.html) |
# Configurazione dell'account per utilizzare AWS Shield Network Security Director
**Nota**
AWS Shield Network Security Director è disponibile in anteprima pubblica ed è soggetto a modifiche.
AWS Shield network security director richiede a AWS Organizations di gestire la sicurezza su più account dell'organizzazione. Questo argomento descrive i passaggi preliminari per preparare AWS l'ambiente, tra cui la configurazione di Organizations, la designazione di un amministratore delegato e la configurazione delle autorizzazioni IAM necessarie. Non ti viene addebitato alcun costo per questi passaggi preliminari di configurazione. Ti vengono addebitati solo i AWS servizi che utilizzi.
## Prerequisiti
Prima di poter utilizzare AWS Shield Network Security Director, è necessario disporre di quanto segue:
+ **AWS Organizzazioni**: il direttore della sicurezza di AWS Shield rete collabora esclusivamente con AWS Organizations per fornire analisi della sicurezza su più account. Non è possibile utilizzare AWS Shield Network Security Director con un singolo account autonomo.
+ **Accesso all'account di gestione**: è necessario accedere all'account di gestione AWS Organizations per designare un amministratore delegato come direttore AWS Shield della sicurezza di rete.
+ **Account amministratore delegato**: è necessario identificare o creare un account che fungerà da amministratore delegato per AWS Shield il direttore della sicurezza di rete. Questo non può essere l'account di gestione Organizations.
**Importante**
AWS Shield Network Security Director non può essere utilizzato con AWS account autonomi. È necessario che AWS Organizations sia configurato con almeno un account membro oltre all'account di gestione.
## Comprendere l'integrazione di AWS Organizations
AWS Organizations è un servizio globale di gestione degli account che consente AWS agli amministratori di consolidare e gestire più AWS account. AWS Shield network security director si integra con Organizations per fornire analisi e gestione centralizzate della sicurezza in tutta l'organizzazione.
Quando integri AWS Shield Network Security Director con AWS Organizations:
+ L'account di gestione Organizations designa un amministratore delegato per il direttore della sicurezza di AWS Shield rete.
+ L'amministratore delegato può abilitare il direttore AWS Shield della sicurezza di rete su più account e regioni
+ L'analisi e i risultati della sicurezza sono gestiti centralmente tramite l'account amministratore delegato
+ I ruoli collegati ai servizi vengono creati automaticamente negli account dei membri per consentire l'analisi
Questo approccio è simile ad altri servizi AWS di sicurezza come AWS Security Hub e offre una governance coerente per tutti gli strumenti di sicurezza.
## Scelta di un amministratore delegato
Un amministratore delegato è un AWS account dell'organizzazione a cui sono state concesse le autorizzazioni per gestire il direttore della sicurezza di AWS Shield rete per conto dell'organizzazione. L'amministratore delegato può abilitare il servizio, creare politiche e gestire i risultati di sicurezza in tutti gli account dei membri.
**Requisiti per gli amministratori delegati:**
+ Deve essere un account membro nella struttura della tua AWS Organizations
+ Non può essere l'account di gestione di Organizations
+ Dovrebbe avere le autorizzazioni IAM appropriate configurate (vedi la sezione successiva)
**Nota**
Come best practice, consigliamo di utilizzare lo stesso account amministratore delegato per tutti i servizi di AWS sicurezza (come Security Hub e AWS Shield Network Security Director) per una governance coerente e una gestione semplificata. GuardDuty
## Requisiti IAM per l'amministratore delegato
L'account amministratore delegato richiede autorizzazioni IAM specifiche per gestire efficacemente il direttore AWS Shield della sicurezza di rete. È necessario allegare la seguente policy all'utente o al ruolo IAM che gestirà il direttore AWS Shield della sicurezza di rete nell'account amministratore delegato.
**Policy IAM richiesta per l'amministratore delegato del direttore della sicurezza di AWS Shield rete:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"network-security-director:*"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam:::role/aws-service-role/AWSServiceRoleForNetworkSecurityDirector"
]
},
{
"Effect": "Allow",
"Action": [
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListAccountsForParent",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:DescribeOrganization",
"organizations:CreatePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"organizations:EnablePolicyType",
"organizations:DisablePolicyType",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource",
"organizations:ListDelegatedAdministrators",
"organizations:ListHandshakesForAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": [
"*"
]
}
]
}
```
**Spiegazione della politica:**
+ **network-security-director: \$1** - Garantisce l'accesso completo a tutte le operazioni del responsabile della sicurezza di AWS Shield rete, inclusa l'attivazione del servizio, la creazione di politiche e la gestione dei risultati.
+ **Autorizzazioni IAM**: consentono all'amministratore delegato di gestire il ruolo legato ai servizi utilizzato dal direttore della sicurezza della AWS Shield rete per eseguire l'analisi tra gli account dei membri.
**Per creare e allegare la policy IAM**
1. Accedi alla console di AWS gestione utilizzando l'account amministratore delegato.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, selezionare **Policies (Policy)** e **Create Policy (Crea policy)**.
1. Scegli la scheda **JSON** e incolla il documento di policy mostrato sopra.
1. Scegli **Avanti: Tag**, quindi **Avanti: Revisione**.
1. In **Nome**, inserisci **NetworkSecurityDirectorDelegatedAdminPolicy**.
1. Scegli **Create Policy (Crea policy)**.
1. Allega questa policy all'utente o al ruolo IAM che gestirà il direttore della sicurezza di AWS Shield rete nell'account amministratore delegato.
## Lista di controllo per la configurazione
Prima di procedere con l'attivazione di AWS Shield Network Security Director, assicuratevi di aver completato le seguenti attività di configurazione:
+ ✓ AWS Organizations è configurato con un account di gestione e almeno un account membro
+ ✓ Hai identificato un account amministratore delegato (non può essere l'account di gestione)
+ ✓ La policy IAM richiesta è stata creata e allegata all'account amministratore delegato
+ ✓ Hai accesso sia all'account di gestione Organizations che all'account amministratore delegato
Dopo aver completato queste attività di configurazione, è possibile procedere [Abilitazione del direttore AWS Shield della sicurezza di rete](nsd-enablement.md) all'attivazione del direttore AWS Shield della sicurezza di rete per l'organizzazione.
# Abilitazione del direttore AWS Shield della sicurezza di rete
**Nota**
AWS Shield Network Security Director è disponibile in anteprima pubblica ed è soggetto a modifiche.
AWS Shield Network Security Director è abilitato per AWS gli account tramite AWS Organizations. Questa sezione della documentazione descrive tutti i passaggi necessari per abilitare il direttore AWS Shield della sicurezza di rete per un' AWS organizzazione.
Questa sezione include due passaggi, entrambi necessari per completare la configurazione del Network Security Director:
1. L'account di gestione AWS dell'organizzazione abilita il direttore della sicurezza di AWS Shield rete, designa un amministratore delegato per l'organizzazione e crea la politica di amministratore delegato corrispondente.
1. L'amministratore delegato dell'organizzazione crea una politica che abilita il direttore della sicurezza di AWS Shield rete per le regioni selezionate dall'utente e gli account dei membri destinatari dell'organizzazione.
## Abilitazione del direttore AWS Shield della sicurezza di rete e delega di un amministratore del servizio
**Quando assegna l'account amministratore delegato per il direttore della sicurezza di AWS Shield rete, il direttore AWS Shield della sicurezza della rete consiglierà un amministratore delegato esistente se uno è già configurato per un altro servizio di sicurezza, come AWS Security Hub AWS .** Se non esiste un amministratore delegato, ti verrà richiesto di selezionare un account membro dalla tua organizzazione. L'account di gestione dell'organizzazione non può essere designato come amministratore delegato.
**Per designare un amministratore come direttore AWS Shield della sicurezza di rete**
1. [Accedi al tuo AWS account con le credenziali dell'account di gestione AWS dell'organizzazione e apri la console del direttore della sicurezza di AWS Shield rete all'indirizzo https://console.aws.amazon.com/wafv2/network-security-director/.](https://console.aws.amazon.com/wafv2/network-security-director/)
1. Dalla home page del direttore della sicurezza di rete, scegli **Inizia**.
1. Per **Account amministratore delegato**, scegli un account amministratore in base alle opzioni fornite. Come best practice, consigliamo di utilizzare lo stesso amministratore delegato per tutti i servizi di sicurezza per una governance coerente.
1. Per la **politica dell'amministratore delegato**, scegli una delle seguenti opzioni per aggiungere la dichiarazione sulla politica:
1. (Opzione 1) Scegli **Aggiorna questo per me.** Seleziona la casella sotto l'informativa sulla politica per confermare che il direttore AWS Shield della sicurezza della rete creerà automaticamente una politica di delega che conceda tutte le autorizzazioni richieste all'amministratore delegato.
1. (Opzione 2) Scegli **Voglio allegarlo manualmente**. Scegli **Copia e allega**. Nella console AWS Organizations, in **Amministratore delegato per AWS le organizzazioni**, scegli **Delega** e incolla la politica delle risorse nell'editor dei criteri di delega, quindi scegli **Crea** politica. Apri la scheda in cui ti trovi nella console del direttore della sicurezza di AWS Shield rete.
1. Scegli **Completa per iniziare**.
Al termine di questo passaggio, verranno completate le seguenti azioni:
+ Abilitazione [di Trusted Access](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) per il responsabile AWS Shield della sicurezza di rete. Ciò consentirà al direttore della sicurezza della rete di creare ruoli collegati ai servizi all'interno degli account dei membri che rientrano nell'ambito della politica.
+ Creazione del ruolo collegato al servizio **AWSServiceRoleForNetworkSecurityDirector**per l'account di gestione dell'organizzazione.
+ Registrazione dell'amministratore delegato come direttore della sicurezza di AWS Shield rete.
+ Aggiornamento della politica delle risorse, che consente all'amministratore delegato del direttore della sicurezza di AWS Shield rete di effettuare le chiamate necessarie alle AWS Organizzazioni APIs.
Una volta completata la configurazione, verrai reindirizzato alla pagina **Impostazioni**, dove potrai aggiornare o rimuovere l'amministratore delegato, gestire la politica di delega e disabilitare il direttore della sicurezza di rete come servizio. Per accedere a questa pagina delle impostazioni in futuro con l'account di gestione dell'organizzazione, accedi alla console del direttore della sicurezza di rete e scegli **Gestisci impostazioni**.
## Abilitazione del direttore della sicurezza di AWS Shield rete per gli account dei membri con amministratore delegato
Questo passaggio deve essere completato dall'amministratore delegato. Una volta che l'account di gestione AWS dell'organizzazione ha designato un amministratore delegato, tale amministratore deve creare una politica che conceda l'autorizzazione per abilitare le aree all'interno dell'organizzazione. Tutte le politiche configurate sono disponibili nella sezione **Region and Account Policies** della console di AWS Shield Network Security Director. La procedura riportata di seguito illustra come creare questa politica.
**Per creare e allegare una politica che abiliti le regioni per account mirati**
1. [Accedi al tuo AWS account con le credenziali di amministratore delegato e apri la console del direttore della sicurezza di AWS Shield rete all'indirizzo https://console.aws.amazon.com/wafv2/network-security-director/.](https://console.aws.amazon.com/wafv2/network-security-director/)
1. **Dalla home page del direttore della sicurezza di AWS Shield rete, scegli Abilita.**
1. Per **i dettagli**, inserisci un nome e una descrizione opzionale per la politica.
1. Per la **selezione dell'account**, seleziona una delle seguenti opzioni. Scegli **Tutte le unità organizzative e gli account** se desideri applicare la politica a tutte le unità organizzative e gli account. Scegli **Unità organizzative e conti specifici** se desideri applicare la politica a unità organizzative e conti specifici. Utilizza la barra di ricerca o l'albero della struttura organizzativa per specificare le unità organizzative e gli account a cui verrà applicata la politica.
1. Per **Regioni**, seleziona le aree che desideri abilitare o disabilitare per questa politica. Fai riferimento a [Considerazioni sulle prestazioni](troubleshooting.md#performance-considerations) prima di completare le selezioni.
1. Controlla le modifiche, quindi scegli **Abilita direttore della sicurezza di rete**.
Al termine di questo passaggio, verranno completate le seguenti azioni:
+ Creazione del ruolo collegato al servizio **AWSServiceRoleForNetworkSecurityDirector**per l'attuale account amministratore delegato.
+ Creazione della politica che consente al direttore AWS Shield della sicurezza di rete di eseguire scansioni nelle regioni abilitate e sulle destinazioni collegate.
+ Reindirizzamento alla **dashboard di riepilogo**, in cui è possibile visualizzare informazioni a livello di organizzazione e dettagli a livello di risorsa per ciascun account.
Una volta completata la configurazione, verrai reindirizzato alla pagina della **dashboard di riepilogo**, dove potrai visualizzare le informazioni a livello di organizzazione e i dettagli a livello di risorsa per ogni account. Per gestire le politiche future con l'account amministratore delegato, accedi alla console del direttore della sicurezza di rete e scegli **Gestisci impostazioni**.
# Esplorazione di risorse e risultati
La dashboard del direttore della sicurezza di AWS Shield rete fornisce un riepilogo dei risultati più gravi, un confronto dei risultati per regioni incluse, una tabella degli account che sono stati analizzati, un pannello che appare quando viene selezionato un account e una topologia di rete che viene compilata una volta selezionata una risorsa all'interno di quel pannello.
**Nota**
È necessario accedere con le credenziali di amministratore delegato per visualizzare risorse e risultati nella dashboard del Network Security Director.
## Per identificare quali account contengono risultati
1. Accedi con il tuo account amministratore delegato e apri la console del direttore della sicurezza di AWS Shield rete all'indirizzo [https://console.aws.amazon.com/wafv2/network-security-director/](https://console.aws.amazon.com/wafv2/network-security-director/).
1. Nel pannello di navigazione, sotto Network Security Director, scegli **Dashboard**.
1. La dashboard di riepilogo viene visualizzata con i seguenti widget.
### Widget Regioni
Il widget Regioni evidenzia i **risultati più critici**, che sono una rappresentazione di tutti i risultati sulle risorse e della loro gravità combinata. Accanto c'è un grafico che include la regione corrente e fornisce un riepilogo comparativo della rilevazione delle gravità in tutte le aree abilitate. Ciò consente una rapida identificazione dei problemi critici per regione e un indicatore che indica che potrebbe essere necessario cambiare area se in quella regione ci sono risultati da esaminare.
### Widget Account
Gli account analizzati nella regione corrente vengono visualizzati nella tabella con l'ordinamento predefinito impostato per mostrare gli account con risorse in base alla severità di ricerca composita più elevata. È possibile selezionare un account per aprire un pannello che visualizza le risorse in base alla gravità composita dei risultati.
### Per identificare quali risorse contengono risultati
1. Dalla dashboard del responsabile della sicurezza di rete, vai al widget **Account**.
1. Seleziona l'account che mostra il numero di risultati compositi sulla gravità.
1. In questo modo si apriranno le risorse nel widget del pannello **Account and topology Explorer**.
Per identificare le risorse interessate e trovare consigli specifici per la correzione, consulta le sezioni seguenti.
Una volta completata l'analisi della rete, il responsabile della sicurezza della rete fornisce raccomandazioni dettagliate per correggere le vulnerabilità identificate nei risultati delle risorse. **È possibile filtrare qualsiasi risorsa vulnerabile in base all'**ID della risorsa**, al **livello di gravità**, al **tipo di risorsa** o ai risultati associati.** Per impostazione predefinita, la tabella **Risorse** mostra le risorse in ordine di gravità dal più alto al più basso.
### Widget del pannello Account and Topology Explorer
Quando viene selezionato un account, si apre il widget del pannello Account e Topology Explorer per visualizzare le risorse e i risultati all'interno di quell'account. Filtra la tabella all'interno per trovare risorse o risultati specifici o rimuovi i filtri per visualizzare un riepilogo dei tipi di risorse e dei tipi di risultati.
AWS Shield il direttore della sicurezza della rete assegna livelli di gravità a ogni risultato dell'analisi di rete più recente. **Le risorse possono essere assegnate a **Nessuna**, **Informativa**, **Bassa**, **Media**, **Alta** o Critica.** Questo livello di gravità rappresenta il livello di gravità del risultato più grave identificato su una risorsa. Ad esempio, se l'ultima analisi di rete determina che la tua istanza Amazon Amazon EC2 ha un rilevamento di gravità media e due risultati di gravità bassa, a quella risorsa viene assegnato un livello di gravità di rilevamento composito medio.
Il widget di **panoramica dei risultati** all'interno del **widget del pannello Account and topology Explorer**, a cui è possibile accedere rimuovendo qualsiasi risorsa o trovando i filtri di tipo, offre due modi per comprendere i risultati che il responsabile della sicurezza di rete ha trovato nelle tue risorse:
+ Con **Highest Severity Resources**, puoi capire rapidamente quale livello di gravità è il più severo tra tutte le tue risorse di rete. Puoi anche visualizzare un elenco di quante risorse sono interessate e il numero di risorse assegnate a ciascun livello di gravità dal responsabile della sicurezza della rete.
+ Da **Severity distribution**, è possibile visualizzare il numero di risorse con un livello di gravità specifico per ogni tipo di risorsa e confrontarle con quelle di altri tipi di risorse.
### Per esplorare la topologia di rete
1. Nel pannello di navigazione, sotto Network Security Director, scegli **Dashboard**.
1. Dalla dashboard del responsabile della sicurezza di rete, vai al widget **Account**.
1. Seleziona l'account che mostra il numero di risultati compositi sulla gravità.
1. In questo modo si apriranno le risorse nel widget del pannello **Account and topology Explorer**.
AWS Shield il responsabile della sicurezza della rete mappa le connessioni delle risorse durante le analisi. **Queste connessioni vengono visualizzate in una topologia di rete mostrata in un widget sulla dashboard sotto il widget Account.** Quando si seleziona un account e quindi si seleziona una risorsa nel widget del pannello **Account and topology Explorer**, la visualizzazione della topologia di rete viene visualizzata nel contesto della risorsa selezionata.
### Widget sulla topologia di rete
La topologia di rete rimane vuota fino a quando non viene selezionata una risorsa specifica nel widget del pannello Account and topology Explorer, che appare quando un account è stato selezionato nel widget della tabella **Account**. È possibile navigare nella topologia di rete trascinando la tela o utilizzando i controlli di zoom nell'angolo inferiore destro del contenitore. Sono inoltre disponibili controlli per reimpostare lo zoom e la posizione dell'area di disegno oltre all'esportazione del suo contenuto. La topologia può essere aggiornata in caso di risultati di analisi aggiornati e può anche espandere la sua visualizzazione per visualizzare la topologia su tutto lo schermo. Seleziona una risorsa nella topologia per visualizzarne i dettagli nel widget del pannello **Account and topology** Explorer. Seleziona una connessione Resource Edge per saperne di più sulla natura della relazione tra due risorse nella topologia.
**Nota**
La topologia di rete viene creata passando dalla risorsa selezionata alle relative risorse di rete connesse. Nella visualizzazione della topologia vengono visualizzate solo le prime 100 risorse connesse, ordinate per gravità. Questo ordinamento viene applicato solo al set iniziale di 100 risultati recuperati, non al set di dati completo.
### Per trovare consigli per migliorare la sicurezza
1. Dalla dashboard del responsabile della sicurezza di rete, vai al widget **Account**.
1. Seleziona l'account che mostra il numero di risultati compositi sulla gravità.
1. In questo modo si apriranno le risorse nel widget del pannello **Account and topology Explorer**.
1. La selezione di una risorsa nel widget ne mostra i dettagli, con la possibilità di accedere direttamente alla **pagina completa dei dettagli della risorsa** per un'analisi più approfondita.
Una risorsa può avere più risultati identificati dal responsabile della sicurezza della rete. Ogni risultato rappresenta un problema di sicurezza rilevato durante l'analisi di rete più recente.
+ Espandi i **consigli di correzione** relativi al risultato per saperne di più.
+ Segui i passaggi suggeriti dal responsabile della sicurezza di rete o scegli il link alla documentazione incluso per saperne di più.
Dopo aver esaminato e implementato i consigli di riparazione per le risorse interessate, potresti voler ottenere ulteriori informazioni sulla tua configurazione di sicurezza generale. Continua [Analizza la sicurezza di rete con Amazon Q Developer](nsd-security-insights.md) a scoprire come usare Amazon Q Developer per ulteriori analisi.
# Analizza la sicurezza di rete con Amazon Q Developer
Amazon Q Developer è un assistente basato sull'intelligenza artificiale generativa (AI generativa) che collabora con il responsabile della sicurezza di rete per rispondere alle tue domande e fornire consigli sulla sicurezza della rete e sulle opzioni di riparazione.
Puoi interagire con Amazon Q Developer premendo il pulsante Q o **Esplora con Amazon Q Developer** ovunque appaia nella console del direttore della sicurezza di rete. Questa sezione ti guida attraverso i passaggi per porre domande a Q dal **pannello** di controllo del responsabile della sicurezza di rete.
**Per interagire con Amazon Q Developer**
**Nota**
È necessario aver completato un'analisi di rete prima di poter chattare con Amazon Q Developer.
1. Accedi a Console di gestione AWS e apri la console del direttore della sicurezza di AWS Shield rete all'indirizzo [https://console.aws.amazon.com/wafv2/network-security-director/](https://console.aws.amazon.com/wafv2/network-security-director/).
1. Dalla home page del direttore della sicurezza di rete, scegli **Dashboard**.
1. Nel widget **Ask Amazon Q Developer**, scegli una domanda da utilizzare come prompt nell'interfaccia di chat di Amazon Q Developer.
1. Nell'interfaccia di chat di Amazon Q Developer, invia la tua richiesta.
## Domande di esempio
Di seguito sono riportati alcuni esempi di domande sulla sicurezza di rete che puoi porre ad Amazon Q Developer:
+ Identifica gli esiti in materia di sicurezza di rete
+ Identifica le mie principali scoperte in materia di sicurezza di rete nell'account 123456789010
+ Identifica le mie principali scoperte sulla sicurezza di rete in us-west-2
+ Riassumi la sicurezza di rete del mio ambiente
+ I miei sistemi sono a rischio di attacchi DDo S?
+ Come posso migliorare la mia sicurezza di rete?
+ Ho delle risorse senza protezione WAF?
+ Quali risorse non sono protette dalle vulnerabilità più comuni del web?
+ Quali sono i problemi di sicurezza di rete più comuni sulle mie EC2 istanze?
+ Ho un sito Web WAF ACLs che non protegge nulla?
# Considerazioni sulla protezione dei dati
Per informazioni su come Amazon Q Developer archivia le tue conversazioni, consulta la sezione [Protezione dei dati in Amazon Q Developer](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/data-protection.html) User Guide nella *Amazon Q Developer User Guide*.
Per informazioni su come Amazon Q Developer utilizza l'elaborazione interregionale, consulta l'[elaborazione interregionale in Amazon Q Developer](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/cross-region-processing.html) nella *Amazon Q Developer User Guide*.
## AWS Shield quote dei direttori della sicurezza di rete
AWS gli account hanno quote predefinite, precedentemente denominate limiti, per ogni servizio. AWS La tabella seguente descrive la quota per il direttore della sicurezza di rete. Per ulteriori informazioni sulle quote modificabili, consulta [Quote di servizio ](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).
| Risorsa | Quota predefinita |
| --- | --- |
| Numero massimo di risorse elaborate per scansione | 300.000 |
| Numero massimo di edge per risorsa | 200 |
| Numero massimo di account abilitati per regione per organizzazione | 15.000 |
| Numero massimo di richieste Q per organizzazione al mese | 200 |
Quando il responsabile della sicurezza di rete raggiunge il numero massimo di risorse che può elaborare in un'analisi di rete o il numero massimo di edge per risorsa, l'analisi della rete fallisce. Non ti viene addebitato alcun costo per l'analisi di rete non riuscita.
# Responsabile AWS Shield della risoluzione dei problemi della sicurezza di rete
## Risorse condivise tra più account non supportate
AWS Shield il responsabile della sicurezza della rete non supporta determinate risorse condivise tra account. Quando tenti di scansionare queste risorse, riceverai messaggi di errore che indicano che le risorse non possono essere analizzate.
**Risorse condivise e messaggi di errore non supportati**
| Tipo di risorsa | Messaggio di errore |
| --- | --- |
| Network Firewall FirewallPolicy | network-firewall: DescribeFirewallPolicy non supportato su risorse condivise |
| Gruppo di regole Network Firewall Stateful | network-firewall: DescribeRuleGroup non supportato su risorse condivise |
| Gruppo di regole Network Firewall Stateless | network-firewall: DescribeRuleGroup non supportato su risorse condivise |
| EC2 PrefixList | ec2: GetManagedPrefixListEntries non supportato su risorse condivise |
## Disponibilità di risorse, risultati e soppressione
Se un account lascia un'organizzazione o il direttore della sicurezza della rete viene disabilitato per un account, si verifica quanto segue:
+ **Risultati e risorse:** i risultati dell'account verranno rimossi una volta disattivato il servizio per l'account. Questo processo richiede in genere alcuni minuti, ma potrebbe essere più lungo.
+ **Soppressioni: le** soppressioni vengono eliminate entro 90 giorni dalla disattivazione del servizio per un account. Se il servizio viene riattivato per un account entro questo periodo di 90 giorni, le soppressioni esistenti potrebbero essere ancora disponibili, ma la disponibilità non è garantita. Le soppressioni devono essere rimosse prima di disabilitare il servizio per un account per evitare questa incertezza.
## Considerazioni sulle prestazioni
AWS Shield Network Security Director è progettato per fornire aggiornamenti giornalieri dei dati per l'analisi della rete dell'organizzazione. Tuttavia, le prestazioni possono variare in base alle dimensioni e alla regione dell'organizzazione.
Organizations con un numero elevato di account possono subire cicli di aggiornamento più lunghi, con aggiornamenti dei dati che si verificano dopo più giorni per i singoli account. Inoltre, le prestazioni possono variare in modo significativo in base all'area geografica, con prestazioni lente e tempi di aggiornamento prolungati, in particolare nelle aree che effettuano l'opt-in.
Per migliorare le prestazioni e aggiornare i dati più frequentemente, consigliamo di abilitare il responsabile della sicurezza di rete per gli account che sono specificamente pertinenti a ciascuna regione. Questa raccomandazione è particolarmente importante per le regioni che accettano l'adesione.
## Risorse aggiuntive
Se riscontri problemi non risolti in questa guida alla risoluzione dei problemi, contatta AWS il Supporto per ulteriore assistenza.
# Sicurezza nell'uso del AWS Shield Network Security Director
**Nota**
AWS Shield Network Security Director è disponibile in anteprima pubblica ed è soggetto a modifiche.
Questa sezione descrive le principali considerazioni sulla sicurezza relative all'utilizzo di questa anteprima di Network Security Director.
**Origini dati**
Quando esegui un'analisi, il responsabile della sicurezza della rete recupera le informazioni sulle tue [AWS risorse utilizzando endpoint](https://aws.amazon.com/resourceexplorer/) AWS API pubblici. Le informazioni recuperate includono gli attributi delle risorse che sono disponibili per il tuo account tramite il pubblico. AWS APIs
AWS Shield il direttore della sicurezza della rete utilizza anche fonti di AWS dati interne e informazioni sulle minacce per identificare i risultati e consigliare soluzioni.
**Crittografia dei dati**
Esamina le seguenti considerazioni sulla crittografia quando usi Network Security Director.
+ **Crittografia a riposo**: tutti i dati sono protetti quando sono inattivi.
+ **Crittografia in transito**: tutti i dati sono protetti in transito utilizzando la crittografia Transport Layer Security (TLS). Tutte le comunicazioni vengono autenticate utilizzando Amazon Simple Storage Service AWS Signature Version 4 (SigV4). *Per informazioni su SigV4, consulta [Authenticating Requests (AWS Signature Version 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) nella Amazon S3 User Guide.*
+ **Gestione delle chiavi**: le chiavi gestite dal cliente non sono attualmente supportate.
**Topics**
+ [Identity and Access Management per direttore AWS Shield della sicurezza di rete](nsd-iam.md)
+ [Esempi di policy basate sull'identità per AWS Shield il responsabile della sicurezza di rete](security-nsd-with-iam-id-based-policies.md)
+ [Utilizzo di ruoli collegati ai servizi per il direttore AWS Shield della sicurezza di rete](security_iam_nsd-with-iam-roles-service-linked.md)
# Identity and Access Management per direttore AWS Shield della sicurezza di rete
**Nota**
AWS Shield Network Security Director è disponibile in anteprima pubblica ed è soggetto a modifiche.
AWS Identity and Access Management (IAM) è un programma Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare le risorse del direttore della sicurezza di AWS Shield rete. IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
Consulta le linee guida contenute in questa sezione per capire come utilizzare le politiche e i ruoli supportati per il direttore AWS Shield della sicurezza di rete.
## In che modo il direttore della sicurezza di AWS Shield rete lavora con IAM
Questa sezione spiega come utilizzare le funzionalità di IAM con AWS Shield Network Security Director.
Prima di utilizzare IAM per gestire l'accesso a Network Security Director, scopri quali funzionalità IAM sono disponibili per l'uso con Network Security Director.
**Funzionalità IAM che puoi utilizzare con AWS Shield Network Security Director**
| Funzionalità IAM | AWS Shield supporto per il direttore della sicurezza di rete |
| --- | --- |
| [Policy basate sull’identità](#iam_nsd-with-iam-id-based-policies) | Sì |
| [Ruoli collegati al servizio](security_iam_nsd-with-iam-roles-service-linked.md) | Sì |
Per avere una visione di alto livello di come Network Security Director e altri AWS servizi interagiscono con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
### Politiche basate sull'identità per il responsabile della sicurezza di rete
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
Per visualizzare esempi di politiche basate sull'identità di AWS Shield Network Security Director, vedere. [Esempi di policy basate sull'identità per AWS Shield il responsabile della sicurezza di rete](security-nsd-with-iam-id-based-policies.md)
### Ruoli collegati ai servizi per il direttore della sicurezza di rete
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per informazioni dettagliate sulla creazione o la gestione dei ruoli collegati ai servizi di Network Security Director, consulta. [Utilizzo di ruoli collegati ai servizi per il direttore AWS Shield della sicurezza di rete](security_iam_nsd-with-iam-roles-service-linked.md)
# Esempi di policy basate sull'identità per AWS Shield il responsabile della sicurezza di rete
**Nota**
Quando inizi a utilizzare AWS Shield Network Security Director, creiamo automaticamente un ruolo collegato ai servizi che soddisfa tutti i requisiti minimi di autorizzazione. La creazione e la gestione delle proprie politiche basate sull'identità sono facoltative.
Per fornire un accesso appropriato a Network Security Director, è possibile creare policy basate sull'identità che concedano le autorizzazioni necessarie per l'accesso amministrativo e di sola lettura.
*Per ulteriori informazioni sulla creazione e la gestione delle policy IAM, consulta [Managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) nella IAM User Guide.*
Queste autorizzazioni consentono al responsabile AWS Shield della sicurezza di rete di eseguire un'analisi completa della sicurezza e fornire raccomandazioni accurate sulla sicurezza della rete. Le politiche di esempio fornite in questa guida sono progettate per casi d'uso comuni. È possibile utilizzare queste politiche come punto di partenza e modificarle secondo necessità per soddisfare requisiti specifici.
**Esempi di politiche in questa guida**
+ [Politica di accesso amministrativo basata sull'identità](#nsd-security-admin-id-based-policy)
+ [Policy basata sull'identità di accesso in sola lettura](#nsd-security-readonly-id-based-policy)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse del responsabile della sicurezza di rete nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Aggiornamenti alle politiche basate sull'identità
Man mano che vengono aggiunti aggiornamenti e funzionalità a Network Security Director, potrebbe essere necessario aggiornare le politiche basate sull'identità per includere autorizzazioni aggiuntive. Consulta questa guida per informazioni sulle nuove autorizzazioni che potrebbero essere necessarie.
A differenza delle politiche AWS gestite, le politiche gestite dai clienti non vengono aggiornate automaticamente. Sei responsabile del mantenimento e dell'aggiornamento di queste politiche secondo necessità.
Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
## Politica di accesso amministrativo basata sull'identità
Crea una policy basata sull'identità con l'esempio seguente per fornire l'accesso amministrativo completo alle operazioni di Network Security Director e la possibilità di creare il ruolo collegato al servizio richiesto.
**Nome della politica:** NetworkSecurityDirectorAdminPolicy
**Descrizione della politica**: consente l'accesso amministrativo completo alle operazioni di AWS Shield Network Security Director e fornisce anche l'accesso per creare o eliminare il ruolo collegato al servizio per Network Security Director.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"network-security-director:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/network-security-director.amazonaws.com/AWSServiceRoleForNetworkSecurityDirector"
}
]
}
```
------
## Policy basata sull'identità di accesso in sola lettura
Crea una policy basata sull'identità con il seguente esempio di policy per fornire un accesso in sola lettura alle operazioni del Network Security Director.
**Nome della policy:** NetworkSecurityDirectorReadOnlyPolicy
**Descrizione della politica**: consente l'accesso in sola lettura al direttore AWS Shield della sicurezza di rete.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"network-security-director:Get*",
"network-security-director:List*"
],
"Resource": "*"
}
]
}
```
------
# Utilizzo di ruoli collegati ai servizi per il direttore AWS Shield della sicurezza di rete
Questa sezione spiega come utilizzare i ruoli collegati ai servizi per consentire al responsabile AWS Shield della sicurezza di rete di accedere alle risorse del tuo account. AWS
AWS Shield il direttore della sicurezza di rete utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente al AWS Shield direttore della sicurezza di rete. I ruoli collegati ai servizi sono predefiniti dal direttore AWS Shield della sicurezza di rete e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato ai servizi semplifica la configurazione del direttore AWS Shield della sicurezza di rete perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Shield il direttore della sicurezza di rete definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo il direttore della sicurezza di AWS Shield rete può assumerne i ruoli. Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. Questa policy delle autorizzazioni non può essere collegata ad alcun'altra entità IAM.
Scopri il ruolo completo collegato ai servizi nella console IAM:. [NetworkSecurityDirectorServiceLinkedRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/NetworkSecurityDirectorServiceLinkedRolePolicy)
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni di ruolo collegate al servizio per il direttore della sicurezza di rete AWS Shield
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio `NetworkSecurityDirectorServiceLinkedRolePolicy` considera attendibili i seguenti servizi:
+ `network-director.amazonaws.com`
`NetworkSecurityDirectorServiceLinkedRolePolicy`Concede al direttore della sicurezza AWS Shield della rete le autorizzazioni per accedere e analizzare varie AWS risorse e servizi per tuo conto. Questo include:
+ Recupero della configurazione di rete e delle impostazioni di sicurezza dalle risorse Amazon EC2
+ Accesso ai CloudWatch parametri per analizzare i modelli di traffico di rete
+ Raccolta di informazioni sui sistemi di bilanciamento del carico e sui gruppi target
+ Raccolta di AWS WAF configurazioni e regole
+ Accesso alle informazioni sul AWS Direct Connect gateway
+ E altro ancora, come indicato nell'elenco delle autorizzazioni riportato di seguito
L'elenco seguente riguarda le autorizzazioni che non supportano il downscoping a risorse specifiche. Le altre sono ridotte alle risorse di servizio indicate.
```
{
"Sid": "ResourceLevelPermissionNotSupported",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeCustomerGateways",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeTransitGateways",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeTransitGatewayAttachments",
"ec2:DescribeTransitGatewayPeeringAttachments",
"ec2:DescribeTransitGatewayRouteTables",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:GetTransitGatewayRouteTablePropagations",
"ec2:GetManagedPrefixListEntries",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeLoadBalancencerAttributes",
"wafv2:ListWebACLs",
"cloudfront:ListDistributions",
"cloudfront:ListTagsForResource",
"directconnect:DescribeDirectConnectGateways",
"directconnect:DescribeVirtualInterfaces"
],
"Resource": "*"
}
```
**`NetworkSecurityDirectorServiceLinkedRolePolicy`autorizzazioni relative ai ruoli collegati al servizio**
L'elenco seguente include tutte le autorizzazioni abilitate dal ruolo collegato al servizio. `NetworkSecurityDirectorServiceLinkedRolePolicy`
Amazon CloudFront
```
{
"Sid": "cloudfront",
"Effect": "Allow",
"Action": [
"cloudfront:GetDistribution"
],
"Resource": "arn:aws:cloudfront::*:distribution/*"
}
```
AWS WAF
```
{
"Sid": "wafv2",
"Effect": "Allow",
"Action": [
"wafv2:ListResourcesForWebACL",
"wafv2:ListRuleGroups",
"wafv2:ListAvailableManagedRuleGroups",
"wafv2:GetRuleGroup",
"wafv2:DescribeManagedRuleGroup",
"wafv2:GetWebACL"
],
"Resource": [
"arn:aws:wafv2:*:*:global/rulegroup/*",
"arn:aws:wafv2:*:*:regional/rulegroup/*",
"arn:aws:wafv2:*:*:global/managedruleset/*",
"arn:aws:wafv2:*:*:regional/managedruleset/*",
"arn:aws:wafv2:*:*:global/webacl/*/*",
"arn:aws:wafv2:*:*:regional/webacl/*/*",
"arn:aws:apprunner:*:*:service/*",
"arn:aws:cognito-idp:*:*:userpool/*",
"arn:aws:ec2:*:*:verified-access-instance/*"
]
}
```
AWS WAF Classico
```
{
"Sid": "classicWaf",
"Effect": "Allow",
"Action": [
"waf:ListWebACLs",
"waf:GetWebACL"
],
"Resource": [
"arn:aws:waf::*:webacl/*",
"arn:aws:waf-regional:*:*:webacl/*"
]
}
```
AWS Direct Connect
```
{
"Sid": "directconnect",
"Effect": "Allow",
"Action": [
"directconnect:DescribeConnections",
"directconnect:DescribeDirectConnectGatewayAssociations",
"directconnect:DescribeDirectConnectGatewayAttachments",
"directconnect:DescribeVirtualGateways"
],
"Resource": [
"arn:aws:directconnect::*:dx-gateway/*",
"arn:aws:directconnect:*:*:dxcon/*",
"arn:aws:directconnect:*:*:dxlag/*",
"arn:aws:directconnect:*:*:dxvif/*"
]
}
```
AWS Transit Gateway percorsi
```
{
"Sid": "ec2Get",
"Effect": "Allow",
"Action": [
"ec2:SearchTransitGatewayRoutes"
],
"Resource": [
"arn:aws:ec2:*:*:transit-gateway-route-table/*"
]
}
```
AWS Network Firewall
```
{
"Sid": "networkFirewall",
"Effect": "Allow",
"Action": [
"network-firewall:ListFirewalls",
"network-firewall:ListFirewallPolicies",
"network-firewall:ListRuleGroups",
"network-firewall:DescribeFirewall",
"network-firewall:DescribeFirewallPolicy",
"network-firewall:DescribeRuleGroup"
],
"Resource": [
"arn:aws:network-firewall:*:*:*/*"
]
}
```
Gateway Amazon API
```
{
"Sid": "apiGatewayGetAPI",
"Effect": "Allow",
"Action": [
"apigateway:GET"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/apis",
"arn:aws:apigateway:*::/apis/*",
"arn:aws:apigateway:*::/tags/*",
"arn:aws:apigateway:*::/vpclinks",
"arn:aws:apigateway:*::/vpclinks/*"
]
}
```
## Creazione di un ruolo collegato ai servizi per il direttore AWS Shield della sicurezza di rete
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando esegui la tua prima analisi di rete, il direttore AWS Shield della sicurezza di rete crea automaticamente il ruolo collegato ai servizi.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando abiliti la registrazione di AWS Shield Network Security Director, AWS Shield Network Security Director crea nuovamente il ruolo collegato ai servizi per te.
## Modifica di un ruolo collegato ai servizi per il direttore della sicurezza di rete AWS Shield
AWS Shield il direttore della sicurezza di rete non consente di modificare il ruolo collegato al `NetworkSecurityDirectorServiceLinkedRolePolicy` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per il direttore della sicurezza di rete AWS Shield
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
Ciò protegge le risorse del direttore AWS Shield della sicurezza di rete perché non è possibile rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Nota**
Se il servizio di direttore della sicurezza della AWS Shield rete utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Usa la console IAM, la CLI IAM oppure l’API IAM per eliminare il ruolo collegato al servizio `NetworkSecurityDirectorServiceLinkedRolePolicy`. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
## Regioni supportate per i ruoli AWS Shield collegati ai servizi di Network Security Director
**Nota**
AWS Shield Network Security Director è disponibile in anteprima pubblica ed è soggetto a modifiche.
AWS Shield network security director supporta l'utilizzo di ruoli collegati ai servizi nelle seguenti regioni e può recuperare i dati sulle risorse disponibili solo in queste aree.
| Nome della regione | Regione |
| --- | --- |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 |
| Europa (Stoccolma) | eu-north-1 |
| Asia Pacifico (Thailandia) | ap-southeast-7 |
| Africa (Città del Capo) | ap-south-1 |
| Stati Uniti orientali (Ohio) | us-east-2 |
| Asia Pacifico (Malesia) | ap-southeast-5 |
| Asia Pacifico (Tokyo) | ap-northeast-1 |
| Stati Uniti occidentali (Oregon) | us-west-2 |
| Europa (Spagna) | eu-south-2 |
| Europa (Irlanda) | eu-west-1 |
| Europa (Francoforte) | eu-central-1 |
| Asia Pacific (Hong Kong) | ap-east-1 |
| Asia Pacifico (Singapore) | ap-southeast-1 |
| Asia Pacific (Sydney) | ap-southeast-2 |
# Registrazione delle chiamate API di AWS Shield Network Security Director con AWS CloudTrail
AWS Shield network security director si integra con AWS CloudTrail per registrare tutte le chiamate API come eventi. Questa integrazione acquisisce le chiamate effettuate dalla console di Network Security Director, le chiamate programmatiche al Network Security Director APIs e le chiamate effettuate da altri servizi. AWS
Con CloudTrail, puoi visualizzare gli eventi recenti nella cronologia degli eventi o creare un percorso per inviare log continui a un bucket Amazon Simple Storage Service. Questi log forniscono dettagli su ogni richiesta, tra cui l'identità del chiamante, l'ora, i parametri della richiesta e la risposta.
Per ulteriori informazioni CloudTrail, consulta la Guida per l'[AWS CloudTrail utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## informazioni sul direttore della sicurezza di rete in CloudTrail
CloudTrail viene abilitato automaticamente sul tuo AWS account. Quando si verifica un'attività in Network Security Director, viene registrata come evento in CloudTrail. Per una registrazione continua degli eventi, crea un percorso che distribuisca i file di log a un bucket Amazon S3.
Per ulteriori informazioni sulla creazione e la gestione dei percorsi, consulta:
+ [Creazione di un percorso per il tuo AWS account](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [AWS Integrazioni di servizi con log CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Ricezione di file di CloudTrail registro da più regioni e account](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
## operazioni API del direttore della sicurezza di rete registrate da CloudTrail
Tutte le operazioni API di Network Security Director vengono registrate CloudTrail e documentate nell'API Reference. Sono incluse le seguenti operazioni:
+ *ListResources*: elenca le risorse disponibili nel servizio
+ *GetResource*: recupera informazioni dettagliate su una risorsa specifica
+ *ListFindings*: elenca i risultati di sicurezza
+ *GetFinding*: recupera informazioni dettagliate su un risultato specifico
+ *UpdateFinding*: aggiorna lo stato o altri attributi di un risultato
+ *ListRemediations*: elenca i consigli di correzione per un risultato
+ *ListInsights*: elenca gli approfondimenti basati su risultati e risorse
+ *ListAccountSummaries*: elenca i riepiloghi degli account di un'organizzazione
## Informazioni sulle voci dei file di registro di Network Security Director
CloudTrail le voci di registro contengono informazioni su chi ha effettuato la richiesta, quando è stata effettuata e quali parametri sono stati utilizzati. Ecco un esempio di ListAccountSummaries azione:
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/janedoe",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/janedoe",
"accountId": "111122223333",
"userName": "janedoe"
},
"attributes": {
"creationDate": "2025-11-11T02:57:20Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2025-11-11T02:59:53Z",
"eventSource": "network-security-director.amazonaws.com",
"eventName": "ListAccountSummaries",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.18.147 Python/2.7.18 Linux/5.10.244-220.970.amzn2int.x86_64 botocore/1.18.6",
"requestParameters": {
"status": "ACTIVE",
"sortBy": "SEVERITY",
"maxResults": 2
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Monitoraggio CloudTrail dei log con Amazon CloudWatch
Puoi utilizzare Amazon CloudWatch per monitorare e inviare avvisi su attività API specifiche nei CloudTrail log. Questo ti aiuta a rilevare tentativi di accesso non autorizzati, modifiche alla configurazione o modelli di attività insoliti.
Per configurare il CloudWatch monitoraggio:
1. Configura il tuo CloudTrail percorso per inviare i log ai CloudWatch Logs
1. Crea filtri metrici per estrarre informazioni specifiche dagli eventi di registro
1. Crea allarmi basati su queste metriche
Per istruzioni dettagliate, consulta [Monitoraggio dei file di CloudTrail registro con Amazon CloudWatch Logs.](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/monitor-cloudtrail-log-files-with-cloudwatch-logs.html)
## Le migliori pratiche per CloudTrail With Network Security Director
Per massimizzare la sicurezza e la verificabilità con: CloudTrail
+ *Attiva CloudTrail in tutte le aree geografiche* per una copertura completa
+ *Abilita la convalida dell'integrità dei file di registro* per rilevare modifiche non autorizzate
+ *Usa IAM per controllare l'accesso ai CloudTrail log seguendo i* principi del privilegio minimo
+ *Imposta avvisi per eventi critici utilizzando gli* allarmi CloudWatch
+ *Esamina regolarmente CloudTrail i registri* per identificare attività insolite