**Ti presentiamo una nuova esperienza di console per AWS WAF**

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Sicurezza nell'utilizzo del AWS WAF servizio
<a name="security"></a>

Questa sezione spiega come si applica il modello di responsabilità condivisa AWS WAF.

La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.

**Nota**  
Questa sezione fornisce linee guida AWS di sicurezza standard per l'utilizzo del AWS WAF servizio e delle relative AWS risorse, come i pacchetti di AWS WAF protezione (web ACLs) e i gruppi di regole.   
Per informazioni sulla protezione AWS delle risorse utilizzate AWS WAF, consulta il resto della AWS WAF guida. 

La sicurezza è una responsabilità condivisa tra te AWS e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. L'efficacia della nostra sicurezza è regolarmente testata e verificata da revisori di terze parti come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per ulteriori informazioni sui programmi di conformità applicabili AWS WAF, consulta [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L'utente è anche responsabile per altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda e leggi e normative applicabili. 

Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa durante l'utilizzo AWS WAF. Negli argomenti seguenti viene illustrato come eseguire la configurazione AWS WAF per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche a utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere AWS WAF le tue risorse. 

**Topics**
+ [Protezione dei dati in AWS WAF](data-protection.md)
+ [Usare IAM con AWS WAF](security-iam.md)
+ [Registrazione e monitoraggio AWS WAF](waf-incident-response.md)
+ [Convalida della conformità in AWS WAF](waf-compliance.md)
+ [Costruire per la resilienza in AWS WAF](disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in AWS WAF](infrastructure-security.md)

# Protezione dei dati in AWS WAF
<a name="data-protection"></a>

Il [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati in AWS WAF. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.

Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+  SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori AWS WAF o Servizi AWS utilizzi la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.

AWS WAF le entità, come i pacchetti di protezione (Web ACLs), i gruppi di regole e i set IP, sono crittografate a riposo, tranne in alcune regioni in cui la crittografia non è disponibile, tra cui Cina (Pechino) e Cina (Ningxia). Per ogni regione vengono utilizzate chiavi di crittografia univoche. 

## Eliminazione di risorse AWS WAF
<a name="deleting-resources"></a>

Puoi eliminare le risorse che crei in AWS WAF. Consulta la guida per ogni tipo di risorsa nelle sezioni seguenti.
+ [Eliminazione di un pacchetto di protezione (Web ACL)](web-acl-deleting.md)
+ [Eliminazione di un gruppo di regole](waf-rule-group-deleting.md)
+ [Eliminazione di un set di IP](waf-ip-set-managing.md#waf-ip-set-deleting)
+ [Eliminazione di un set del modello regex](waf-regex-pattern-set-managing.md#waf-regex-pattern-set-deleting)

# Usare IAM con AWS WAF
<a name="security-iam"></a>

Questa sezione spiega come utilizzare IAM con AWS WAF.



AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse. AWS WAF IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.

**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come AWS WAF funziona con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per AWS WAF](security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per AWS WAF](security-iam-awsmanpol.md)
+ [Risoluzione dei problemi di AWS WAF identità e accesso](security_iam_troubleshoot.md)
+ [Utilizzo di ruoli collegati ai servizi per AWS WAF](using-service-linked-roles.md)

## Destinatari
<a name="security_iam_audience"></a>

Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi di AWS WAF identità e accesso](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come AWS WAF funziona con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per AWS WAF](security_iam_id-based-policy-examples.md))

## Autenticazione con identità
<a name="security_iam_authentication"></a>

L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS

Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.

Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.

### Account AWS utente root
<a name="security_iam_authentication-rootuser"></a>

 Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*. 

### Identità federata
<a name="security_iam_authentication-federated"></a>

Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.

Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.

Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.

### Utenti e gruppi IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*

Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.

### Ruoli IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.

I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.

## Gestione dell’accesso tramite policy
<a name="security_iam_access-manage"></a>

Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.

Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.

Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.

### Policy basate sull’identità
<a name="security_iam_access-manage-id-based-policies"></a>

Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.

Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.

### Policy basate sulle risorse
<a name="security_iam_access-manage-resource-based-policies"></a>

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).

Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.

### Altri tipi di policy
<a name="security_iam_access-manage-other-policies"></a>

AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.

### Più tipi di policy
<a name="security_iam_access-manage-multiple-policies"></a>

Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.

# Come AWS WAF funziona con IAM
<a name="security_iam_service-with-iam"></a>

Questa sezione spiega come utilizzare le funzionalità di IAM con AWS WAF.

Prima di utilizzare IAM per gestire l'accesso a AWS WAF, scopri con quali funzionalità IAM è possibile utilizzare AWS WAF.






**Funzionalità IAM che puoi utilizzare con AWS WAF**  

| Funzionalità IAM | AWS WAF supporto | 
| --- | --- | 
|  [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies)  |   Sì  | 
|  [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies)  |   Sì  | 
|  [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions)  |   Sì  | 
|  [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources)  |   Sì  | 
|  [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Sì  | 
|  [ACLs](#security_iam_service-with-iam-acls)  |   No   | 
|  [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags)  |   Parziale  | 
|  [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds)  |   Sì  | 
|  [Inoltro delle sessioni di accesso (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Sì  | 
|  [Ruoli di servizio](#security_iam_service-with-iam-roles-service)  |   Sì  | 
|  [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked)  |   Sì  | 

Per avere una panoramica di alto livello su come AWS WAF e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.

## Politiche basate sull'identità per AWS WAF
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Supporta le policy basate sull’identità:** sì

Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.

Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.

Per visualizzare esempi di politiche basate sull' AWS WAF identità, vedere. [Esempi di policy basate sull'identità per AWS WAF](security_iam_id-based-policy-examples.md)

## Politiche basate sulle risorse all'interno AWS WAF
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Supporta le policy basate sulle risorse**: sì

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS

Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.

AWS WAF utilizza politiche basate sulle risorse per supportare la condivisione di gruppi di regole tra gli account. Puoi condividere un gruppo di regole di tua proprietà con un altro AWS account fornendo le impostazioni delle politiche basate sulle risorse alla chiamata AWS WAF API o a una chiamata CLI `PutPermissionPolicy` o SDK equivalente. Per ulteriori informazioni, inclusi esempi e collegamenti alla documentazione per le altre lingue disponibili, [PutPermissionPolicy](https://docs.aws.amazon.com/waf/latest/APIReference/API_PutPermissionPolicy.html)consulta l'API Reference. AWS WAF Questa funzionalità non è disponibile tramite altri mezzi, ad esempio la console o CloudFormation. 

## Azioni politiche per AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Supporta le operazioni di policy:** si

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.



*Per visualizzare un elenco di AWS WAF azioni e autorizzazioni per ciascuna di esse, consulta [Azioni definite dalla AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) nel Service Authorization Reference.*

Le azioni politiche in AWS WAF uso utilizzano il seguente prefisso prima dell'azione:

```
wafv2
```

Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.

```
"Action": [
      "wafv2:action1",
      "wafv2:action2"
         ]
```



È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni AWS WAF che iniziano con`List`, includi la seguente azione:

```
"Action": "wafv2:List*"
```

Per visualizzare esempi di politiche AWS WAF basate sull'identità, vedere. [Esempi di policy basate sull'identità per AWS WAF](security_iam_id-based-policy-examples.md)

### Azioni che richiedono impostazioni di autorizzazioni aggiuntive
<a name="security_iam_action-additions"></a>

*Alcune azioni richiedono autorizzazioni che non possono essere descritte completamente in [Azioni definite dalla AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) nel Service Authorization Reference.* Questa sezione fornisce informazioni aggiuntive sulle autorizzazioni.

**Topics**
+ [Autorizzazioni per `AssociateWebACL`](#security_iam_action-AssociateWebACL)
+ [Autorizzazioni per `DisassociateWebACL`](#security_iam_action-DisassociateWebACL)
+ [Autorizzazioni per `GetWebACLForResource`](#security_iam_action-GetWebACLForResource)
+ [Autorizzazioni per `ListResourcesForWebACL`](#security_iam_action-ListResourcesForWebACL)

#### Autorizzazioni per `AssociateWebACL`
<a name="security_iam_action-AssociateWebACL"></a>

Questa sezione elenca le autorizzazioni necessarie per associare un protection pack (Web ACL) a una risorsa utilizzando l'azione. AWS WAF `AssociateWebACL` 

Per CloudFront le distribuzioni Amazon, invece di questa azione, usa l' CloudFront azione`UpdateDistribution`. Per informazioni, [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)consulta *Amazon CloudFront API Reference*. 

**API REST di Amazon API Gateway**  
Richiede l'autorizzazione per chiamare API Gateway `SetWebACL` sul tipo di risorsa API REST e per richiamare AWS WAF `AssociateWebACL` un pacchetto di protezione (ACL web). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apigateway:SetWebACL"
    ],
    "Resource": [
        "arn:aws:apigateway:*::/restapis/*/stages/*"
    ]
}
```

**Application Load Balancer**  
Richiede l'autorizzazione per `elasticloadbalancing:SetWebACL` avviare un'azione sul tipo di risorsa Application Load Balancer e per richiamare AWS WAF `AssociateWebACL` un protection pack (Web ACL). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "elasticloadbalancing:SetWebACL"
    ],
    "Resource": [
        "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*"
    ]
}
```

**AWS AppSync API GraphQL**  
Richiede l'autorizzazione per richiamare AWS AppSync `SetWebACL` il tipo di risorsa GraphQL API e per richiamare AWS WAF `AssociateWebACL` un pacchetto di protezione (ACL web). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "appsync:SetWebACL"
    ],
    "Resource": [
        "arn:aws:appsync:*:account-id:apis/*"
    ]
}
```

**Bacino d'utenza di Amazon Cognito**  
Richiede l'autorizzazione per richiamare l'`AssociateWebACL`azione Amazon Cognito sul tipo di risorsa del pool di utenti e per AWS WAF `AssociateWebACL` richiamare un pacchetto di protezione (Web ACL). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner servizio**  
Richiede l'autorizzazione per richiamare l'`AssociateWebACL`azione App Runner sul tipo di risorsa del servizio App Runner e per AWS WAF `AssociateWebACL` richiamare un ACL Web. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:AssociateWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Istanza Verified Access**  
Richiede l'autorizzazione per eseguire l'`ec2:AssociateVerifiedAccessInstanceWebAcl`azione sul tipo di risorsa dell'istanza Verified Access e per richiamare AWS WAF `AssociateWebACL` un ACL Web. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:AssociateVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Autorizzazioni per `DisassociateWebACL`
<a name="security_iam_action-DisassociateWebACL"></a>

Questa sezione elenca le autorizzazioni necessarie per dissociare un protection pack (Web ACL) da una risorsa che utilizza l'azione. AWS WAF `DisassociateWebACL` 

Per CloudFront le distribuzioni Amazon, anziché questa azione, utilizza l' CloudFront azione `UpdateDistribution` con un ID del pacchetto di protezione (Web ACL) vuoto. Per informazioni, [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)consulta *Amazon CloudFront API Reference*. 

**API REST di Amazon API Gateway**  
Richiede l'autorizzazione per chiamare API Gateway `SetWebACL` sul tipo di risorsa API REST. Non richiede l'autorizzazione per chiamare AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "apigateway:SetWebACL"
    ],
    "Resource": [
        "arn:aws:apigateway:*::/restapis/*/stages/*"
    ]
}
```

**Application Load Balancer**  
Richiede l'autorizzazione per eseguire l'`elasticloadbalancing:SetWebACL`azione sul tipo di risorsa Application Load Balancer. Non richiede l'autorizzazione per chiamare AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "elasticloadbalancing:SetWebACL"
    ],
    "Resource": [
        "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*"
    ]
}
```

**AWS AppSync API GraphQL**  
Richiede l'autorizzazione per richiamare AWS AppSync `SetWebACL` il tipo di risorsa GraphQL API. Non richiede l'autorizzazione per chiamare AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "appsync:SetWebACL"
    ],
    "Resource": [
        "arn:aws:appsync:*:account-id:apis/*"
    ]
}
```

**Bacino d'utenza di Amazon Cognito**  
Richiede l'autorizzazione per richiamare l'`DisassociateWebACL`azione Amazon Cognito sul tipo di risorsa del pool di utenti e per effettuare la chiamata. AWS WAF `DisassociateWebACL` 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:DisassociateWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner servizio**  
Richiede l'autorizzazione per richiamare l'`DisassociateWebACL`azione App Runner sul tipo di risorsa del servizio App Runner e per effettuare la chiamata. AWS WAF `DisassociateWebACL` 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:DisassociateWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Istanza Verified Access**  
Richiede l'autorizzazione per avviare l'`ec2:DisassociateVerifiedAccessInstanceWebAcl`azione sul tipo di risorsa dell'istanza Verified Access e per effettuare la chiamata AWS WAF `DisassociateWebACL`. 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:DisassociateVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Autorizzazioni per `GetWebACLForResource`
<a name="security_iam_action-GetWebACLForResource"></a>

Questa sezione elenca le autorizzazioni necessarie per ottenere il pacchetto di protezione (Web ACL) per una risorsa protetta utilizzando l'azione AWS WAF . `GetWebACLForResource` 

Per CloudFront le distribuzioni Amazon, invece di questa azione, usa l' CloudFront azione`GetDistributionConfig`. Per informazioni, [GetDistributionConfig](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_GetDistributionConfig.html)consulta *Amazon CloudFront API Reference*. 

**Nota**  
`GetWebACLForResource`richiede l'autorizzazione per chiamare`GetWebACL`. In questo contesto, AWS WAF viene utilizzato `GetWebACL` solo per verificare che l'account disponga dell'autorizzazione necessaria per accedere al pacchetto di protezione (Web ACL) che `GetWebACLForResource` restituisce. Quando chiami`GetWebACLForResource`, potresti ricevere un errore che indica che il tuo account non è autorizzato a eseguire operazioni `wafv2:GetWebACL` sulla risorsa. AWS WAF non aggiunge questo tipo di errore alla cronologia degli AWS CloudTrail eventi. 

**API REST di Amazon API Gateway, Application Load Balancer e API GraphQL AWS AppSync**  
Richiedi l'autorizzazione per chiamare AWS WAF `GetWebACLForResource` e `GetWebACL` richiedi un pacchetto di protezione (web ACL). 

```
{
    "Sid": "GetWebACLForResource",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
}
```

**Bacino d'utenza di Amazon Cognito**  
Richiede l'autorizzazione per richiamare l'`GetWebACLForResource`azione Amazon Cognito sul tipo di risorsa del pool di utenti e per chiamare AWS WAF `GetWebACLForResource` e. `GetWebACL` 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [ 
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:GetWebACLForResource"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner servizio**  
Richiede l'autorizzazione per richiamare l'`DescribeWebAclForService`azione App Runner sul tipo di risorsa del servizio App Runner e per chiamare AWS WAF `GetWebACLForResource` e. `GetWebACL` 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "apprunner:DescribeWebAclForService"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Istanza Verified Access**  
Richiede l'autorizzazione per avviare l'`ec2:GetVerifiedAccessInstanceWebAcl`azione sul tipo di risorsa dell'istanza Verified Access e per chiamare AWS WAF `GetWebACLForResource` e`GetWebACL`. 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "ec2:GetVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Autorizzazioni per `ListResourcesForWebACL`
<a name="security_iam_action-ListResourcesForWebACL"></a>

Questa sezione elenca le autorizzazioni necessarie per recuperare l'elenco delle risorse protette per un protection pack (Web ACL) utilizzando l'azione. AWS WAF `ListResourcesForWebACL` 

Per CloudFront le distribuzioni Amazon, invece di questa azione, usa l' CloudFront azione`ListDistributionsByWebACLId`. Per informazioni, [ListDistributionsByWebACLId](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListDistributionsByWebACLId.html)consulta *Amazon CloudFront API Reference*. 

**API REST di Amazon API Gateway, Application Load Balancer e API GraphQL AWS AppSync**  
Richiedi l'autorizzazione AWS WAF `ListResourcesForWebACL` per richiedere un ACL web. 

```
{
    "Sid": "ListResourcesForWebACL",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
}
```

**Bacino d'utenza di Amazon Cognito**  
Richiede l'autorizzazione per richiamare l'`ListResourcesForWebACL`azione Amazon Cognito sul tipo di risorsa del pool di utenti e per effettuare la chiamata. AWS WAF `ListResourcesForWebACL` 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner servizio**  
Richiede l'autorizzazione per richiamare l'`ListAssociatedServicesForWebAcl`azione App Runner sul tipo di risorsa del servizio App Runner e per effettuare la chiamata. AWS WAF `ListResourcesForWebACL` 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:ListAssociatedServicesForWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Istanza Verified Access**  
Richiede l'autorizzazione per avviare l'`ec2:DescribeVerifiedAccessInstanceWebAclAssociations`azione sul tipo di risorsa dell'istanza Verified Access e per effettuare la chiamata AWS WAF `ListResourcesForWebACL`. 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:DescribeVerifiedAccessInstanceWebAclAssociations"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

## Risorse politiche per AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Supporta le risorse relative alle policy:** sì

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.

```
"Resource": "*"
```

Per visualizzare l'elenco dei tipi di AWS WAF risorse e i relativi tipi ARNs, vedere [Resources defined by AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-resources-for-iam-policies) nel *Service* Authorization Reference. Per sapere con quali azioni è possibile specificare l'ARN di ogni risorsa, vedere [Azioni definite dalla AWS WAF](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) V2. Per consentire o negare l'accesso a un sottoinsieme di AWS WAF risorse, includi l'ARN della risorsa nell'`resource`elemento della tua politica.

Le ARNs AWS WAF `wafv2` risorse hanno il seguente formato:

```
arn:partition:wafv2:region:account-id:scope/resource-type/resource-name/resource-id
```

Per informazioni generali sulle specifiche ARN, consulta [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) nel. Riferimenti generali di Amazon Web Services

Di seguito sono elencati i requisiti specifici ARNs delle `wafv2` risorse: 
+ *region*: per AWS WAF le risorse che usi per proteggere CloudFront le distribuzioni Amazon, imposta questa opzione su. `us-east-1` Altrimenti, impostalo sulla regione che stai utilizzando con le tue risorse regionali protette. 
+ *scope*: imposta l'ambito `global` per l'utilizzo con una CloudFront distribuzione Amazon o `regional` per l'utilizzo con una qualsiasi delle risorse regionali AWS WAF supportate. Le risorse regionali sono un'API REST di Amazon API Gateway, un'Application Load Balancer, un'API GraphQL AWS AppSync , un pool di utenti Amazon Cognito, un AWS App Runner servizio e un'istanza Verified Access. AWS 
+ *resource-type*: Specificare uno dei seguenti valori:`webacl`,, `rulegroup``ipset`, `regexpatternset` o. `managedruleset`
+ *resource-name*: specificate il nome assegnato alla AWS WAF risorsa o specificate un carattere jolly (`*`) per indicare tutte le risorse che soddisfano le altre specifiche dell'ARN. È necessario specificare il nome e l'ID della risorsa o specificare un carattere jolly per entrambi. 
+ *resource-id*: specificate l'ID della AWS WAF risorsa o specificate un carattere jolly (`*`) per indicare tutte le risorse che soddisfano le altre specifiche dell'ARN. È necessario specificare il nome e l'ID della risorsa o specificare un carattere jolly per entrambi.

Ad esempio, il seguente ARN specifica tutti i protection pack (web ACLs) con ambito regionale per l'account `111122223333` in Region: `us-west-1`

```
arn:aws:wafv2:us-west-1:111122223333:regional/webacl/*/*
```

Il seguente ARN specifica il gruppo di regole denominato `MyIPManagementRuleGroup` con ambito globale per l'account `111122223333` in Region: `us-east-1`

```
arn:aws:wafv2:us-east-1:111122223333:global/rulegroup/MyIPManagementRuleGroup/1111aaaa-bbbb-cccc-dddd-example-id
```

Per visualizzare esempi di politiche basate sull' AWS WAF identità, vedere. [Esempi di policy basate sull'identità per AWS WAF](security_iam_id-based-policy-examples.md)

## Chiavi relative alle condizioni delle politiche per AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.

Inoltre, AWS WAF supporta le seguenti chiavi di condizione che puoi utilizzare per fornire filtri dettagliati per le tue politiche IAM:
+ **wafv2: LogDestinationResource**

  Questa chiave condizionale richiede una specifica Amazon Resource Name (ARN) per la destinazione di registrazione. Si tratta dell'ARN fornito per la destinazione di registrazione quando si utilizza la chiamata API REST. `PutLoggingConfiguration` 

  È possibile specificare in modo esplicito un ARN e specificare il filtraggio per l'ARN. L'esempio seguente specifica il filtraggio per i ARNs bucket Amazon S3 con una posizione e un prefisso specifici. 

  ```
  "Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-suffix/custom-prefix/*" } }
  ```
+ **wafv2: LogScope**

  Questa chiave condizionale definisce l'origine della configurazione di registrazione in una stringa. Attualmente, questo valore è sempre impostato sul valore predefinito di`Customer`, che indica che la destinazione di registrazione è di proprietà e gestita dall'utente. 

Per visualizzare un elenco di chiavi di AWS WAF condizione, consulta [Condition keys for AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-policy-keys) nel *Service Authorization* Reference. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, vedi [Azioni definite da AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions).

Per visualizzare esempi di politiche AWS WAF basate sull'identità, vedere. [Esempi di policy basate sull'identità per AWS WAF](security_iam_id-based-policy-examples.md)

## ACLs in AWS WAF
<a name="security_iam_service-with-iam-acls"></a>

**Supporti: No ACLs** 

Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.

## ABAC con AWS WAF
<a name="security_iam_service-with-iam-tags"></a>

**Supporta ABAC (tag nelle policy):** parzialmente

Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire operazioni quando il tag del principale corrisponde al tag sulla risorsa.

Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.

Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.

Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.

## Utilizzo di credenziali temporanee con AWS WAF
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Supporta le credenziali temporanee:** sì

Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.

## Inoltra sessioni di accesso al servizio AWS WAF
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Supporta l’inoltro delle sessioni di accesso (FAS):** sì

 Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante e Servizio AWS, in combinazione con la richiesta, di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Ruoli di servizio per AWS WAF
<a name="security_iam_service-with-iam-roles-service"></a>

**Supporta i ruoli di servizio:** sì

 Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*. 

**avvertimento**  
La modifica delle autorizzazioni per un ruolo di servizio potrebbe compromettere AWS WAF la funzionalità. Modifica i ruoli di servizio solo quando viene AWS WAF fornita una guida in tal senso.

## Ruoli collegati ai servizi per AWS WAF
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Supporta i ruoli collegati ai servizi:** sì

 Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle. 

Per informazioni dettagliate sulla creazione o la gestione di ruoli AWS WAF collegati ai servizi, consulta. [Utilizzo di ruoli collegati ai servizi per AWS WAF](using-service-linked-roles.md)

# Esempi di policy basate sull'identità per AWS WAF
<a name="security_iam_id-based-policy-examples"></a>

Questa sezione fornisce esempi di policy basate sull'identità per. AWS WAF

Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse AWS WAF . Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.

Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.

*Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da AWS WAF, incluso il formato di ARNs per ogni tipo di risorsa, vedere [Azioni, risorse e chiavi di condizione per AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html) nel Service Authorization Reference.*

**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console AWS WAF](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Concedi l'accesso in sola lettura a, e AWS WAF CloudFront CloudWatch](#security_iam_id-based-policy-examples-read-only1)
+ [Concedi l'accesso completo a AWS WAF, e CloudFront CloudWatch](#security_iam_id-based-policy-examples-full-access1)
+ [Concedi l'accesso a un singolo Account AWS](#security_iam_id-based-policy-examples-access-to-account)
+ [Concedi l'accesso a un singolo pacchetto di protezione (ACL web)](#security_iam_id-based-policy-examples-access-to-web-acl)
+ [Concedi l'accesso CLI a un pacchetto di protezione (ACL Web) e a un gruppo di regole](#security_iam_id-based-policy-examples-cli-access-to-web-acl)

## Best practice per le policy
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare AWS WAF risorse nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.

Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.

## Utilizzo della console AWS WAF
<a name="security_iam_id-based-policy-examples-console"></a>

Per accedere alla AWS WAF console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle AWS WAF risorse del tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.

Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.

Per garantire che utenti e ruoli possano utilizzare la AWS WAF console, allega anche almeno la policy AWS WAF `AWSWAFConsoleReadOnlyAccess` AWS gestita alle entità. Per informazioni su questa politica gestita, vedere[AWS politica gestita: AWSWAFConsole ReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSWAFConsoleReadOnlyAccess). Per ulteriori informazioni su come allegare una policy gestita a un utente, consulta [Adding permissions to a user](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *IAM* User Guide.

## Consentire agli utenti di visualizzare le loro autorizzazioni
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa policy include le autorizzazioni per completare questa azione sulla console o utilizzando l'API or a livello di codice. AWS CLI AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Concedi l'accesso in sola lettura a, e AWS WAF CloudFront CloudWatch
<a name="security_iam_id-based-policy-examples-read-only1"></a>

La seguente politica garantisce agli utenti l'accesso in sola lettura alle AWS WAF risorse, alle distribuzioni CloudFront Web di Amazon e ai parametri Amazon. CloudWatch È utile per gli utenti che necessitano dell'autorizzazione per visualizzare le impostazioni in AWS WAF condizioni, regole e pacchetti di protezione (web ACLs), per vedere quale distribuzione è associata a un pacchetto di protezione (Web ACL) e per monitorare i parametri e un campione di richieste in esso. CloudWatch Questi utenti non possono creare, aggiornare o eliminare le risorse AWS WAF :

```
 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "wafv2:Get*",
                "wafv2:List*",
                "cloudfront:GetDistribution",
                "cloudfront:GetDistributionConfig",
                "cloudfront:ListDistributions",
                "cloudfront:ListDistributionsByWebACLId",
                "cloudfront:ListDistributionTenantsByCustomization",
                "cloudfront:ListDistributionTenants",
                "cloudfront:GetDistributionTenant",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics",
                "ec2:DescribeRegions",
                "pricingplanmanager:GetSubscription",
                "pricingplanmanager:ListSubscriptions",
                "route53:ListHostedZones",
                "route53:GetHostedZone"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

## Concedi l'accesso completo a AWS WAF, e CloudFront CloudWatch
<a name="security_iam_id-based-policy-examples-full-access1"></a>

La seguente politica consente agli utenti di eseguire qualsiasi AWS WAF operazione, eseguire qualsiasi operazione sulle distribuzioni CloudFront Web e monitorare le metriche e un campione di richieste in. CloudWatch È utile per gli utenti che sono AWS WAF amministratori.

```
 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "wafv2:*",
                "cloudfront:CreateDistribution",
                "cloudfront:ListDistributions",
                "cloudfront:ListDistributionsByWebACLId",
                "cloudfront:UpdateDistribution",
                "cloudfront:GetDistributionConfig",
                "cloudfront:GetDistribution",
                "cloudfront:DisassociateDistributionTenantWebACL",
                "cloudfront:DisassociateDistributionWebACL",
                "cloudfront:AssociateDistributionTenantWebACL",
                "cloudfront:AssociateDistributionWebACL",
                "cloudfront:ListDistributionTenantsByCustomization",
                "cloudfront:ListDistributionTenants",
                "cloudfront:DeleteDistribution",
                "cloudfront:GetDistributionTenant",
                "cloudfront:DeleteDistributionTenant",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics",
                "ec2:DescribeRegions",
                "pricingplanmanager:GetSubscription",
                "pricingplanmanager:ListSubscriptions",
                "pricingplanmanager:UpdateSubscription",
                "pricingplanmanager:CancelSubscription",
                "pricingplanmanager:CancelSubscriptionChange",
                "pricingplanmanager:AssociateResourcesToSubscription",
                "pricingplanmanager:DisassociateResourcesFromSubscription",
                "route53:ListHostedZones",
                "route53:GetHostedZone"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

Consigliamo vivamente di configurare l'autenticazione a più fattori (MFA) per gli utenti che dispongono di autorizzazioni amministrative. *Per ulteriori informazioni, consulta [Using Multi-Factor Authentication (MFA) Devices AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingMFA.html) with nella IAM User Guide.* 

## Concedi l'accesso a un singolo Account AWS
<a name="security_iam_id-based-policy-examples-access-to-account"></a>

Questa politica concede le seguenti autorizzazioni all'account 444455556666:
+ Accesso completo a tutte le AWS WAF operazioni e le risorse.
+ Accesso in lettura e aggiornamento a tutte le CloudFront distribuzioni, che consente di associare pacchetti di protezione (Web ACLs) e CloudFront distribuzioni.
+ Accesso in lettura a tutte le CloudWatch metriche e alle statistiche metriche, in modo da poter visualizzare CloudWatch i dati e un campione di richieste nella console. AWS WAF 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "wafv2:*"
         ],
         "Resource": [
            "arn:aws:wafv2:us-east-1:444455556666:*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "cloudfront:GetDistribution",
            "cloudfront:GetDistributionConfig",
            "cloudfront:ListDistributions",
            "cloudfront:ListDistributionsByWebACLId",
            "cloudfront:UpdateDistribution",
            "cloudwatch:ListMetrics",
            "cloudwatch:GetMetricStatistics",
            "ec2:DescribeRegions"
         ],
         "Resource": [
            "*"
         ]
      }
   ]
}
```

------

## Concedi l'accesso a un singolo pacchetto di protezione (ACL web)
<a name="security_iam_id-based-policy-examples-access-to-web-acl"></a>

La seguente politica consente agli utenti di eseguire qualsiasi AWS WAF operazione tramite la console su uno specifico pacchetto di protezione (Web ACL) nell'account. `444455556666`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wafv2:*"
            ],
            "Resource": [
                "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example"
            ]
        },
        {
            "Sid": "consoleAccess",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs",
                "ec2:DescribeRegions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

## Concedi l'accesso CLI a un pacchetto di protezione (ACL Web) e a un gruppo di regole
<a name="security_iam_id-based-policy-examples-cli-access-to-web-acl"></a>

La seguente politica consente agli utenti di eseguire qualsiasi AWS WAF operazione tramite la CLI su un pacchetto di protezione specifico (ACL Web) e un gruppo di regole specifico nell'account. `444455556666`

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "wafv2:*"
         ],
         "Resource": [
        "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example",
        "arn:aws:wafv2:us-east-1:444455556666:regional/rulegroup/test123rulegroup/555555555-6666-1234-abcd-00d11example"
         ]
      }
   ]
}
```

------

La seguente politica consente agli utenti di eseguire qualsiasi AWS WAF operazione tramite la console su un pacchetto di protezione specifico (ACL web) nell'account. `444455556666`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wafv2:*"
            ],
            "Resource": [
                "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example"
            ]
        },
        {
            "Sid": "consoleAccess",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs",
                "ec2:DescribeRegions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

# AWS politiche gestite per AWS WAF
<a name="security-iam-awsmanpol"></a>

Questa sezione spiega come utilizzare le politiche AWS gestite per AWS WAF.

Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.

## AWS politica gestita: AWSWAFRead OnlyAccess
<a name="security-iam-awsmanpol-AWSWAFReadOnlyAccess"></a>

Questa politica concede autorizzazioni di sola lettura che consentono agli utenti di accedere a AWS WAF risorse e risorse per servizi integrati, come Amazon, Amazon API CloudFront Gateway, Application Load Balancer, AWS AppSync Amazon Cognito AWS App Runner, AWS Amplify Amazon e Verified Access. CloudWatch AWS Puoi collegare questa policy alle tue identità IAM. AWS WAF associa inoltre questa policy a un ruolo di servizio che consente di AWS WAF eseguire azioni per tuo conto.

Per i dettagli su questa politica, consulta [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)nella console IAM.

## AWS politica gestita: AWSWAFFull accesso
<a name="security-iam-awsmanpol-AWSWAFFullAccess"></a>

Questa politica garantisce l'accesso completo a AWS WAF risorse e risorse per servizi integrati, come Amazon, Amazon CloudFront API Gateway, Application Load Balancer AWS AppSync, Amazon Cognito AWS App Runner AWS Amplify, CloudWatch Amazon e Verified Access. AWS Puoi collegare questa policy alle tue identità IAM. AWS WAF associa inoltre questa policy a un ruolo di servizio che consente di AWS WAF eseguire azioni per tuo conto.

Per i dettagli su questa politica, consulta [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary) in the IAM console.

## AWS politica gestita: AWSWAFConsole ReadOnlyAccess
<a name="security-iam-awsmanpol-AWSWAFConsoleReadOnlyAccess"></a>

Questa politica concede autorizzazioni di sola lettura alla AWS WAF console, che include risorse per AWS WAF e per servizi integrati, come Amazon, Amazon API CloudFront Gateway, Application Load Balancer, AWS AppSync Amazon Cognito AWS App Runner, AWS Amplify Amazon e Verified Access. CloudWatch AWS Puoi collegare questa policy alle tue identità IAM.

Per i dettagli su questa politica, consulta [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary)nella console IAM.

## AWS politica gestita: AWSWAFConsole FullAccess
<a name="security-iam-awsmanpol-AWSWAFConsoleFullAccess"></a>

Questa politica garantisce l'accesso completo alla AWS WAF console, che include risorse per AWS WAF e per servizi integrati, come Amazon, Amazon API Gateway CloudFront, Application Load Balancer AWS AppSync, Amazon Cognito, AWS App Runner AWS Amplify, CloudWatch Amazon e Verified Access. AWS Puoi collegare questa policy alle tue identità IAM. AWS WAF associa inoltre questa policy a un ruolo di servizio che consente di AWS WAF eseguire azioni per tuo conto.

Per i dettagli su questa politica, consulta [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary)nella console IAM.

## AWS politica gestita: WAFV2 LoggingServiceRolePolicy
<a name="security-iam-awsmanpol-WAFV2LoggingServiceRolePolicy"></a>

Questa politica consente di AWS WAF scrivere log su Amazon Data Firehose. Questa politica viene utilizzata solo se abiliti l'accesso. AWS WAF Questa policy è attribuita al ruolo collegato ai servizi `AWSServiceRoleForWAFV2Logging`. Per ulteriori informazioni sul ruolo collegato al servizio, consulta [Utilizzo di ruoli collegati ai servizi per AWS WAF](using-service-linked-roles.md). 

Per i dettagli su questa politica, consulta [WAFV2LoggingServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/WAFV2LoggingServiceRolePolicy$serviceLevelSummary)nella console IAM.

## AWS WAF aggiornamenti alle politiche AWS gestite
<a name="security-iam-awsmanpol-updates"></a>



Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS WAF da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei AWS WAF documenti all'indirizzo. [Cronologia dei documenti](doc-history.md)




| Policy | Descrizione della modifica | Data | 
| --- | --- | --- | 
|  `AWSWAFConsoleFullAccess` Questa policy consente di AWS WAF gestire le risorse AWS della console e altre AWS risorse per conto dell'utente all'interno AWS WAF e all'interno dei servizi integrati. Dettagli nella console IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Sono state aggiunte le seguenti autorizzazioni per CloudFront i piani tariffari. Per maggiori dettagli, vedi [Utilizzo con piani tariffari forfettari AWS WAF CloudFront](cloudfront-features.md#waf-cf-pricing-plans) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-18  | 
|  `AWSWAFConsoleReadOnlyAccess` Questa policy consente di AWS WAF gestire le risorse AWS della console e altre AWS risorse per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Sono state aggiunte le seguenti autorizzazioni per CloudFront i piani tariffari. Per maggiori dettagli, vedi [Utilizzo con piani tariffari forfettari AWS WAF CloudFront](cloudfront-features.md#waf-cf-pricing-plans) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-18 | 
|  `AWSWAFConsoleReadOnlyAccess` Questa policy consente di AWS WAF gestire le risorse AWS della console e altre AWS risorse per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Sono state aggiornate le seguenti autorizzazioni:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/security-iam-awsmanpol.html) Sono state aggiunte le seguenti autorizzazioni:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-03 | 
|  `AWSWAFConsoleFullAccess` Questa policy consente di AWS WAF gestire le risorse AWS della console e altre AWS risorse per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Sono state aggiornate le seguenti autorizzazioni:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/security-iam-awsmanpol.html) Sono state aggiunte le seguenti autorizzazioni:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-03 | 
| `AWSWAFFullAccess` Questa politica consente di gestire AWS le risorse AWS WAF per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Sono necessarie le autorizzazioni AssociateWeb ACL, DisassociateWeb ACL, GetWeb ACLFor Resource e ListResourcesForWeb ACL aggiunte. AWS Amplify  | 05-05-2025 | 
| `AWSWAFReadOnlyAccess` Questa politica consente di gestire AWS le risorse AWS WAF per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Per i dettagli su questa politica, consulta [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)nella console IAM. |  Autorizzazioni aggiunte per cui sono richiesti GetWeb ACLFor Resource e ListResourcesForWeb ACL. AWS Amplify  | 2025-05-05 | 
|  `AWSWAFConsoleReadOnlyAccess` Questa policy consente di AWS WAF gestire le risorse AWS della console e altre AWS risorse per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Sono state aggiunte le seguenti autorizzazioni:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-05-05 | 
|  `AWSWAFConsoleFullAccess` Questa policy consente di AWS WAF gestire le risorse AWS della console e altre AWS risorse per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Sono state aggiunte le seguenti autorizzazioni:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-05-05 | 
| `WAFV2LoggingServiceRolePolicy` Questa politica consente di AWS WAF scrivere log su Amazon Data Firehose. Viene utilizzata solo se abiliti la registrazione.  Dettagli nella console IAM: [WAFV2LoggingServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/WAFV2LoggingServiceRolePolicy$serviceLevelSummary). |  È stata aggiunta una dichiarazione IDs (Sids) alle impostazioni delle autorizzazioni nel ruolo collegato al servizio a cui è associata questa policy.   | 2024-06-03 | 
| `AWSServiceRoleForWAFV2Logging` Questo ruolo collegato al servizio fornisce politiche di autorizzazione che consentono di AWS WAF scrivere log su Amazon Data Firehose.  [Dettagli nella console IAM: registrazione. AWSService RoleFor WAFV2](https://console.aws.amazon.com/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging) |  Aggiunta una dichiarazione IDs (Sids) alle impostazioni delle autorizzazioni.   | 2024-06-03 | 
|  AWS WAF aggiunte al tracciamento delle modifiche  |  AWS WAF ha iniziato a tenere traccia delle modifiche relative alla policy gestita `WAFV2LoggingServiceRolePolicy` e al ruolo collegato al servizio. `AWSServiceRoleForWAFV2Logging`   | 2024-06-03 | 
| `AWSWAFFullAccess` Questa politica consente di gestire AWS le risorse AWS WAF per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Autorizzazioni estese per aggiungere istanze AWS Verified Access ai tipi di risorse con cui puoi proteggerti. AWS WAF  | 2023-06-17 | 
| `AWSWAFReadOnlyAccess` Questa politica consente di gestire AWS le risorse AWS WAF per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Autorizzazioni estese per aggiungere istanze AWS Verified Access ai tipi di risorse con cui puoi proteggerti. AWS WAF  | 2023-06-17 | 
|  `AWSWAFConsoleFullAccess` Questa policy consente di AWS WAF gestire le risorse AWS della console e altre AWS risorse per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Autorizzazioni estese per aggiungere istanze AWS Verified Access ai tipi di risorse con cui puoi proteggerti. AWS WAF  | 2023-06-17 | 
|  `AWSWAFConsoleReadOnlyAccess` Questa policy consente di AWS WAF gestire le risorse AWS della console e altre AWS risorse per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Autorizzazioni estese per aggiungere istanze AWS Verified Access ai tipi di risorse con cui puoi proteggerti. AWS WAF  | 2023-06-17 | 
| `AWSWAFFullAccess` Questa politica consente di gestire AWS le risorse AWS WAF per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Autorizzazioni estese per correggere le impostazioni di accesso ai AWS App Runner servizi.  | 2023-06-06 | 
| `AWSWAFReadOnlyAccess` Questa politica consente di gestire AWS le risorse AWS WAF per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Autorizzazioni estese per correggere le impostazioni di accesso ai AWS App Runner servizi.  | 2023-06-06 | 
|  `AWSWAFConsoleFullAccess` Questa politica consente di AWS WAF gestire le risorse AWS della console e altre AWS risorse per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Autorizzazioni estese per correggere le impostazioni di accesso ai AWS App Runner servizi.  | 2023-06-06 | 
|  `AWSWAFConsoleReadOnlyAccess` Questa politica consente di AWS WAF gestire le risorse AWS della console e altre AWS risorse per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Autorizzazioni estese per correggere le impostazioni di accesso ai AWS App Runner servizi.  | 2023-06-06 | 
| `AWSWAFFullAccess` Questa politica consente di gestire AWS le risorse AWS WAF per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Autorizzazioni estese per aggiungere AWS App Runner servizi ai tipi di risorse con AWS WAF cui puoi proteggerti.  | 2023-03-30 | 
| `AWSWAFReadOnlyAccess` Questa politica consente di gestire AWS le risorse AWS WAF per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Autorizzazioni estese per aggiungere AWS App Runner servizi ai tipi di risorse con AWS WAF cui puoi proteggerti.  | 2023-03-30 | 
|  `AWSWAFConsoleFullAccess` Questa politica consente di AWS WAF gestire le risorse AWS della console e altre AWS risorse per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Autorizzazioni estese per aggiungere AWS App Runner servizi ai tipi di risorse con AWS WAF cui puoi proteggerti.  | 2023-03-30 | 
|  `AWSWAFConsoleReadOnlyAccess` Questa politica consente di AWS WAF gestire le risorse AWS della console e altre AWS risorse per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Autorizzazioni estese per aggiungere AWS App Runner servizi ai tipi di risorse con AWS WAF cui puoi proteggerti.  | 2023-03-30 | 
| `AWSWAFFullAccess` Questa politica consente di gestire AWS le risorse AWS WAF per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Autorizzazioni estese per aggiungere pool di utenti Amazon Cognito ai tipi di risorse con cui puoi proteggerti. AWS WAF  | 2022-08-25 | 
| `AWSWAFReadOnlyAccess` Questa politica consente di gestire AWS le risorse AWS WAF per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Autorizzazioni estese per aggiungere pool di utenti Amazon Cognito ai tipi di risorse con cui puoi proteggerti. AWS WAF  | 2022-08-25 | 
|  `AWSWAFConsoleFullAccess` Questa politica consente di AWS WAF gestire le risorse AWS della console e altre AWS risorse per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Autorizzazioni estese per aggiungere pool di utenti Amazon Cognito ai tipi di risorse con cui puoi proteggerti. AWS WAF  | 2022-08-25 | 
|  `AWSWAFConsoleReadOnlyAccess` Questa politica consente di AWS WAF gestire le risorse AWS della console e altre AWS risorse per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Autorizzazioni estese per aggiungere pool di utenti Amazon Cognito ai tipi di risorse con cui puoi proteggerti. AWS WAF  | 2022-08-25 | 
| `AWSWAFFullAccess` Questa politica consente di gestire AWS le risorse AWS WAF per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary).  |  Sono state corrette le impostazioni delle autorizzazioni per la consegna dei log per Amazon Simple Storage Service (Amazon S3) e Amazon Logs. CloudWatch Questa modifica risolve gli errori di accesso negato che si verificavano durante la configurazione della registrazione. Per informazioni sulla registrazione del traffico del Protection Pack (Web ACL), consulta. [Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)](logging.md)  | 2022-01-11 | 
|  `AWSWAFConsoleFullAccess` Questa politica consente di AWS WAF gestire le risorse AWS della console e altre AWS risorse per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Sono state corrette le impostazioni delle autorizzazioni per la consegna dei log per Amazon Simple Storage Service (Amazon S3) e Amazon Logs. CloudWatch Questa modifica risolve gli errori di accesso che si verificavano durante la configurazione della registrazione. Per informazioni sulla registrazione del traffico del Protection Pack (Web ACL), consulta. [Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)](logging.md)  | 2022-01-11 | 
|  `AWSWAFFullAccess` Questa politica consente di gestire AWS le risorse AWS WAF per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary).  |  Aggiunte nuove autorizzazioni per opzioni di registrazione estese. Questa modifica consente di AWS WAF accedere alle destinazioni di registrazione aggiuntive Amazon Simple Storage Service (Amazon S3) e Amazon Logs. CloudWatch Per informazioni sulla registrazione del traffico del Protection Pack (Web ACL), consulta. [Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)](logging.md)  | 2021-11-15 | 
|  `AWSWAFConsoleFullAccess` Questa policy consente di AWS WAF gestire le risorse AWS della console e altre AWS risorse per conto dell'utente all'interno AWS WAF e all'interno di servizi integrati. Dettagli nella console IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Aggiunte nuove autorizzazioni per opzioni di registrazione estese. Questa modifica consente di AWS WAF accedere alle destinazioni di registrazione aggiuntive Amazon Simple Storage Service (Amazon S3) e Amazon Logs. CloudWatch Per informazioni sulla registrazione del traffico del Protection Pack (Web ACL), consulta. [Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)](logging.md)  | 2021-11-15 | 
|  AWS WAF ha iniziato a tenere traccia delle modifiche  |  AWS WAF ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite.  | 2021-3-01 | 

# Risoluzione dei problemi di AWS WAF identità e accesso
<a name="security_iam_troubleshoot"></a>

Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con un AWS WAF IAM.

**Topics**
+ [Non sono autorizzato a eseguire alcuna azione in AWS WAF](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie AWS WAF risorse](#security_iam_troubleshoot-cross-account-access)

## Non sono autorizzato a eseguire alcuna azione in AWS WAF
<a name="security_iam_troubleshoot-no-permissions"></a>

Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.

L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `wafv2:GetWidget` fittizie.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: wafv2:GetWidget on resource: my-example-widget
```

In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `wafv2:GetWidget`.

Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.

## Non sono autorizzato a eseguire iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione `iam:PassRole`, le tue policy devono essere aggiornate per poter passare un ruolo a AWS WAF.

Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.

L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` cerca di utilizzare la console per eseguire un'operazione in AWS WAF. Tuttavia, l'operazione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.

Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.

## Voglio consentire a persone esterne a me di accedere Account AWS alle mie AWS WAF risorse
<a name="security_iam_troubleshoot-cross-account-access"></a>

È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.

Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se AWS WAF supporta queste funzionalità, consulta. [Come AWS WAF funziona con IAM](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.

# Utilizzo di ruoli collegati ai servizi per AWS WAF
<a name="using-service-linked-roles"></a>

Questa sezione spiega come utilizzare i ruoli collegati ai servizi per AWS WAF consentire l'accesso alle risorse del tuo account. AWS 

AWS WAF utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS WAF I ruoli collegati ai servizi sono predefiniti AWS WAF e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS 

Un ruolo collegato al servizio semplifica la configurazione AWS WAF perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS WAF definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS WAF Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. Questa policy delle autorizzazioni non può essere collegata ad alcun'altra entità IAM.

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi AWS WAF le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

## Autorizzazioni di ruolo collegate al servizio per AWS WAF
<a name="slr-permissions"></a>

AWS WAF utilizza il ruolo collegato al servizio `AWSServiceRoleForWAFV2Logging` per scrivere log su Amazon Data Firehose. Questo ruolo viene utilizzato solo se abiliti l'accesso. AWS WAF Per ulteriori informazioni sulla registrazione, consulta [Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)](logging.md).

Questo ruolo collegato al servizio è associato alla policy gestita AWS . `WAFV2LoggingServiceRolePolicy` Per ulteriori informazioni sulla policy gestita, consulta [AWS politica gestita: WAFV2 LoggingServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-WAFV2LoggingServiceRolePolicy).

Ai fini dell'assunzione del ruolo `AWSServiceRoleForWAFV2Logging`, il ruolo collegato ai servizi `wafv2.amazonaws.com`considera attendibile il servizio. 

Le politiche di autorizzazione del ruolo consentono di AWS WAF completare le seguenti azioni sulle risorse specificate:
+ Azioni di Amazon Data Firehose: `PutRecord` e sulle risorse del flusso di dati `PutRecordBatch` Firehose con un nome che inizia con. `aws-waf-logs-` Ad esempio, `aws-waf-logs-us-east-2-analytics`.
+ AWS Organizations azione: `DescribeOrganization` sulle risorse delle organizzazioni Organizations. 

[Scopri il ruolo completo collegato ai servizi nella console IAM: AWSService RoleFor WAFV2 Logging.](https://console.aws.amazon.com/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging)

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.

## Creazione di un ruolo collegato al servizio per AWS WAF
<a name="create-slr"></a>

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando abiliti AWS WAF l'accesso o Console di gestione AWS effettui una `PutLoggingConfiguration` richiesta nella AWS WAF CLI o nell'API AWS WAF , crea AWS WAF automaticamente il ruolo collegato al servizio. 

È necessario disporre dell'autorizzazione `iam:CreateServiceLinkedRole` per attivare la registrazione.

Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando abiliti la AWS WAF registrazione, AWS WAF crea nuovamente il ruolo collegato al servizio per te. 

## Modifica di un ruolo collegato al servizio per AWS WAF
<a name="edit-slr"></a>

AWS WAF non consente di modificare il ruolo collegato al `AWSServiceRoleForWAFV2Logging` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.

## Eliminazione di un ruolo collegato al servizio per AWS WAF
<a name="delete-slr"></a>

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.

**Nota**  
Se il AWS WAF servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.

**Per eliminare AWS WAF le risorse utilizzate da `AWSServiceRoleForWAFV2Logging`**

1. Sulla AWS WAF console, rimuovi la registrazione da ogni ACL Web. Per ulteriori informazioni, consulta [Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)](logging.md).

1. Utilizzando l'API o l'interfaccia CLI, inviare una richiesta di `DeleteLoggingConfiguration` per ogni ACL Web che ha la registrazione attivata. Per ulteriori informazioni, consulta la [Documentazione di riferimento delle API AWS WAF](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html).

**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**

Usa la console IAM, la CLI IAM oppure l’API IAM per eliminare il ruolo collegato al servizio `AWSServiceRoleForWAFV2Logging`. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.

## Regioni supportate per i ruoli collegati ai servizi AWS WAF
<a name="slr-regions"></a>

AWS WAF supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Endpoint e quote per AWS WAF](https://docs.aws.amazon.com/general/latest/gr/waf.html).

# Registrazione e monitoraggio AWS WAF
<a name="waf-incident-response"></a>

Questa sezione spiega come utilizzare AWS gli strumenti per il monitoraggio e la risposta agli eventi in. AWS WAF

Il monitoraggio è un elemento importante per mantenere l'affidabilità, la disponibilità e le prestazioni delle AWS WAF AWS soluzioni esistenti. È necessario raccogliere i dati di monitoraggio da tutte le parti della AWS soluzione in modo da poter eseguire più facilmente il debug di un errore multipunto, se si verifica. AWS fornisce diversi strumenti per monitorare le AWS WAF risorse e rispondere a potenziali eventi:

** CloudWatch Allarmi Amazon**  
Utilizzando gli CloudWatch allarmi, controlli una singola metrica per un periodo di tempo specificato. Se la metrica supera una determinata soglia, CloudWatch invia una notifica a un argomento o una policy di Amazon SNS. AWS Auto Scaling Per ulteriori informazioni, consulta [Monitoraggio con Amazon CloudWatch](monitoring-cloudwatch.md).

**AWS CloudTrail registri**  
CloudTrail fornisce un registro delle azioni intraprese da un utente, un ruolo o un AWS servizio in AWS WAF. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare a quale richiesta è stata inviata AWS WAF, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi. Per ulteriori informazioni, consulta [Registrazione delle chiamate API di AWS CloudTrail con](logging-using-cloudtrail.md). 

**AWS WAF registrazione del traffico con Protection Pack (Web ACL)**  
AWS WAF offre la registrazione del traffico analizzato dai pacchetti di protezione (web ACLs). I log includono informazioni come l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa protetta, informazioni dettagliate sulla richiesta e l'impostazione dell'azione per la regola a cui corrisponde la richiesta. Per ulteriori informazioni, consulta [Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)](logging.md). 

# Convalida della conformità in AWS WAF
<a name="waf-compliance"></a>

Questa sezione spiega la tua responsabilità di conformità durante l'utilizzo AWS WAF.

Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Ambito per programma di conformitàServizi AWS](https://aws.amazon.com/compliance/services-in-scope/) di conformità e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .

È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).

# Costruire per la resilienza in AWS WAF
<a name="disaster-recovery-resiliency"></a>

Questa sezione spiega in che modo l' AWS architettura supporta la ridondanza dei dati per. AWS WAF

L'infrastruttura AWS globale è costruita attorno a zone Regioni AWS di disponibilità. Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture tradizionali a data center singolo o multiplo. 

[Per ulteriori informazioni sulle zone di disponibilità, vedere Global Regioni AWS Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)

# Sicurezza dell'infrastruttura in AWS WAF
<a name="infrastructure-security"></a>

Questa sezione spiega come AWS WAF isola il traffico di servizio.

In quanto servizio gestito, AWS WAF è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.

Utilizzate chiamate API AWS pubblicate per accedere AWS WAF attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.