Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Autenticazione e accesso tramite strumenti AWS SDKs e
<a name="access"></a>

Quando sviluppi un'applicazione AWS SDK o utilizzi AWS strumenti da utilizzare Servizi AWS, devi stabilire con che modo il codice o lo strumento si autentica. AWS Puoi configurare l'accesso programmatico alle AWS risorse in diversi modi, a seconda dell'ambiente in cui viene eseguito il codice e dell' AWS accesso a tua disposizione. 

Le opzioni seguenti fanno parte della catena di [fornitori di credenziali](https://docs.aws.amazon.com/sdkref/latest/guide/standardized-credentials.html#credentialProviderChain). Ciò significa che, configurando `credentials` i file condivisi AWS `config` e quelli condivisi di conseguenza, l' AWS SDK o lo strumento individueranno e utilizzeranno automaticamente quel metodo di autenticazione.

## Scegli un metodo per autenticare il codice dell'applicazione
<a name="authDecisionTree"></a>

Scegli un metodo per autenticare le chiamate effettuate AWS dall'applicazione.

### Stai eseguendo codice ALL'INTERNO di un Servizio AWS (come Amazon EC2, Lambda, Amazon ECS, Amazon EKS,)? CodeBuild
<a name="a"></a>

Se il codice continua a funzionare AWS, le credenziali possono essere rese automaticamente disponibili all'applicazione. Ad esempio, se l'applicazione è ospitata su Amazon Elastic Compute Cloud e a tale risorsa è associato un ruolo IAM, le credenziali vengono automaticamente rese disponibili all'applicazione. Allo stesso modo, se utilizzi contenitori Amazon ECS o Amazon EKS, le credenziali impostate per il ruolo IAM possono essere ottenute automaticamente dal codice in esecuzione all'interno del contenitore tramite la catena di provider di [credenziali](https://docs.aws.amazon.com/sdkref/latest/guide/standardized-credentials.html#credentialProviderChain) dell'SDK.

#### Il tuo codice si trova in un'istanza Amazon Elastic Compute Cloud?
<a name="a1"></a>

[Utilizzo dei ruoli IAM per autenticare le applicazioni distribuite su Amazon EC2](access-iam-roles-for-ec2.md)— Usa i ruoli IAM per eseguire in modo sicuro la tua applicazione su un'istanza Amazon EC2.

#### Il tuo codice è contenuto in una AWS Lambda funzione?
<a name="a2"></a>

Lambda crea un ruolo di esecuzione con autorizzazioni minime quando crei [una funzione Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html). L' AWS SDK o lo strumento utilizza quindi automaticamente il ruolo IAM collegato a Lambda in fase di esecuzione, tramite l'ambiente di esecuzione Lambda.

#### Il tuo codice è in Amazon Elastic Container Service (su Amazon EC2 o per AWS Fargate Amazon ECS)?
<a name="a3"></a>

Usa IAM Role for Task. È necessario [creare un ruolo di attività](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html) e specificare tale ruolo nella [definizione dell'attività Amazon ECS.](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) L' AWS SDK o lo strumento utilizza quindi automaticamente il ruolo IAM assegnato all'attività in fase di esecuzione, tramite i metadati Amazon ECS.

#### Il tuo codice è in Amazon Elastic Kubernetes Service?
<a name="a4"></a>

Ti consigliamo di utilizzare [Amazon EKS Pod Identities.](https://docs.aws.amazon.com/eks/latest/userguide/pod-identities.html)

Nota: se ritieni che [IAM roles for service accounts](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html) (IRSA) possa soddisfare meglio le tue esigenze specifiche, consulta la sezione [Confronto tra EKS Pod Identity e IRSA](https://docs.aws.amazon.com/eks/latest/userguide/service-accounts.html#service-accounts-iam) nella **Amazon EKS User Guide**.

#### Il tuo codice è in esecuzione in AWS CodeBuild
<a name="a5"></a>

Vedi [Utilizzo di politiche basate sull'identità](https://docs.aws.amazon.com/codebuild/latest/userguide/auth-and-access-control-iam-identity-based-access-control.html) per. CodeBuild

#### Il tuo codice è in un altro? Servizio AWS
<a name="a6"></a>

Consulta la guida dedicata per il tuo Servizio AWS. Quando esegui il codice AWS, la [catena di fornitori di credenziali](https://docs.aws.amazon.com/sdkref/latest/guide/standardized-credentials.html#credentialProviderChain) SDK può ottenere e aggiornare automaticamente le credenziali per te.

### Stai creando applicazioni mobili o applicazioni web basate su client?
<a name="b"></a>

Se stai creando applicazioni mobili o applicazioni web basate su client che richiedono l'accesso a AWS, crea la tua app in modo che richieda le credenziali di AWS sicurezza temporanee in modo dinamico utilizzando la federazione delle identità web. 

Con la federazione delle identità Web, non è necessario creare il codice di accesso personalizzato o gestire le identità utente personalizzate. Gli utenti dell'app possono invece accedere utilizzando un provider di identità (IdP) esterno noto, come Login with Amazon, Facebook, Google o qualsiasi altro IdP compatibile con OpenID Connect (OIDC). Possono ricevere un token di autenticazione e quindi scambiarlo con credenziali di sicurezza temporanee in AWS quella mappa con un ruolo IAM con le autorizzazioni per utilizzare le risorse dell'utente. Account AWS

Per informazioni su come configurarlo per il tuo SDK o lo strumento, consulta. [Assumere un ruolo con web identity o OpenID Connect per l'autenticazione e AWS SDKs gli strumenti](access-assume-role-web.md) 

Per le applicazioni mobili, prendi in considerazione l'utilizzo di Amazon Cognito. Amazon Cognito funge da broker di identità e svolge gran parte del lavoro federativo per te. Per ulteriori informazioni, consulta [Using Amazon Cognito per app mobili](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc_cognito.html) nella *IAM User Guide*. 

### Stai sviluppando ed eseguendo il codice LOCALMENTE?
<a name="c"></a>

Consigliamo[Utilizzo delle credenziali della console per l'autenticazione AWS SDKs e degli strumenti](access-login.md).

Dopo un rapido flusso di autenticazione basato su browser, genera AWS automaticamente credenziali temporanee che funzionano con strumenti di sviluppo locali come la CLI AWS e. AWS Strumenti per PowerShell AWS SDKs 

#### Se utilizzi Identity Center per l'accesso all'account AWS
<a name="idc"></a>

Usa IAM Identity Center per autenticare l' AWS SDK e gli strumenti se hai già accesso agli AWS account and/or necessari per gestire l'accesso per la tua forza lavoro. Come best practice di sicurezza, ti consigliamo di utilizzare AWS Organizations IAM Identity Center per gestire l'accesso a tutti i tuoi account. AWS Puoi creare utenti in IAM Identity Center, utilizzare Microsoft Active Directory, utilizzare un provider di identità (IdP) SAML 2.0 o federare individualmente il tuo AWS IdP agli account. Per verificare se la tua regione supporta IAM Identity Center, consulta gli endpoint e le quote di [Utilizzo di IAM Identity Center per autenticare AWS SDK e strumenti](access-sso.md) IAM Identity Center nell'Amazon Web Services General Reference.

#### Se stai cercando altri modi per autenticarti
<a name="owa"></a>

Crea un utente IAM con i privilegi minimi con le autorizzazioni per accedere al tuo ruolo di destinazione. `sts:AssumeRole` Quindi configura il tuo profilo per assumere un ruolo utilizzando una `source_profile` configurazione per quell'utente.

Puoi anche utilizzare credenziali IAM temporanee tramite variabili di ambiente o il file di AWS credenziali condivise. Vedi Utilizzo di credenziali a breve termine per l'autenticazione e strumenti AWS SDKs .

Nota: solo in ambienti sandbox o di apprendimento, puoi prendere in considerazione l'utilizzo di credenziali a lungo termine per l'autenticazione e gli strumenti. AWS SDKs 

### Questo codice viene eseguito in locale o in una macchina virtuale ibrida/su richiesta (ad esempio un server che legge o scrive su Amazon S3 o Jenkins che distribuisce nel cloud)?
<a name="d"></a>

#### Stai utilizzando certificati client X.509?
<a name="d1"></a>

Sì: vedi. [Utilizzo di IAM Roles Anywhere per l'autenticazione AWS SDKs e gli strumenti](access-rolesanywhere.md) Puoi utilizzare IAM Roles Anywhere per ottenere credenziali di sicurezza temporanee in IAM per carichi di lavoro come server, contenitori e applicazioni eseguiti all'esterno di. AWS Per utilizzare IAM Roles Anywhere, i carichi di lavoro devono utilizzare certificati X.509.

#### L'ambiente può connettersi in modo sicuro a un provider di identità federato (come Microsoft Entra o Okta) per richiedere credenziali temporanee? AWS
<a name="d2"></a>

##### Sì: usa [Provider di credenziali di processo](feature-process-credentials.md)
<a name="d2a"></a>

Utilizzato [Provider di credenziali di processo](feature-process-credentials.md) per recuperare automaticamente le credenziali in fase di esecuzione. Questi sistemi potrebbero utilizzare uno strumento di supporto o un plug-in per ottenere le credenziali e potrebbero assumere un ruolo IAM dietro le quinte utilizzando. `sts:AssumeRole`

##### No: utilizza credenziali temporanee inserite tramite Gestione dei segreti AWS
<a name="d2b"></a>

Utilizza credenziali temporanee iniettate tramite. Gestione dei segreti AWS*Per le opzioni per ottenere chiavi di accesso di breve durata, consulta [Richiedere credenziali di sicurezza temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html) nella Guida per l'utente IAM.* Per le opzioni sulla memorizzazione di queste credenziali temporanee, consulta. [AWS chiavi di accesso](feature-static-credentials.md)

È possibile utilizzare queste credenziali per recuperare in modo sicuro autorizzazioni applicative più ampie da Secrets [Manager, dove è possibile archiviare i segreti](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html) di produzione o le credenziali basate sui ruoli di lunga durata.

### State utilizzando uno strumento di terze parti non presente? AWS
<a name="e"></a>

Utilizza la documentazione scritta dal tuo provider di terze parti per ottenere le migliori indicazioni su come ottenere le credenziali.

#### Se la tua terza parte non ha fornito la documentazione, puoi inserire credenziali temporanee in modo sicuro?
<a name="e1"></a>

Sì: utilizza variabili di ambiente e credenziali temporanee. AWS STS 

No: utilizza chiavi di accesso statiche archiviate in un gestore segreto crittografato (ultima risorsa).

## Metodi di autenticazione
<a name="authOptions"></a>

**Metodi di autenticazione per il codice in esecuzione all'interno di un AWS ambiente**

Se il codice continua a funzionare AWS, le credenziali possono essere rese automaticamente disponibili all'applicazione. Ad esempio, se l'applicazione è ospitata su Amazon Elastic Compute Cloud e a tale risorsa è associato un ruolo IAM, le credenziali vengono automaticamente rese disponibili all'applicazione. Allo stesso modo, se utilizzi contenitori Amazon ECS o Amazon EKS, le credenziali impostate per il ruolo IAM possono essere ottenute automaticamente dal codice in esecuzione all'interno del contenitore tramite la catena di provider di credenziali dell'SDK.
+ [Utilizzo dei ruoli IAM per autenticare le applicazioni distribuite su Amazon EC2](access-iam-roles-for-ec2.md)— Usa i ruoli IAM per eseguire in modo sicuro la tua applicazione su un'istanza Amazon EC2. 
+  Puoi interagire a livello di codice con l' AWS utilizzo di IAM Identity Center nei seguenti modi:
  + [AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/)Da utilizzare per eseguire AWS CLI comandi dalla console.
  + [Per provare uno spazio di collaborazione basato sul cloud per i team di sviluppo software, prendi in considerazione l'utilizzo di Amazon. CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/welcome.html) 

**Autenticazione tramite un provider di identità basato sul Web: applicazioni Web mobili o basate su client**

Se stai creando applicazioni mobili o applicazioni web basate su client che richiedono l'accesso a AWS, crea la tua app in modo che richieda le credenziali di AWS sicurezza temporanee in modo dinamico utilizzando la federazione delle identità web. 

Con la federazione delle identità Web, non è necessario creare il codice di accesso personalizzato o gestire le identità utente personalizzate. Gli utenti dell'app possono invece accedere utilizzando un provider di identità (IdP) esterno noto, come Login with Amazon, Facebook, Google o qualsiasi altro IdP compatibile con OpenID Connect (OIDC). Possono ricevere un token di autenticazione e quindi scambiarlo con credenziali di sicurezza temporanee in AWS quella mappa con un ruolo IAM con le autorizzazioni per utilizzare le risorse dell'utente. Account AWS

Per informazioni su come configurarlo per il tuo SDK o lo strumento, consulta. [Assumere un ruolo con web identity o OpenID Connect per l'autenticazione e AWS SDKs gli strumenti](access-assume-role-web.md) 

Per le applicazioni mobili, prendi in considerazione l'utilizzo di Amazon Cognito. Amazon Cognito funge da broker di identità e svolge gran parte del lavoro federativo per te. Per ulteriori informazioni, consulta [Using Amazon Cognito per app mobili](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc_cognito.html) nella *IAM User Guide*. 

**Metodi di autenticazione per il codice eseguito localmente (non in AWS)**
+ [Utilizzo delle credenziali della console per l'autenticazione AWS SDKs e degli strumenti](access-login.md)— Questa funzionalità funziona sia con l'interfaccia a riga di AWS comando che con gli strumenti PowerShell e fornisce credenziali aggiornabili che funzionano con strumenti di sviluppo locali come AWS CLI, Tools for and. PowerShell AWS
+ [Utilizzo di IAM Identity Center per autenticare AWS SDK e strumenti](access-sso.md)— Come best practice di sicurezza, consigliamo di utilizzare AWS Organizations IAM Identity Center per gestire l'accesso su tutti i tuoi. Account AWS Puoi creare utenti in AWS IAM Identity Center, utilizzare Microsoft Active Directory, utilizzare un provider di identità (IdP) SAML 2.0 o federare individualmente il tuo IdP in. Account AWS Per verificare se la tua regione supporta IAM Identity Center, consulta gli [AWS IAM Identity Center endpoint](https://docs.aws.amazon.com/general/latest/gr/sso.html) e le quote nel. *Riferimenti generali di Amazon Web Services* 
+ [Utilizzo di IAM Roles Anywhere per l'autenticazione AWS SDKs e gli strumenti](access-rolesanywhere.md)— Puoi utilizzare IAM Roles Anywhere per ottenere credenziali di sicurezza temporanee in IAM per carichi di lavoro come server, contenitori e applicazioni eseguiti all'esterno di. AWS Per utilizzare IAM Roles Anywhere, i carichi di lavoro devono utilizzare certificati X.509. 
+  [Assumere un ruolo con AWS credenziali di autenticazione e strumenti AWS SDKs](access-assume-role.md)— Puoi assumere un ruolo IAM per accedere temporaneamente a AWS risorse a cui altrimenti non avresti accesso. 
+  [Utilizzo delle chiavi di AWS accesso per l'autenticazione AWS SDKs e degli strumenti](access-users.md)— Altre opzioni che potrebbero essere meno convenienti o che potrebbero aumentare il rischio di sicurezza per le AWS risorse. 

**Ulteriori informazioni sulla gestione degli accessi**

La *Guida per l'utente IAM* contiene le seguenti informazioni sul controllo sicuro dell'accesso alle AWS risorse:
+ [Identità IAM (utenti, gruppi di utenti e ruoli)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html): scopri le basi delle identità in. AWS
+ [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)[: raccomandazioni di sicurezza da seguire quando si sviluppano AWS applicazioni secondo il modello di responsabilità condivisa.](https://aws.amazon.com/compliance/shared-responsibility-model/)

*Riferimenti generali di Amazon Web Services*Ha le basi fondamentali su quanto segue:
+ [Comprensione e acquisizione AWS delle credenziali](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html): accedi alle opzioni chiave e alle pratiche di gestione sia per l'accesso da console che per quello programmatico.

**Plugin TIP (Trusted Identity Propagation) di IAM Identity Center a cui accedere Servizi AWS**
+ [Utilizzo del plugin TIP per accedere Servizi AWS](access-tip.md)— Se stai creando un'applicazione per Amazon Q Business o un altro servizio che supporta la propagazione di identità affidabili e utilizzi il AWS SDK per Java o il AWS SDK per JavaScript, puoi utilizzare il plug-in TIP per un'esperienza di autorizzazione semplificata. 

## ID Builder AWS
<a name="bid"></a>

I ID Builder AWS complementi Account AWS che possiedi già o che desideri creare. Sebbene un Account AWS funga da contenitore per AWS le risorse che crei e fornisca un limite di sicurezza per tali risorse, il tuo ti ID Builder AWS rappresenta come individuo. Puoi accedere con il tuo ID Builder AWS per accedere a strumenti e servizi per sviluppatori come Amazon Q e Amazon CodeCatalyst.
+ [Accedi tramite la ID Builder AWS](https://docs.aws.amazon.com/signin/latest/userguide/sign-in-aws_builder_id.html) *Guida per l'Accedi ad AWS utente*: scopri come creare e utilizzare un ID Builder ID Builder AWS e scopri cosa offre.
+ [CodeCatalystconcetti - ID Builder AWS](https://docs.aws.amazon.com/codecatalyst/latest/userguide/concepts.html#sign-in-concept) nella *Amazon CodeCatalyst User Guide* - Scopri come CodeCatalyst usa un ID Builder AWS.