Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Condividi i gruppi di sicurezza con AWS Organizations
<a name="security-group-sharing"></a>

La funzionalità Shared Security Group consente di condividere un gruppo di sicurezza con altri account AWS Organizations all'interno della stessa AWS regione e di rendere il gruppo di sicurezza disponibile per l'utilizzo da parte di tali account.

Il diagramma seguente mostra come utilizzare la funzionalità Shared Security Group per semplificare la gestione dei gruppi di sicurezza tra gli account delle Organizzazioni AWS :

![\[Diagramma della condivisione di gruppi di sicurezza con altri account in una sottorete VPC condivisa.\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/sec-group-sharing.png)


Questo diagramma mostra tre account che fanno parte della stessa organizzazione. L'account A condivide una sottorete VPC con gli account B e C. L'account A condivide il gruppo di sicurezza con gli account B e C utilizzando la funzionalità Gruppo di sicurezza condiviso. Gli account B e C utilizzano quindi quel gruppo di sicurezza quando avviano istanze nella sottorete condivisa. Ciò consente all'account A di gestire il gruppo di sicurezza; qualsiasi aggiornamento al gruppo di sicurezza si applica alle risorse che gli account B e C hanno in esecuzione nella sottorete VPC condivisa.

**Requisiti della funzionalità Gruppo di sicurezza condiviso**
+ Questa funzionalità è disponibile solo per gli account della stessa organizzazione in AWS Organizations. [La condivisione delle risorse](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) deve essere abilitata in AWS Organizations.
+ L'account che condivide il gruppo di sicurezza deve possedere sia il VPC che il gruppo di sicurezza. 
+ Non è possibile condividere gruppi di sicurezza predefiniti.
+ Non è possibile condividere gruppi di sicurezza che si trovano in un VPC predefinito.
+ Gli account dei partecipanti possono creare gruppi di sicurezza in un VPC condiviso, ma non possono condividere tali gruppi di sicurezza.
+ È necessario un set minimo di autorizzazioni per consentire a un principale IAM di condividere un gruppo di AWS RAM sicurezza. Utilizza le policy IAM `AmazonEC2FullAccess` e `AWSResourceAccessManagerFullAccess` gestite per assicurarti che i principali IAM dispongano delle autorizzazioni necessarie per condividere e utilizzare gruppi di sicurezza condivisi. Se utilizzi una policy IAM personalizzata, sono necessarie le operazioni `c2:PutResourcePolicy` e `ec2:DeleteResourcePolicy`. Si tratta di operazioni IAM che richiedono solo l'autorizzazione. Se a un principale IAM non sono concesse queste autorizzazioni, si verificherà un errore nel tentativo di condividere il gruppo di sicurezza utilizzando AWS RAM.

**Servizi che supportano questa funzionalità**
+ Gateway Amazon API
+ Amazon EC2
+ Amazon ECS
+ Amazon EFS
+ Amazon EKS
+ Amazon EMR
+ Amazon FSx
+ Amazon ElastiCache
+ AWS Elastic Beanstalk
+ AWS Glue
+ Amazon MQ
+ Amazon SageMaker AI
+ Elastic Load Balancing
  + Application Load Balancer
  + Network Load Balancer

**In che modo questa funzionalità influisce sulle quote esistenti**

Si applicano le [quote dei gruppi di sicurezza](amazon-vpc-limits.md#vpc-limits-security-groups). Per la quota “Gruppi di sicurezza per interfaccia di rete”, tuttavia, se un partecipante utilizza sia gruppi di proprietà che gruppi condivisi su un’interfaccia di rete elastica (ENI), si applica la quota minima del proprietario e del partecipante.

Esempio per dimostrare in che modo la quota è influenzata da questa funzionalità:
+ Quota dell'account del proprietario: 4 gruppi di sicurezza per interfaccia
+ Quota dell'account del partecipante: 5 gruppi di sicurezza per interfaccia
+ Il proprietario condivide i gruppi SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 con il partecipante. Il partecipante dispone già di gruppi propri nel VPC: SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.
+ Se un partecipante crea una ENI e utilizza solo i gruppi di cui è proprietario, può associare tutti e 5 i gruppi di sicurezza (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5) perché questa è la sua quota.
+ Se il partecipante crea una ENI e utilizza dei gruppi condivisi al suo interno, può associare solo fino a 4 gruppi. In questo caso, la quota per tale ENI è la quota minima delle quote del proprietario e del partecipante. Le possibili configurazioni valide sono le seguenti:
  + SG-O1, SG-P1, SG-P2, SG-P3
  + SG-O1, SG-O2, SG-O3, SG-O4

## Condivisione di un gruppo di sicurezza
<a name="share-sg-org"></a>

Questa sezione spiega come utilizzare Console di gestione AWS e AWS CLI condividere un gruppo di sicurezza con altri account dell'organizzazione.

------
#### [ AWS Management Console ]

**Condividere un gruppo di sicurezza**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione a sinistra, scegli **Gruppi di sicurezza**.

1. Scegli un gruppo di sicurezza per visualizzare i dettagli.

1. Scegliere la scheda **Sharing (Condivisione)** .

1. Scegli **Condividi gruppo di sicurezza**.

1. Seleziona **Crea condivisione risorse**. Di conseguenza, si apre la AWS RAM console in cui potrai creare la condivisione di risorse per il gruppo di sicurezza.

1. Aggiungi un **Nome** per la condivisione della risorsa.

1. In **Risorse - facoltativo**, scegli **Gruppi di sicurezza**.

1. Scelta del gruppo di sicurezza. Il gruppo di sicurezza non può essere un gruppo di sicurezza predefinito e non può essere associato al VPC predefinito.

1. Scegli **Next (Successivo)**.

1. Controlla le operazioni che i principali saranno autorizzati a eseguire e scegli **Avanti**.

1. In **Principali - facoltativo**, scegli **Consenti la condivisione solo all'interno dell'organizzazione**.

1. In **Principali**, seleziona uno dei seguenti tipi di principali e inserisci i numeri appropriati:
   + **AWS account**: il numero di account di un account dell'organizzazione.
   + **Organizzazione**: The AWS Organizations ID.
   + **Unità organizzativa (UO)**: l'ID di un'unità organizzativa nell'organizzazione.
   + **Ruolo IAM**: l'ARN di un ruolo IAM. L'account che ha creato il ruolo deve essere membro della stessa organizzazione dell'account che crea questa condivisione di risorse.
   + **Utente IAM**: l'ARN di un utente IAM. L'account che ha creato l'utente deve essere membro della stessa organizzazione dell'account che crea questa condivisione di risorse.
   + **Principale del servizio**: non è possibile condividere un gruppo di sicurezza con un principale del servizio.

1. Scegli **Aggiungi**.

1. Scegli **Next (Successivo)**.

1. Seleziona **Crea condivisione risorse**.

1. In **Risorse condivise**, attendi di visualizzare lo **stato** di `Associated`. Se si verifica un errore nell'associazione tra i gruppi di sicurezza, il motivo può essere una delle limitazioni sopra elencate. Visualizza i dettagli del gruppo di sicurezza e la scheda **Condivisione** nella pagina dei dettagli per visualizzare eventuali messaggi relativi al motivo per cui un gruppo di sicurezza potrebbe non essere condivisibile.

1. Torna all'elenco dei gruppi di sicurezza della console VPC.

1. Scegli il gruppo di sicurezza che hai condiviso.

1. Scegliere la scheda **Sharing (Condivisione)** . La tua AWS RAM risorsa dovrebbe essere visibile lì. In caso contrario, la creazione della condivisione di risorse potrebbe non essere riuscita e potrebbe essere necessario ricrearla.

------
#### [ Command line ]

**Condividere un gruppo di sicurezza**

1. È innanzitutto necessario creare una condivisione di risorse per il gruppo di sicurezza con cui si desidera condividere AWS RAM. Per istruzioni su come creare una condivisione di risorse AWS RAM utilizzando il AWS CLI, consulta [Creazione di una condivisione di risorse AWS RAM nella](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) *Guida per l'AWS RAM utente* 

1. Per visualizzare le associazioni di condivisione delle risorse create, utilizzare [get-resource-share-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-resource-share-associations.html).

------

Il gruppo di sicurezza è ora condiviso. Puoi selezionare il gruppo di sicurezza quando [avvii un’istanza EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) in una sottorete condivisa all’interno dello stesso VPC.

## Interruzione della condivisione di un gruppo di sicurezza
<a name="stop-share-sg-org"></a>

Questa sezione spiega come utilizzare Console di gestione AWS e AWS CLI per interrompere la condivisione di un gruppo di sicurezza con altri account dell'organizzazione.

------
#### [ AWS Management Console ]

**Interrompere la condivisione di un gruppo di sicurezza**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione a sinistra, scegli **Gruppi di sicurezza**.

1. Scegli un gruppo di sicurezza per visualizzare i dettagli.

1. Scegliere la scheda **Sharing (Condivisione)** .

1. Scegli una condivisione di risorse per il gruppo di sicurezza e successivamente **Interrompi condivisione**.

1. Scegli **Sì, interrompi condivisione**.

------
#### [ Command line ]

**Interrompere la condivisione di un gruppo di sicurezza**

Elimina la condivisione di risorse con [delete-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-resource-share.html).

------

Il gruppo di sicurezza non è più condiviso. Una volta che il proprietario interrompe la condivisione di un gruppo di sicurezza, si applicano le regole seguenti: 
+ Il partecipante esistente Elastic Network Interfaces (ENIs) continua a ricevere tutti gli aggiornamenti delle regole dei gruppi di sicurezza apportati ai gruppi di sicurezza non condivisi. L'annullamento della condivisione impedisce solo al partecipante di creare nuove associazioni con il gruppo non condiviso.
+ I partecipanti non possono più associare il gruppo di sicurezza non condiviso a nessuno di loro proprietà. ENIs 
+ I partecipanti possono descrivere ed eliminare i gruppi ENIs di sicurezza ancora associati a gruppi di sicurezza non condivisi.
+ Se i partecipanti sono ancora ENIs associati al gruppo di sicurezza non condiviso, il proprietario non può eliminare il gruppo di sicurezza non condiviso. Il proprietario può eliminare il gruppo di sicurezza solo dopo che i partecipanti hanno dissociato (rimosso) il gruppo di sicurezza da tutti i propri. ENIs
+ I partecipanti non possono avviare nuove istanze EC2 utilizzando una ENI associata a un gruppo di sicurezza non condiviso.