Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Guida introduttiva con AWS Resource Groups
In AWS, una *risorsa* è un'entità con cui puoi lavorare. Gli esempi includono un'istanza Amazon EC2, un bucket Amazon S3 o una zona ospitata su Amazon Route 53. Se lavori con più risorse, potresti trovare utile gestirle in gruppo anziché passare da un AWS servizio all'altro per ogni attività.
Questa sezione mostra come iniziare AWS Resource Groups. Innanzitutto, organizza AWS le risorse taggandole in Tag Editor. Quindi crea query in Resource Groups che includono i tipi di risorse che desideri inserire in un gruppo e i tag che hai applicato alle risorse.
Dopo aver creato i gruppi di risorse in Resource Groups, utilizza AWS Systems Manager strumenti come Automation per semplificare le attività di gestione dei gruppi di risorse.
Per ulteriori informazioni su come iniziare a utilizzare AWS Systems Manager funzionalità e strumenti, consulta la [https://docs.aws.amazon.com//systems-manager/latest/userguide/what-is-systems-manager.html](https://docs.aws.amazon.com//systems-manager/latest/userguide/what-is-systems-manager.html).
**Topics**
+ [Prerequisiti per lavorare con AWS Resource Groups](gettingstarted-prereqs.md)
+ [Scopri di più sull' AWS Resource Groups autorizzazione e il controllo degli accessi](rg-auth-access.md)
# Prerequisiti per lavorare con AWS Resource Groups
Prima di iniziare a lavorare con i gruppi di risorse, è necessario disporre di un account AWS attivo con risorse esistenti e diritti appropriati per applicare tag alle risorse e creare gruppi.
**Topics**
+ [Iscriviti per AWS](#gettingstarted-prereqs-signup)
+ [Creare risorse](#gettingstarted-prereqs-create)
+ [Impostazione delle autorizzazioni](gettingstarted-prereqs-permissions.md)
## Iscriviti per AWS
Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.
**Per iscriverti a un Account AWS**
1. Apri la [https://portal.aws.amazon.com/billing/registrazione.](https://portal.aws.amazon.com/billing/signup)
1. Segui le istruzioni online.
Nel corso della procedura di registrazione riceverai una telefonata o un messaggio di testo e ti verrà chiesto di inserire un codice di verifica attraverso la tastiera del telefono.
Quando ti iscrivi a un Account AWS, *Utente root dell'account AWS*viene creato un. L’utente root dispone dell’accesso a tutte le risorse e tutti i Servizi AWS nell’account. Come best practice di sicurezza, assegna l’accesso amministrativo a un utente e utilizza solo l’utente root per eseguire [attività che richiedono l’accesso di un utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
## Creare risorse
È possibile creare un gruppo di risorse vuoto, ma non sarà possibile eseguire alcuna attività sui membri del gruppo di risorse finché non vi saranno risorse nel gruppo. Per ulteriori informazioni sui tipi di risorsa supportati, vedi [Tipi di risorse utilizzabili con AWS Resource Groups e Tag Editor](supported-resources.md).
# Impostazione delle autorizzazioni
Per utilizzare appieno i gruppi di risorse e l'editor di tag, potrebbero essere necessarie ulteriori autorizzazioni per le risorse di tag o per visualizzare chiavi e valori di tag di una risorsa. Tali autorizzazioni sono suddivise nelle seguenti categorie:
+ Autorizzazioni per servizi singoli, che consentono di applicare tag alle risorse da tali servizi e includerle in gruppi di risorse.
+ Autorizzazioni necessarie per utilizzare la console Tag Editor
+ Autorizzazioni necessarie per utilizzare la AWS Resource Groups console e l'API.
Se sei un amministratore, puoi fornire le autorizzazioni agli utenti creando policy tramite il servizio AWS Identity and Access Management (IAM). Per prima cosa crei i tuoi principali, come i ruoli o gli utenti IAM, oppure associ identità esterne al tuo AWS ambiente utilizzando un servizio come. AWS IAM Identity Center Quindi applichi le politiche con le autorizzazioni di cui hanno bisogno i tuoi utenti. Per informazioni sulla creazione e l'associazione delle policy IAM, consulta [Lavorare con](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html) le policy.
## Autorizzazioni per singoli servizi
**Importante**
Questa sezione descrive le autorizzazioni necessarie per etichettare risorse da altre console di servizio e APIs aggiungere tali risorse ai gruppi di risorse.
Come descritto in [Risorse e relativi tipi di gruppo](resource-groups.md#resource-groups-intro), ciascun gruppo di risorse rappresenta una raccolta di risorse di tipi specificati che condividono uno o più valori o chiavi di tag. Per aggiungere tag a una risorsa, è necessario disporre delle autorizzazioni necessarie per il servizio a cui appartiene la risorsa. [Ad esempio, per etichettare le istanze Amazon EC2, devi disporre delle autorizzazioni per le azioni di tagging nell'API di quel servizio, come quelle elencate nella Amazon EC2 User Guide.](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_CLI)
Per sfruttare tutte le funzionalità dei gruppi di risorse, sono necessarie altre autorizzazioni che consentono di accedere alla console di un servizio e di interagire con le relative risorse. Per esempi di tali politiche per Amazon EC2, consulta [Example policies for working in the Amazon EC2 console nella Amazon EC2](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/iam-policies-ec2-console.html) User *Guide*.
## Autorizzazioni richieste per Resource Groups e Tag Editor
Per utilizzare Resource Groups e Tag Editor, è necessario aggiungere le seguenti autorizzazioni alla dichiarazione politica di un utente in IAM. Puoi aggiungere politiche AWS gestite che vengono gestite e mantenute up-to-date da AWS, oppure puoi creare e mantenere una politica personalizzata.
### Utilizzo di policy AWS gestite per le autorizzazioni Resource Groups e Tag Editor
AWS Resource Groups e Tag Editor supportano le seguenti politiche AWS gestite che puoi utilizzare per fornire un set predefinito di autorizzazioni agli utenti. Puoi allegare queste politiche gestite a qualsiasi utente, ruolo o gruppo proprio come faresti con qualsiasi altra politica che crei.
**[ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**
Questa policy concede al ruolo IAM o all'utente associato l'autorizzazione a chiamare le operazioni di sola lettura sia per Resource Groups che per Tag Editor. Per leggere i tag di una risorsa, devi inoltre disporre delle autorizzazioni per quella risorsa tramite una politica separata (vedi la seguente nota importante).
**[ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**
Questa policy concede al ruolo IAM o all'utente associato l'autorizzazione a chiamare qualsiasi operazione Resource Groups e le operazioni di lettura e scrittura dei tag in Tag Editor. Per leggere o scrivere i tag di una risorsa, devi inoltre disporre delle autorizzazioni per quella risorsa tramite una politica separata (vedi la seguente Nota importante).
**Importante**
Le due politiche precedenti concedono il permesso di chiamare le operazioni Resource Groups e Tag Editor e utilizzare tali console. Per le operazioni di Resource Groups, tali policy sono sufficienti e concedono tutte le autorizzazioni necessarie per lavorare con qualsiasi risorsa nella console Resource Groups.
Tuttavia, per le operazioni di tagging e la console Tag Editor, le autorizzazioni sono più granulari. È necessario disporre delle autorizzazioni non solo per richiamare l'operazione, ma anche delle autorizzazioni appropriate per la risorsa specifica di cui si sta tentando di accedere ai tag. Per concedere l'accesso ai tag, devi anche allegare una delle seguenti politiche:
La policy AWS-managed [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess)concede le autorizzazioni per le operazioni di sola lettura per le risorse di ogni servizio. AWS mantiene automaticamente aggiornata questa politica con i nuovi AWS servizi non appena diventano disponibili.
Molti servizi forniscono politiche di sola AWS lettura e gestione specifiche del servizio che è possibile utilizzare per limitare l'accesso solo alle risorse fornite da tale servizio. [Ad esempio, Amazon EC2 fornisce Amazon. EC2 ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)
Puoi creare una politica personalizzata che conceda l'accesso solo a operazioni di sola lettura molto specifiche per i pochi servizi e risorse a cui desideri che i tuoi utenti accedano. Questa politica utilizza una strategia di «elenco consentito» o una strategia di elenco negato.
Una strategia di elenco consentito sfrutta il fatto che l'accesso viene negato per impostazione predefinita fino a quando non lo si ***consente esplicitamente*** in una politica. Quindi puoi usare una politica come l'esempio seguente:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
In alternativa, puoi utilizzare una strategia di «lista negata» che consente l'accesso a tutte le risorse tranne quelle che blocchi esplicitamente.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
### Aggiungere manualmente le autorizzazioni Resource Groups e Tag Editor
+ `resource-groups:*`(Questa autorizzazione consente tutte le azioni Resource Groups. Se invece desideri limitare le azioni disponibili per un utente, puoi sostituire l'asterisco con un'azione [specifica (Resource Groups) o con un elenco di azioni](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) separate da virgole).
+ `cloudformation:DescribeStacks`
+ `cloudformation:ListStackResources`
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
**Nota**
L'`resource-groups:SearchResources`autorizzazione consente a Tag Editor di elencare le risorse quando filtri la ricerca utilizzando le chiavi o i valori dei tag.
L'`resource-explorer:ListResources`autorizzazione consente a Tag Editor di elencare le risorse quando si cercano risorse senza definire i tag di ricerca.
Per utilizzare Resource Groups e Tag Editor nella console, è inoltre necessaria l'autorizzazione per eseguire l'`resource-groups:ListGroupResources`azione. Questa autorizzazione è necessaria per elencare i tipi di risorse disponibili nella regione corrente. L'utilizzo di condizioni politiche con non `resource-groups:ListGroupResources` è attualmente supportato.
# Concessione delle autorizzazioni per l'utilizzo di Tag AWS Resource Groups Editor
Per aggiungere una politica per l'utilizzo AWS Resource Groups di Tag Editor a un utente, procedi come segue.
1. Apri la [console IAM](https://console.aws.amazon.com/iam).
1. Nel pannello di navigazione, seleziona **Utenti**.
1. Trova l'utente a cui vuoi concedere le autorizzazioni AWS Resource Groups e Tag Editor. Scegliere il nome dell'utente per aprire la pagina delle proprietà utente.
1. Scegli **Add Permissions (Aggiungi autorizzazioni)**.
1. Scegli **Attach existing policies directly (Collega direttamente le policy esistenti)**.
1. Scegli **Crea policy**.
1. Nella scheda **JSON** incollare l'istruzione della policy seguente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-groups:*",
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"tag:GetResources",
"tag:TagResources",
"tag:UntagResources",
"tag:getTagKeys",
"tag:getTagValues",
"resource-explorer:*"
],
"Resource": "*"
}
]
}
```
------
**Nota**
Questa dichiarazione politica di esempio concede le autorizzazioni solo per le azioni AWS Resource Groups e per le azioni di Tag Editor. Non consente l'accesso alle AWS Systems Manager attività nella AWS Resource Groups console. Ad esempio, questa politica non concede le autorizzazioni per l'utilizzo dei comandi di Systems Manager Automation. Per eseguire attività di Systems Manager su gruppi di risorse, è necessario disporre delle autorizzazioni di Systems Manager allegate alla policy (ad esempio`ssm:*`). Per ulteriori informazioni sulla concessione dell'accesso a Systems Manager, vedere [Configurazione dell'accesso a Systems Manager nella Guida](https://docs.aws.amazon.com//systems-manager/latest/userguide/systems-manager-access.html) per l'*AWS Systems Manager utente*.
1. Scegliere **Esamina policy**.
1. Assegnare un nome e una descrizione alla nuova policy (ad esempio, `AWSResourceGroupsQueryAPIAccess`).
1. Scegli **Crea policy**.
1. Ora che la policy è stata salvata in IAM, puoi collegarla ad altri utenti. Per ulteriori informazioni su come aggiungere una policy a un utente, consulta [Aggiungere autorizzazioni allegando policy direttamente all'utente nella](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#by-direct-attach-policy) *IAM* User Guide.
# Scopri di più sull' AWS Resource Groups autorizzazione e il controllo degli accessi
Resource Groups supporta quanto segue.
+ **Policy basate sulle operazioni.** Ad esempio, è possibile creare una politica che consenta agli utenti di eseguire [https://docs.aws.amazon.com//ARG/latest/APIReference/API_ListGroups.html](https://docs.aws.amazon.com//ARG/latest/APIReference/API_ListGroups.html)operazioni, ma non altre.
+ **Autorizzazioni a livello di risorsa.** Resource Groups supporta l'utilizzo [ARNs](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html)per specificare singole risorse nella policy.
+ **Autorizzazione basata su tag.** Resource Groups supporta l'utilizzo di tag di risorsa nelle condizioni di una politica. Ad esempio, puoi creare una politica che consenta agli utenti di Resource Groups l'accesso completo a un gruppo a cui hai assegnato un tag.
+ **Credenziali temporanee**. Gli utenti possono assumere un ruolo con una politica che consente AWS Resource Groups le operazioni.
Resource Groups non supporta le politiche basate sulle risorse.
Per ulteriori informazioni sull'integrazione di Resource Groups e Tag Editor con AWS Identity and Access Management (IAM), consulta i seguenti argomenti nella *Guida per l'AWS Identity and Access Management utente*.
+ [AWS servizi che funzionano con IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#management_svcs)
+ [Azioni, risorse e chiavi di condizione per AWS Resource Groups](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html)
+ [Controllo dell'accesso tramite policy](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html)