Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione delle identità e degli accessi per AWS Resource Groups
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse Resource Groups. IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience_arg-te)
+ [Autenticazione con identità](#security_iam_authentication_arg-te)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage-arg-te)
+ [Come funziona Resource Groups con IAM](security_iam_service-with-iam.md)
+ [AWS politiche gestite per AWS Resource Groups](security_iam_awsmanpol.md)
+ [Utilizzo di ruoli collegati ai servizi per Resource Groups](security_iam_service-linked-roles.md)
+ [AWS Resource Groups esempi di politiche basate sull'identità](security_iam_id-based-policy-examples.md)
+ [Risoluzione dei problemi di AWS Resource Groups identità e accesso](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi di AWS Resource Groups identità e accesso](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Resource Groups con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [AWS Resource Groups esempi di politiche basate sull'identità](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) per l'*utente IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Liste di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona Resource Groups con IAM
Prima di utilizzare IAM per gestire l'accesso ai Resource Groups, è necessario comprendere quali funzionalità IAM sono disponibili per l'uso con Resource Groups. Per avere una visione di alto livello di come i Resource Groups e gli altri AWS servizi funzionano con IAM, consulta [AWS Services That Work with IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
**Topics**
+ [Politiche basate sull'identità di Resource Groups](#security_iam_service-with-iam-id-based-policies-arg-te)
+ [Policy basate sulle risorse](#security_iam_resource-based-policies)
+ [Autorizzazione basata sui tag Resource Groups](#security_iam_tags)
+ [Ruoli IAM di Resource Groups](#security_iam_roles)
## Politiche basate sull'identità di Resource Groups
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Resource Groups supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento degli elementi delle policy JSON IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le azioni politiche in Resource Groups utilizzano il seguente prefisso prima dell'azione:`resource-groups:`. Le azioni di Tag Editor vengono eseguite interamente nella console, ma hanno il prefisso `resource-explorer` nelle voci di registro.
Ad esempio, per concedere a qualcuno l'autorizzazione a creare un gruppo Resource Groups con l'operazione dell'`CreateGroup`API Resource Groups, includi l'`resource-groups:CreateGroup`azione nella sua politica. Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Resource Groups definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più azioni Resource Groups e Tag Editor in un'unica istruzione, separale con virgole come segue:
```
"Action": [
"resource-groups:action1",
"resource-groups:action2",
"resource-explorer:action3"
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `List`, includi la seguente azione:
```
"Action": "resource-groups:List*"
```
Per visualizzare un elenco delle azioni di Resource Groups, consulta [Actions, Resources and Condition Keys AWS Resource Groups](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) nella *IAM User Guide*.
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
L'unica risorsa Resource Groups è un *gruppo*. La risorsa di gruppo ha un ARN nel formato seguente:
```
arn:${Partition}:resource-groups:${Region}:${Account}:group/${GroupName}
```
Per ulteriori informazioni sul formato di ARNs, consulta [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html).
Ad esempio, per specificare il gruppo di `my-test-group` risorse nell'istruzione, utilizzare il seguente ARN:
```
"Resource": "arn:aws:resource-groups:us-east-1:123456789012:group/my-test-group"
```
Per specificare tutti i gruppi che appartengono a un account specifico, usa il carattere jolly (\$1):
```
"Resource": "arn:aws:resource-groups:us-east-1:123456789012:group/*"
```
Alcune azioni di Resource Groups, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (\$1).
```
"Resource": "*"
```
Alcune azioni dell'API Resource Groups possono coinvolgere più risorse. Ad esempio, `DeleteGroup` elimina i gruppi, quindi un principale chiamante deve disporre delle autorizzazioni per eliminare un gruppo specifico o tutti i gruppi. Per specificare più risorse in un'unica istruzione, separale ARNs con virgole.
```
"Resource": [
"resource1",
"resource2"
]
```
Per visualizzare un elenco dei tipi di risorse Resource Groups e i relativi ARNs tipi di risorse e scoprire con quali azioni è possibile specificare l'ARN di ciascuna risorsa, consulta [Actions, Resources and Condition Keys AWS Resource Groups](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) nella *IAM User Guide*.
### Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Resource Groups definisce il proprio set di chiavi di condizione e supporta anche l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta [AWS Global Condition Context Keys](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *IAM User Guide*.
Per visualizzare un elenco di chiavi di condizione di Resource Groups e scoprire con quali azioni e risorse è possibile utilizzare una chiave di condizione, consulta [Actions, Resources e Condition Keys AWS Resource Groups](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) nella *IAM User Guide*.
### Esempi
Per visualizzare esempi di politiche basate sull'identità di Resource Groups, vedere. [AWS Resource Groups esempi di politiche basate sull'identità](security_iam_id-based-policy-examples.md)
## Policy basate sulle risorse
Resource Groups non supporta le politiche basate sulle risorse.
## Autorizzazione basata sui tag Resource Groups
È possibile allegare tag ai gruppi in Resource Groups o passare i tag in una richiesta a Resource Groups. Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. È possibile applicare tag a un gruppo durante la creazione o l'aggiornamento del gruppo. Per ulteriori informazioni sull'assegnazione di tag a un gruppo in Resource Groups, consulta [Creazione di gruppi basati su query in AWS Resource Groups](gettingstarted-query.md) e [Aggiornamento dei gruppi in AWS Resource Groups](updating-resource-groups.md) in questa guida.
Per visualizzare una policy basata sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta [Visualizzazione dei gruppi in base ai tag](security_iam_id-based-policy-examples.md#security_iam_policy-examples-view-tags).
## Ruoli IAM di Resource Groups
Un [ruolo IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html) è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche. Resource Groups non dispone né utilizza ruoli di servizio.
### Utilizzo di credenziali temporanee con Resource Groups
In Resource Groups, puoi utilizzare credenziali temporanee per accedere con la federazione, assumere un ruolo IAM o assumere un ruolo tra account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come o. [AssumeRole[GetFederationToken](https://docs.aws.amazon.com//STS/latest/APIReference/API_GetFederationToken.html)](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)
### Ruoli collegati ai servizi
[I ruoli collegati ai](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente.
Resource Groups non dispone né utilizza ruoli collegati ai servizi.
### Ruoli dei servizi
Questa funzionalità consente a un servizio di assumere un [ruolo di servizio](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) per conto dell'utente.
Resource Groups non dispone né utilizza ruoli di servizio.
# AWS politiche gestite per AWS Resource Groups
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
**AWS-policy gestite per Resource Groups**
+ [ResourceGroupsServiceRolePolicy](#security-iam-awsmanpol-ResourceGroupsServiceRolePolicy)
+ [ ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources)
+ [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title)
## AWS politica gestita: ResourceGroupsServiceRolePolicy
Non puoi collegarti personalmente `ResourceGroupsServiceRolePolicy` a nessuna entità IAM. Questa policy può essere associata solo a un ruolo collegato al servizio che consente a Resource Groups di eseguire azioni per conto dell'utente. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Resource Groups](security_iam_service-linked-roles.md).
Questa politica concede le autorizzazioni necessarie ai Resource Groups per recuperare informazioni sulle risorse nei gruppi di risorse e sugli eventuali CloudFormation pile a cui tali risorse appartengono. Ciò consente ai Resource Groups di generare CloudWatch eventi per la funzionalità degli eventi del ciclo di vita del gruppo.
Per vedere la versione più recente di questa policy AWS gestita, consulta `[ResourceGroupsServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsServiceRolePolicy)` nella console IAM.
## AWS politica gestita: ResourceGroupsandTagEditorFullAccess
Quando si allega una politica a un'entità principale, si forniscono all'entità le autorizzazioni definite nella politica. AWS le politiche gestite semplificano l'assegnazione delle autorizzazioni appropriate a utenti, gruppi e ruoli rispetto a quando doveste scrivere le politiche da soli.
Questa politica concede le autorizzazioni necessarie per l'accesso completo alle funzionalità di Resource Groups e Tag Editor.
Per vedere la versione più recente di questa policy AWS gestita, consulta `[ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)` nella console IAM.
Per ulteriori informazioni su questa policy, consulta [ ResourceGroupsandTagEditorFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsandTagEditorFullAccess.html)la *AWS Managed Policy Reference Guide*.
## AWS politica gestita: ResourceGroupsandTagEditorReadOnlyAccess
Quando si allega una politica a un'entità principale, si forniscono all'entità le autorizzazioni definite nella politica. AWS le politiche gestite semplificano l'assegnazione delle autorizzazioni appropriate a utenti, gruppi e ruoli rispetto a quando doveste scrivere le politiche da soli.
Questa politica concede le autorizzazioni necessarie per l'accesso in sola lettura alle funzionalità Resource Groups e Tag Editor.
Per vedere la versione più recente di questa policy AWS gestita, consulta `[ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)` nella console IAM.
Per ulteriori informazioni su questa policy, consulta [ ResourceGroupsandTagEditorReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsandTagEditorReadOnlyAccess.html)la *AWS Managed Policy Reference Guide*.
## AWS politica gestita: ResourceGroupsTagging APITag UntagSupportedResources
Quando si allega una politica a un'entità principale, si forniscono all'entità le autorizzazioni definite nella politica. AWS le politiche gestite semplificano l'assegnazione delle autorizzazioni appropriate a utenti, gruppi e ruoli rispetto a quando doveste scrivere le politiche da soli.
**Questa politica concede le autorizzazioni necessarie per etichettare e rimuovere i tag da tutti i tipi di risorse supportati dall'API AWS Resource Groups Tagging ad eccezione di,, e.** `AWS::ApiGateway` `AWS::CloudFormation` `AWS::CodeBuild` `AWS::ServiceCatalog` L'etichettatura e la rimozione dei tag di questi tipi di risorse esclusi richiedono autorizzazioni aggiuntive specifiche del servizio che consentono azioni diverse dall'etichettatura e dalla rimozione dei tag. L'elenco seguente descrive quali autorizzazioni sono necessarie per etichettare e rimuovere i tag dai tipi di risorse esclusi dalla politica:
+ I tipi di `AWS::ApiGateway` risorsa richiedono l'`apigateway:Patch`autorizzazione sulla risorsa API Gateway e la risorsa tag child richiede le `apigateway:Delete` autorizzazioni `apigateway:Put``apigateway:Get`,,.
+ I tipi di `AWS::CloudFormation` risorse richiedono le `cloudformation:UpdateStackSet` autorizzazioni `cloudformation:UpdateStack` and.
+ I tipi di `AWS::CodeBuild` risorse richiedono l'`codebuild:UpdateProject`autorizzazione.
+ I tipi di `AWS::ServiceCatalog` risorse richiedono le `servicecatalog:UpdateProduct` autorizzazioni `servicecatalog:TagResource` `servicecatalog:UntagResource``servicecatalog:UpdatePortfolio`,, e.
Questa politica concede anche le autorizzazioni necessarie per recuperare tutte le risorse taggate o precedentemente taggate tramite l'API Resource Groups Tagging.
Per vedere la versione più recente di questa policy AWS gestita, consulta `[ ResourceGroupsTaggingAPITagUntagSupportedResources](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsTaggingAPITagUntagSupportedResources)` nella console IAM.
Per ulteriori informazioni su questa policy, consulta [ ResourceGroupsTaggingAPITagUntagSupportedResources](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsTaggingAPITagUntagSupportedResources.html)la *AWS Managed Policy Reference Guide*.
## Resource Groups: aggiornamenti alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Resource Groups da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia dei documenti di Resource Groups](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| Politica aggiornata: [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title) | Resource Groups ha aggiornato questa policy per includere le autorizzazioni per otto nuovi servizi, tra cui Amazon Application Recovery Controller (ARC) e Amazon VPC Lattice. Le seguenti autorizzazioni sono state aggiunte alla policy: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/ARG/latest/userguide/security_iam_awsmanpol.html) | 20 dicembre 2024 |
| Nuova politica: [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title) | Resource Groups ha aggiunto una nuova politica per fornire le autorizzazioni necessarie per etichettare e rimuovere i tag da tutti i tipi di risorse supportati dall'API AWS Resource Groups Tagging. | 11 ottobre 2024 |
| Aggiornamento della politica: [ResourceGroupsandTagEditorFullAccess](#security-iam-awsmanpol-ResourceGroupsandTagEditorFullAccess.title) | Resource Groups ha aggiornato una politica per includere AWS CloudFormation autorizzazioni aggiuntive. | 10 agosto 2023 |
| Aggiornamento della politica: [ResourceGroupsandTagEditorReadOnlyAccess](#security-iam-awsmanpol-ResourceGroupsandTagEditorReadOnlyAccess.title) | Resource Groups ha aggiornato una politica per includere AWS CloudFormation autorizzazioni aggiuntive. | 10 agosto 2023 |
| Nuova politica: [ResourceGroupsServiceRolePolicy](#security-iam-awsmanpol-ResourceGroupsServiceRolePolicy.title) | Resource Groups ha aggiunto una nuova policy per supportare il suo ruolo collegato ai servizi. | 17 novembre 2022 |
| Resource Groups ha iniziato a tenere traccia delle modifiche | Resource Groups ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 17 novembre 2022 |
# Utilizzo di ruoli collegati ai servizi per Resource Groups
AWS Resource Groups utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ai Resource Groups. I ruoli collegati ai servizi sono predefiniti da Resource Groups e includono tutte le autorizzazioni richieste dal servizio per chiamare altri Servizi AWS utenti per conto dell'utente.
Un ruolo collegato al servizio semplifica la configurazione di Resource Groups perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Resource Groups definisce le autorizzazioni dei suoi ruoli collegati al servizio e imposta politiche di fiducia per ciascuno di essi che garantiscono che solo il servizio Resource Groups possa assumere i propri ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta i [AWS servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per Resource Groups
Resource Groups utilizza il seguente ruolo collegato al servizio per supportare gli eventi del ciclo di vita del gruppo. Scegli il link sul nome del ruolo per visualizzare il ruolo nella console IAM dopo averlo creato.
+ `[AWSServiceRoleForResourceGroups](https://console.aws.amazon.com/iamv2/home#/roles/details/AWSServiceRoleForResourceGroups)`
Resource Groups utilizza le autorizzazioni di questo ruolo per interrogare le Servizi AWS risorse proprietarie dell'utente e contribuire alla risoluzione dell'appartenenza al gruppo e al mantenimento del gruppo up-to-date. Consente ai Resource Groups di inviare eventi relativi al servizio Amazon. EventBridge
Il ruolo `AWSServiceRoleForResourceGroups` collegato al servizio si affida ***solo al seguente servizio per l'assunzione*** del ruolo:
+ `resourcegroups.amazonaws.com`
Le autorizzazioni associate al ruolo provengono dalla seguente politica gestita. AWS Scegli il link sul nome della policy per visualizzare la policy nella console IAM.
+ `AWS politiche gestite per AWS Resource Groups`
## Creazione del ruolo collegato al servizio per Resource Groups
**Importante**
Questo ruolo collegato al servizio può apparire nel tuo account se completi un'azione in un altro servizio che richiede le funzionalità supportate da questo ruolo. Per ulteriori informazioni, vedi [A new role appeared in my](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared). Account AWS
Per creare il ruolo collegato al servizio, [attiva la funzionalità degli eventi del ciclo di vita di gruppo](monitor-groups-turn-on.md).
## Modifica di un ruolo collegato al servizio per Resource Groups
Resource Groups non consente di modificare il ruolo AWSService RoleForResourceGroups collegato al servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Resource Groups
È possibile eliminare il ruolo collegato al servizio solo dopo aver disattivato la funzionalità degli eventi del ciclo di vita del gruppo.
**Importante**
AWS ti impedisce di rimuovere il ruolo collegato al servizio finché non [disattivi per la prima volta la funzionalità degli eventi del ciclo di vita del gruppo che lo ha creato](monitor-groups-turn-off.md).
Ti consigliamo di non eliminare il ruolo collegato al servizio purché tu abbia dei gruppi di risorse nel tuo. Account AWS Il servizio Resource Groups non può interagire con altri utenti Servizi AWS per gestire i tuoi gruppi se elimini questo ruolo.
### Eliminazione manuale del ruolo collegato ai servizi
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo AWSService RoleForResourceGroups collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
------
#### [ Console ]
**Per eliminare il ruolo collegato al servizio Resource Groups**
1. Apri la [console IAM alla pagina Ruoli](https://console.aws.amazon.com/iam/home#/roles).
1. Trova il ruolo denominato AWSService RoleForResourceGroups e seleziona la casella di controllo accanto ad esso.
1. Scegli **Elimina**.
1. Conferma l'intenzione di eliminare il ruolo inserendo il nome del ruolo nella casella, quindi scegli **Elimina**.
Il ruolo scompare dall'elenco dei ruoli nella console IAM.
------
#### [ AWS CLI ]
**Per eliminare il ruolo collegato al servizio Resource Groups**
Per eliminare il ruolo, immettete il seguente comando con i parametri esattamente come mostrato. Non sostituite nessuno dei valori.
```
$ aws iam delete-service-linked-role \
--role-name AWSServiceRoleForResourceGroups
{
"DeletionTaskId": "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
}
```
Il comando restituisce un ID dell'attività. L'effettiva eliminazione del ruolo avviene in modo asincrono. È possibile verificare lo stato dell'eliminazione del ruolo passando l'identificatore di attività fornito al comando seguente. AWS CLI
```
$ aws iam get-service-linked-role-deletion-status \
--deletion-task-id "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
{
"Status": "SUCCEEDED"
}
```
------
## Regioni supportate per i ruoli collegati ai servizi di Resource Groups
Resource Groups supporta l'utilizzo di ruoli collegati ai servizi in tutti i paesi in Regioni AWS cui il servizio è disponibile. Per ulteriori informazioni, consulta [Regioni ed endpoint di AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# AWS Resource Groups esempi di politiche basate sull'identità
Per impostazione predefinita, i responsabili IAM, come ruoli e utenti, non dispongono dell'autorizzazione per creare o modificare risorse Resource Groups. Inoltre, non possono eseguire attività utilizzando l' AWS API Console di gestione AWS, AWS CLI, o. Un amministratore IAM deve creare policy IAM che concedano ai responsabili l'autorizzazione a eseguire operazioni API specifiche sulle risorse specifiche di cui hanno bisogno. L'amministratore deve quindi collegare tali policy ai principali che richiedono tali autorizzazioni.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente IAM*.
**Topics**
+ [Best practice delle policy](#security_iam_policy-best-practices)
+ [Utilizzo della console e dell'API Resource Groups](#security_iam_policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_policy-examples-own-permissions)
+ [Visualizzazione dei gruppi in base ai tag](#security_iam_policy-examples-view-tags)
## Best practice delle policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse Resource Groups nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console e dell'API Resource Groups
Per accedere alla console AWS Resource Groups e all'API di Tag Editor, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse Resource Groups presenti nel tuo AWS account. Se crei una policy basata sull'identità più restrittiva delle autorizzazioni minime richieste, i comandi della console e dell'API non funzioneranno come previsto per i principali (ruoli o utenti IAM) che applicano tale policy.
Per garantire che tali entità possano ancora utilizzare Resource Groups, allega la seguente politica (o una politica che contenga le autorizzazioni elencate nella politica seguente) alle entità. Per ulteriori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l'utente di IAM*:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-groups:*",
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"tag:GetResources",
"tag:TagResources",
"tag:UntagResources",
"tag:getTagKeys",
"tag:getTagValues",
"resource-explorer:List*"
],
"Resource": "*"
}
]
}
```
------
Per ulteriori informazioni sulla concessione dell'accesso a Resource Groups, [Concessione delle autorizzazioni per l'utilizzo di Tag AWS Resource Groups Editor](gettingstarted-prereqs-permissions-howto.md) consulta questa guida.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Visualizzazione dei gruppi in base ai tag
Puoi utilizzare le condizioni nella tua politica basata sull'identità per controllare l'accesso alle risorse di Resource Groups in base ai tag. Questo esempio mostra come è possibile creare una politica che consenta la visualizzazione di una risorsa, in questo esempio un gruppo di risorse. Tuttavia, l'autorizzazione viene concessa solo se il tag di gruppo `project` ha lo stesso valore del `project` tag associato al principale chiamante.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "resource-groups:GetGroup",
"Resource": "arn:aws:resource-groups:us-east-1:111122223333:group/group_name",
"Condition": {
"StringEquals": {"aws:ResourceTag/project": "${aws:PrincipalTag/project}"}
}
}
]
}
```
------
Puoi allegare questa politica ai principali del tuo account. Se un principale con la chiave del tag `project` e il valore del tag `alpha` tenta di visualizzare un gruppo di risorse, anche il gruppo deve essere taggato`project=alpha`. Altrimenti all'utente viene negato l'accesso. La chiave di tag di condizione `project` corrisponde a `Project` e `project` perché i nomi delle chiavi di condizione non effettuano la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente di IAM*.
# Risoluzione dei problemi di AWS Resource Groups identità e accesso
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Resource Groups e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Resource Groups](#security_iam_troubleshoot-permissions-arg-te)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_troubleshoot-passrole)
+ [Voglio consentire a persone esterne al mio AWS account di accedere ai miei Resource Groups](#security_troubleshoot-cross-account)
## Non sono autorizzato a eseguire un'azione in Resource Groups
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L’amministratore è colui che ti ha fornito le credenziali di accesso.
L'errore di esempio seguente si verifica quando l'utente `mateojackson` tenta di utilizzare la console per visualizzare i dettagli su un gruppo ma non dispone `resource-groups:ListGroups` dell'autorizzazione.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: resource-groups:ListGroups on resource: arn:aws:resource-groups::us-west-2:123456789012:group/my-test-group
```
In questo caso, Mateo chiede al suo amministratore di aggiornare le policy per poter accedere alla risorsa `my-test-group` mediante l'operazione `resource-groups:ListGroups`.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo a Resource Groups.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Resource Groups. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne al mio AWS account di accedere ai miei Resource Groups
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Resource Groups supporta queste funzionalità, vedere[Come funziona Resource Groups con IAM](security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.