Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Come funziona Resource Groups con IAM
Prima di utilizzare IAM per gestire l'accesso ai Resource Groups, è necessario comprendere quali funzionalità IAM sono disponibili per l'uso con Resource Groups. Per avere una visione di alto livello di come i Resource Groups e gli altri AWS servizi funzionano con IAM, consulta [AWS Services That Work with IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
**Topics**
+ [Politiche basate sull'identità di Resource Groups](#security_iam_service-with-iam-id-based-policies-arg-te)
+ [Policy basate sulle risorse](#security_iam_resource-based-policies)
+ [Autorizzazione basata sui tag Resource Groups](#security_iam_tags)
+ [Ruoli IAM di Resource Groups](#security_iam_roles)
## Politiche basate sull'identità di Resource Groups
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Resource Groups supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento degli elementi delle policy JSON IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le azioni politiche in Resource Groups utilizzano il seguente prefisso prima dell'azione:`resource-groups:`. Le azioni di Tag Editor vengono eseguite interamente nella console, ma hanno il prefisso `resource-explorer` nelle voci di registro.
Ad esempio, per concedere a qualcuno l'autorizzazione a creare un gruppo Resource Groups con l'operazione dell'`CreateGroup`API Resource Groups, includi l'`resource-groups:CreateGroup`azione nella sua politica. Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Resource Groups definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più azioni Resource Groups e Tag Editor in un'unica istruzione, separale con virgole come segue:
```
"Action": [
"resource-groups:action1",
"resource-groups:action2",
"resource-explorer:action3"
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `List`, includi la seguente azione:
```
"Action": "resource-groups:List*"
```
Per visualizzare un elenco delle azioni di Resource Groups, consulta [Actions, Resources and Condition Keys AWS Resource Groups](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) nella *IAM User Guide*.
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
L'unica risorsa Resource Groups è un *gruppo*. La risorsa di gruppo ha un ARN nel formato seguente:
```
arn:${Partition}:resource-groups:${Region}:${Account}:group/${GroupName}
```
Per ulteriori informazioni sul formato di ARNs, consulta [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html).
Ad esempio, per specificare il gruppo di `my-test-group` risorse nell'istruzione, utilizzare il seguente ARN:
```
"Resource": "arn:aws:resource-groups:us-east-1:123456789012:group/my-test-group"
```
Per specificare tutti i gruppi che appartengono a un account specifico, usa il carattere jolly (\$1):
```
"Resource": "arn:aws:resource-groups:us-east-1:123456789012:group/*"
```
Alcune azioni di Resource Groups, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (\$1).
```
"Resource": "*"
```
Alcune azioni dell'API Resource Groups possono coinvolgere più risorse. Ad esempio, `DeleteGroup` elimina i gruppi, quindi un principale chiamante deve disporre delle autorizzazioni per eliminare un gruppo specifico o tutti i gruppi. Per specificare più risorse in un'unica istruzione, separale ARNs con virgole.
```
"Resource": [
"resource1",
"resource2"
]
```
Per visualizzare un elenco dei tipi di risorse Resource Groups e i relativi ARNs tipi di risorse e scoprire con quali azioni è possibile specificare l'ARN di ciascuna risorsa, consulta [Actions, Resources and Condition Keys AWS Resource Groups](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) nella *IAM User Guide*.
### Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Resource Groups definisce il proprio set di chiavi di condizione e supporta anche l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta [AWS Global Condition Context Keys](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *IAM User Guide*.
Per visualizzare un elenco di chiavi di condizione di Resource Groups e scoprire con quali azioni e risorse è possibile utilizzare una chiave di condizione, consulta [Actions, Resources e Condition Keys AWS Resource Groups](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) nella *IAM User Guide*.
### Esempi
Per visualizzare esempi di politiche basate sull'identità di Resource Groups, vedere. [AWS Resource Groups esempi di politiche basate sull'identità](security_iam_id-based-policy-examples.md)
## Policy basate sulle risorse
Resource Groups non supporta le politiche basate sulle risorse.
## Autorizzazione basata sui tag Resource Groups
È possibile allegare tag ai gruppi in Resource Groups o passare i tag in una richiesta a Resource Groups. Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. È possibile applicare tag a un gruppo durante la creazione o l'aggiornamento del gruppo. Per ulteriori informazioni sull'assegnazione di tag a un gruppo in Resource Groups, consulta [Creazione di gruppi basati su query in AWS Resource Groups](gettingstarted-query.md) e [Aggiornamento dei gruppi in AWS Resource Groups](updating-resource-groups.md) in questa guida.
Per visualizzare una policy basata sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta [Visualizzazione dei gruppi in base ai tag](security_iam_id-based-policy-examples.md#security_iam_policy-examples-view-tags).
## Ruoli IAM di Resource Groups
Un [ruolo IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html) è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche. Resource Groups non dispone né utilizza ruoli di servizio.
### Utilizzo di credenziali temporanee con Resource Groups
In Resource Groups, puoi utilizzare credenziali temporanee per accedere con la federazione, assumere un ruolo IAM o assumere un ruolo tra account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come o. [AssumeRole[GetFederationToken](https://docs.aws.amazon.com//STS/latest/APIReference/API_GetFederationToken.html)](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)
### Ruoli collegati ai servizi
[I ruoli collegati ai](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente.
Resource Groups non dispone né utilizza ruoli collegati ai servizi.
### Ruoli dei servizi
Questa funzionalità consente a un servizio di assumere un [ruolo di servizio](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) per conto dell'utente.
Resource Groups non dispone né utilizza ruoli di servizio.