Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di politiche basate sull'identità (politiche IAM) per i registri CloudWatch
In questo argomento vengono forniti esempi di policy basate su identità in cui un amministratore account può collegare policy di autorizzazione a identità IAM, ovvero utenti, gruppi e ruoli.
**Importante**
Ti consigliamo di consultare innanzitutto gli argomenti introduttivi che spiegano i concetti e le opzioni di base disponibili per gestire l'accesso alle tue risorse Logs. CloudWatch Per ulteriori informazioni, consulta [Panoramica della gestione delle autorizzazioni di accesso alle risorse Logs CloudWatch](iam-access-control-overview-cwl.md).
Questo argomento comprende quanto segue:
+ [Autorizzazioni necessarie per utilizzare la console CloudWatch](#console-permissions-cwl)
+ [AWS politiche gestite (predefinite) per i registri CloudWatch](#managed-policies-cwl)
+ [Esempi di policy gestite dal cliente](#customer-managed-policies-cwl)
Di seguito è riportato un esempio di policy delle autorizzazioni:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
```
------
Questa policy dispone di una dichiarazione che concede autorizzazioni per creare gruppi e flussi di log, caricare eventi di log ai flussi di log ed elencare dettagli relativi ai flussi di log.
Il carattere jolly (\$1) alla fine del valore `Resource` indica che la dichiarazione concede l'autorizzazione per le operazioni `logs:CreateLogGroup`, `logs:CreateLogStream`, `logs:PutLogEvents` e `logs:DescribeLogStreams` su qualsiasi gruppo di log. Per limitare questa autorizzazione a uno specifico gruppo di log, sostituisci il carattere jolly (\$1) nell'ARN della risorsa con l'ARN del gruppo di log specifico. Per ulteriori informazioni sulle sezioni all'interno della dichiarazione di policy IAM, consulta [Riferimento agli elementi di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html) nella *Guida per l'utente di IAM*. Per un elenco che mostra tutte le azioni di CloudWatch Logs, consulta. [CloudWatch Registra il riferimento alle autorizzazioni](permissions-reference-cwl.md)
## Autorizzazioni necessarie per utilizzare la console CloudWatch
Affinché un utente possa utilizzare CloudWatch Logs nella CloudWatch console, deve disporre di un set minimo di autorizzazioni che gli consentano di descrivere AWS le altre risorse del proprio account. AWS Per utilizzare CloudWatch Logs nella CloudWatch console, è necessario disporre delle autorizzazioni dei seguenti servizi:
+ CloudWatch
+ CloudWatch Registri
+ OpenSearch Servizio
+ IAM
+ Kinesis
+ Lambda
+ Simple Storage Service (Amazon S3)
Se decidi di creare una policy IAM più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con tale policy IAM. Per garantire che tali utenti possano continuare a utilizzare la CloudWatch console, allega anche la policy `CloudWatchReadOnlyAccess` gestita all'utente, come descritto in[AWS politiche gestite (predefinite) per i registri CloudWatch](#managed-policies-cwl).
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso l'API AWS CLI o verso l'API CloudWatch Logs.
Il set completo di autorizzazioni necessarie per lavorare con la CloudWatch console per un utente che non utilizza la console per gestire gli abbonamenti ai registri è:
+ cloudwatch: GetMetricData
+ orologio nuvoloso: ListMetrics
+ registri: CancelExportTask
+ registri: CreateExportTask
+ registri: CreateLogGroup
+ registri: CreateLogStream
+ registri: DeleteLogGroup
+ registri: DeleteLogStream
+ registri: DeleteMetricFilter
+ registri: DeleteQueryDefinition
+ registri: DeleteRetentionPolicy
+ registri: DeleteSubscriptionFilter
+ registri: DescribeExportTasks
+ registri: DescribeLogGroups
+ registri: DescribeLogStreams
+ registri: DescribeMetricFilters
+ registri: DescribeQueryDefinitions
+ registri: DescribeQueries
+ registri: DescribeSubscriptionFilters
+ registri: FilterLogEvents
+ registri: GetLogEvents
+ registri: GetLogGroupFields
+ registri: GetLogRecord
+ registri: GetQueryResults
+ registri: PutMetricFilter
+ registri: PutQueryDefinition
+ registri: PutRetentionPolicy
+ registri: StartQuery
+ registri: StopQuery
+ registri: PutSubscriptionFilter
+ registri: TestMetricFilter
Per un utente che intende utilizzare anche la console per gestire le sottoscrizioni ai log, sono necessarie anche le seguenti autorizzazioni:
+ Sì: DescribeElasticsearchDomain
+ Sì: ListDomainNames
+ sono: AttachRolePolicy
+ Io sono: CreateRole
+ Io sono: GetPolicy
+ Io sono: GetPolicyVersion
+ Io sono: GetRole
+ Io sono: ListAttachedRolePolicies
+ Io sono: ListRoles
+ cinesi: DescribeStreams
+ cinesi: ListStreams
+ lambda: AddPermission
+ lambda: CreateFunction
+ lambda: GetFunctionConfiguration
+ lambda: ListAliases
+ lambda: ListFunctions
+ lambda: ListVersionsByFunction
+ lambda: RemovePermission
+ s3: ListBuckets
## AWS politiche gestite (predefinite) per i registri CloudWatch
AWS affronta molti casi d'uso comuni fornendo politiche IAM autonome create e amministrate da. AWS Le policy gestite concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. Per ulteriori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
Le seguenti politiche AWS gestite, che puoi allegare agli utenti e ai ruoli del tuo account, sono specifiche dei CloudWatch log:
+ **CloudWatchLogsFullAccess**— Garantisce l'accesso completo ai registri. CloudWatch
+ **CloudWatchLogsReadOnlyAccess**— Garantisce l'accesso in sola lettura ai registri. CloudWatch
### CloudWatchLogsFullAccess
La **CloudWatchLogsFullAccess**politica garantisce l'accesso completo ai registri. CloudWatch La politica include le `cloudwatch:GenerateQueryResultsSummary` autorizzazioni `cloudwatch:GenerateQuery` e, in modo che gli utenti che la utilizzano possano generare una stringa di query di [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) da un prompt in linguaggio naturale. Per visualizzare il contenuto completo della policy, consulta la *AWS Managed* Policy [CloudWatchLogsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsFullAccess.html)Reference Guide.
### CloudWatchLogsReadOnlyAccess
La **CloudWatchLogsReadOnlyAccess**policy garantisce l'accesso in sola lettura ai log. CloudWatch Include le `cloudwatch:GenerateQueryResultsSummary` autorizzazioni `cloudwatch:GenerateQuery` e, in modo che gli utenti con questo criterio possano generare una stringa di query di [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) da un prompt in linguaggio naturale. Per visualizzare il contenuto completo della policy, consulta la *AWS Managed* Policy [CloudWatchLogsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsReadOnlyAccess.html)Reference Guide.
### CloudWatchOpenSearchDashboardsFullAccess
La **CloudWatchOpenSearchDashboardsFullAccess**policy consente l'accesso per creare, gestire ed eliminare integrazioni con OpenSearch Service e per creare dashboard di eliminazione e gestione dei log venduti in tali integrazioni. Per ulteriori informazioni, consulta [Analizza con Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
*Per visualizzare il contenuto completo della policy, consulta la Managed Policy Reference [CloudWatchOpenSearchDashboardsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardsFullAccess.html)Guide.AWS *
### CloudWatchOpenSearchDashboardAccess
La **CloudWatchOpenSearchDashboardAccess**policy consente l'accesso alla visualizzazione dei dashboard dei registri venduti creati con analisi. Amazon OpenSearch Service Per ulteriori informazioni, consulta [Analizza con Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
**Importante**
Oltre a concedere questa politica, per consentire a un ruolo o a un utente di visualizzare i dashboard dei log venduti, è necessario specificarli anche quando si crea l'integrazione con Service. OpenSearch Per ulteriori informazioni, consulta [Fase 1: Creare l'integrazione con Service OpenSearch](OpenSearch-Dashboards-Integrate.md).
Per visualizzare il contenuto completo della policy, consulta la *AWS Managed* Policy [CloudWatchOpenSearchDashboardAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardAccess.html)Reference Guide.
#### CloudWatchLogsCrossAccountSharingConfiguration
La **CloudWatchLogsCrossAccountSharingConfiguration**politica consente l'accesso alla creazione, alla gestione e alla visualizzazione dei collegamenti di Observability Access Manager per la condivisione delle risorse di CloudWatch Logs tra account. Per maggiori informazioni, consulta la sezione [Osservabilità su più account di CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html).
Per vedere il contenuto completo della politica, consulta la *AWS Managed* Policy [CloudWatchLogsCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsCrossAccountSharingConfiguration.html)Reference Guide.
#### CloudWatchLogsAPIKeyAccesso
La politica di **CloudWatchLogsAPIKeyaccesso** consente l'autenticazione della chiave API CloudWatch Logs e l'inserimento crittografato dei log. Questa politica concede le autorizzazioni per l'autenticazione utilizzando token bearer e la scrittura di eventi di registro in CloudWatch Logs, con AWS KMS autorizzazioni aggiuntive per la decrittografia e la generazione di chiavi di dati quando i log sono crittografati.
La policy concede le seguenti autorizzazioni:
+ `logs`— Consente ai responsabili di autenticarsi tramite token portatori di chiavi API e di scrivere eventi di registro nei flussi di Logs. CloudWatch
+ `kms`— Consente ai responsabili di leggere i metadati AWS KMS chiave, generare chiavi di dati per la crittografia e decrittografare i dati. Queste autorizzazioni supportano CloudWatch i registri crittografati consentendo al servizio di crittografare i dati di registro utilizzando chiavi gestite dal cliente. AWS KMS L'accesso è limitato alle operazioni richiamate tramite il servizio Logs. CloudWatch
Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy JSON, consulta [CloudWatchLogsAPIKeyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html) nella *AWS Managed Policy Reference* Guide.
### CloudWatch Registra gli aggiornamenti delle politiche gestite AWS
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per CloudWatch Logs da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti dei CloudWatch registri.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [CloudWatchLogsAPIKeyAccesso: nuova](#managed-policies-cwl-CloudWatchLogsAPIKeyAccess) politica. | CloudWatch Logs ha aggiunto una nuova policy gestita **CloudWatchLogsAPIKeyAccess**. Questa politica consente l'autenticazione tramite chiave API CloudWatch Logs e l'inserimento crittografato dei log, concedendo le autorizzazioni per l'autenticazione utilizzando token bearer e la scrittura di eventi di registro in Logs. CloudWatch | 17 febbraio 2026 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): aggiorna a una policy esistente. | CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsFullAccess** Sono state aggiunte le autorizzazioni per le azioni di amministrazione dell'osservabilità per consentire l'accesso in sola lettura alle pipeline di telemetria e alle integrazioni di tabelle S3. | 02 dicembre 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): aggiorna a una policy esistente. | CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsReadOnlyAccess** Sono state aggiunte le autorizzazioni per le azioni di amministrazione dell'osservabilità per consentire l'accesso in sola lettura alle pipeline di telemetria e alle integrazioni di tabelle S3. | 02 dicembre 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): aggiorna a una policy esistente. | CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsFullAccess** Le autorizzazioni per `cloudwatch:GenerateQueryResultsSummary` sono state aggiunte per consentire la generazione di un riepilogo in linguaggio naturale dei risultati della query. | 20 maggio 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): aggiorna a una policy esistente. | CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsReadOnlyAccess** Le autorizzazioni per `cloudwatch:GenerateQueryResultsSummary` sono state aggiunte per consentire la generazione di un riepilogo in linguaggio naturale dei risultati della query. | 20 maggio 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): aggiorna a una policy esistente. | CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsFullAccess** Sono state aggiunte le autorizzazioni per Amazon OpenSearch Service e IAM, per consentire l'integrazione di CloudWatch Logs con OpenSearch Service per alcune funzionalità. | 1 dicembre 2024 |
| [CloudWatchOpenSearchDashboardsFullAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess)— Nuova politica IAM. | CloudWatch Logs ha aggiunto una nuova policy IAM, **CloudWatchOpenSearchDashboardsFullAccess**.- Questa policy consente l'accesso per creare, gestire ed eliminare integrazioni con OpenSearch Service e per creare, gestire ed eliminare dashboard di log vendute in tali integrazioni. Per ulteriori informazioni, consulta [Analizza con Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | 1 dicembre 2024 |
| [CloudWatchOpenSearchDashboardAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess)— Nuova policy IAM. | CloudWatch Logs ha aggiunto una nuova policy IAM, **CloudWatchOpenSearchDashboardAccess**.- Questa policy consente l'accesso alla visualizzazione dei dashboard dei log forniti da. Amazon OpenSearch Service Per ulteriori informazioni, consulta [Analizza con Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | 1 dicembre 2024 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): aggiorna a una policy esistente. | CloudWatch Logs ha aggiunto un'autorizzazione a. **CloudWatchLogsFullAccess** L'`cloudwatch:GenerateQuery`autorizzazione è stata aggiunta, in modo che gli utenti con questo criterio possano generare una stringa di query di [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) da un prompt in linguaggio naturale. | 27 novembre 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): aggiorna a una policy esistente. | CloudWatch ha aggiunto un'autorizzazione a. **CloudWatchLogsReadOnlyAccess** L'`cloudwatch:GenerateQuery`autorizzazione è stata aggiunta, in modo che gli utenti con questo criterio possano generare una stringa di query di [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) da un prompt in linguaggio naturale. | 27 novembre 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): aggiornamento di una policy esistente | CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsReadOnlyAccess** Le `logs:StopLiveTail` autorizzazioni `logs:StartLiveTail` e sono state aggiunte in modo che gli utenti con questo criterio possano utilizzare la console per avviare e interrompere le sessioni live tail di CloudWatch Logs. Per ulteriori informazioni, consulta [Use live tail to view logs in near real time](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html). | 6 giugno 2023 |
| [CloudWatchLogsCrossAccountSharingConfiguration](#managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration): nuova policy | CloudWatch Logs ha aggiunto una nuova politica che consente di gestire i link di osservabilità CloudWatch tra account che condividono i gruppi di log di Logs. CloudWatch [Per ulteriori informazioni, consulta osservabilità tra account CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) | 27 novembre 2022 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): aggiornamento di una policy esistente | CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsReadOnlyAccess** Le `oam:ListAttachedLinks` autorizzazioni `oam:ListSinks` e sono state aggiunte in modo che gli utenti con questo criterio possano utilizzare la console per visualizzare i dati condivisi dagli account di origine in CloudWatch modo osservabile tra più account. | 27 novembre 2022 |
### Esempi di policy gestite dal cliente
Puoi creare politiche IAM personalizzate per consentire le autorizzazioni per le azioni e le risorse di CloudWatch Logs. Puoi collegare queste policy personalizzate agli utenti o ai gruppi che richiedono le autorizzazioni.
In questa sezione, puoi trovare esempi di politiche utente che concedono autorizzazioni per varie CloudWatch azioni di Logs. Queste politiche funzionano quando si utilizza l'API CloudWatch Logs o il AWS SDKs. AWS CLI
**Topics**
+ [Esempio 1: consenti l'accesso completo ai registri CloudWatch](#w2aac59c15c15c23c19b9)
+ [Esempio 2: consentire l'accesso in sola lettura ai registri CloudWatch](#w2aac59c15c15c23c19c11)
+ [Esempio 3: consentire l'accesso a un gruppo di log](#w2aac59c15c15c23c19c13)
#### Esempio 1: consenti l'accesso completo ai registri CloudWatch
La seguente politica consente a un utente di accedere a tutte le azioni di CloudWatch Logs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Esempio 2: consentire l'accesso in sola lettura ai registri CloudWatch
AWS fornisce una **CloudWatchLogsReadOnlyAccess**politica che consente l'accesso in sola lettura ai dati dei registri. CloudWatch Questa policy include le seguenti autorizzazioni:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"cloudwatch:GenerateQuery"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Esempio 3: consentire l'accesso a un gruppo di log
La policy seguente consente a un utente di leggere e scrivere eventi di log in un gruppo di log specificato.
**Importante**
I caratteri `:*` alla fine del nome del gruppo di log sulla riga `Resource` sono necessari per indicare che la policy si applica a tutti i flussi di log in questo gruppo di log. Se ometti `:*`, la policy non verrà applicata.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
}
]
}
```
------
### Utilizzo del tagging e delle policy IAM per il controllo a livello di gruppo di log
È possibile concedere agli utenti l'accesso a determinati gruppi di log evitando che accedano ad altri gruppi di log. Per farlo, aggiungere un tag ai gruppi di log e usare policy IAM che fanno riferimento a tali tag. Per applicare i tag a un gruppo di log, è necessario disporre dell'autorizzazione `logs:TagResource` o `logs:TagLogGroup`. Ciò vale sia se si assegnano tag al gruppo di log al momento della creazione, sia se li si assegna successivamente.
Per ulteriori informazioni sull'applicazione di tag ai gruppi di log, consulta [Contrassegna i gruppi di log in Amazon CloudWatch Logs](Working-with-log-groups-and-streams.md#log-group-tagging).
Quando si aggiunge un tag ai gruppi di log, è possibile concedere una policy IAM a un utente per consentire l'accesso solo ai gruppi di log con un determinato tag. Ad esempio, la seguente istruzione di policy garantisce l'accesso solo ai gruppi di log con il valore `Green` per la chiave di tag `Team`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/Team": "Green"
}
}
}
]
}
```
------
Le operazioni **StopQuery**e le **StopLiveTail**API non interagiscono con AWS le risorse nel senso tradizionale. Non restituiscono né inseriscono alcun dato, né modificano una risorsa in alcun modo. Funzionano invece solo su una determinata sessione live tail o su una determinata query di CloudWatch Logs Insights, che non sono classificate come risorse. Di conseguenza, quando per queste operazioni si specifica il campo `Resource` nelle policy IAM, è necessario impostare il valore del campo `Resource` come `*`, analogamente all'esempio di seguito.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[ {
"Effect": "Allow",
"Action": [
"logs:StopQuery",
"logs:StopLiveTail"
],
"Resource": "*"
}
]
}
```
------
Per ulteriori informazioni sull'utilizzo di istruzioni di policy IAM, consulta [Controllo dell'accesso tramite le policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) nella *Guida per l'utente di IAM*.