Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Policy gestite e policy inline
Quando imposti le autorizzazioni per un'identità in IAM, dovrai scegliere tra una policy gestita da AWS , una policy gestita dal cliente o una policy inline. Gli argomenti seguenti forniscono ulteriori informazioni su ciascuno dei tipi di policy basate sull'identità e su quando utilizzarli.
La tabella seguente descrive queste policy:
| Tipo di policy | Description | Chi gestisce la policy? | Modificare le autorizzazioni? | Numero di principali applicati alla policy? |
| --- | --- | --- | --- | --- |
| [AWS politiche gestite](#aws-managed-policies) | Policy autonoma creata e amministrata da AWS. | AWS | No | Molti |
| [Policy gestite dal cliente](#customer-managed-policies) | Policy che crei per casi d’uso specifici e che puoi modificare e aggiornare tutte le volte che desideri. | Utente corrente | Sì | Molti |
| [Policy inline](#inline-policies) | Policy creata per una singola identità IAM (utente, gruppo o ruolo) che mantiene una stretta one-to-one relazione tra una policy e un'identità. | Utente corrente | Sì | One |
**Topics**
+ [AWS politiche gestite](#aws-managed-policies)
+ [Policy gestite dal cliente](#customer-managed-policies)
+ [Policy inline](#inline-policies)
+ [Scegliere tra policy gestite e policy in linea](access_policies-choosing-managed-or-inline.md)
+ [Convertire una policy in linea in una policy gestita](access_policies-convert-inline-to-managed.md)
+ [Policy gestite obsolete AWS](access_policies_managed-deprecated.md)
## AWS politiche gestite
Una *policy gestita da AWS * è una policy autonoma che viene creata e amministrata da AWS. Una *policy autonoma* è una policy che ha un proprio nome della risorsa Amazon (ARN) che include il nome della policy. Ad esempio, `arn:aws:iam::aws:policy/IAMReadOnlyAccess` è una politica AWS gestita. Per ulteriori informazioni su ARNs, vedere[IAM ARNs](reference_identifiers.md#identifiers-arns). Per un elenco delle politiche AWS gestite per Servizi AWS, consulta [le politiche AWS gestite](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).
AWS le politiche gestite semplificano l'assegnazione delle autorizzazioni appropriate a utenti, gruppi IAM e ruoli. È più veloce della scrittura delle policy in autonomia e include le autorizzazioni per molti casi d'uso comuni.
Non è possibile modificare le autorizzazioni definite nelle AWS politiche gestite. AWS aggiorna occasionalmente le autorizzazioni definite in una politica AWS gestita. In tal caso AWS , l'aggiornamento influisce su tutte le entità principali (utenti IAM, gruppi IAM e ruoli IAM) a cui è associata la policy. AWS è più probabile che aggiorni una policy AWS gestita quando viene lanciato un nuovo AWS servizio o quando diventano disponibili nuove chiamate API per i servizi esistenti. Ad esempio, la policy AWS gestita denominata **ReadOnlyAccess**fornisce l'accesso in sola lettura a tutte Servizi AWS le risorse. Quando AWS avvia un nuovo servizio, AWS aggiorna la **ReadOnlyAccess**politica per aggiungere autorizzazioni di sola lettura per il nuovo servizio. Le autorizzazioni aggiornate vengono applicate a tutte le entità principali a cui la policy è collegata.
*Policy AWS gestite ad accesso completo*: definiscono le autorizzazioni per gli amministratori del servizio concedendo l'accesso completo a un servizio. Gli esempi includono:
+ [AmazonDynamoDBFullAccesso](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDynamoDBFullAccess.html)
+ [IAMFullAccesso](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IAMFullAccess.html)
*Policy AWS gestite dagli utenti esperti*: forniscono l'accesso completo alle risorse Servizi AWS e alle risorse, ma non consentono la gestione di utenti e gruppi IAM. Gli esempi includono:
+ [AWSCodeCommitPowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeCommitPowerUser.html)
+ [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)
*Policy AWS gestite ad accesso parziale*: forniscono livelli di accesso specifici alle autorizzazioni a livello di accesso Servizi AWS senza consentire la gestione [delle autorizzazioni](access_policies_understand-policy-summary-access-level-summaries.md#access_policies_access-level). Gli esempi includono:
+ [AmazonMobileAnalyticsWriteOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMobileAnalyticsWriteOnlyAccess.html)
+ [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)
*Politiche di AWS gestione delle funzioni lavorative*: queste politiche si allineano strettamente alle funzioni lavorative comunemente utilizzate nel settore IT e facilitano la concessione delle autorizzazioni per tali funzioni lavorative. Uno dei principali vantaggi dell'utilizzo delle politiche relative alle funzioni lavorative è che vengono mantenute e aggiornate AWS man mano che vengono introdotti nuovi servizi e operazioni API. Ad esempio, la funzione [AdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html)job fornisce l'accesso completo e la delega delle autorizzazioni a ogni servizio e risorsa in AWS uso. Si consiglia di utilizzare questa policy solo per l'amministratore dell'account. Per gli utenti esperti che richiedono l'accesso completo a tutti i servizi tranne l'accesso limitato a IAM e AWS Organizations, utilizzano la funzione [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html)job. Per un elenco e descrizioni delle policy delle mansioni lavorative, consulta [AWS politiche gestite per le funzioni lavorative](access_policies_job-functions.md).
Il diagramma seguente illustra le politiche AWS gestite. **Il diagramma mostra tre politiche AWS gestite: **AdministratorAccess**PowerUserAccess****, e \$1.AWS CloudTrail ReadOnlyAccess** Si noti che una singola politica AWS gestita può essere associata a entità principali in diverse Account AWS entità principali e a diverse entità principali in un'unica Account AWS entità.
![\[Diagramma delle politiche AWS gestite\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-aws-managed-policies.diagram.png)
## Policy gestite dal cliente
Puoi creare policy autonome personalizzate Account AWS da collegare alle entità principali (utenti IAM, gruppi IAM e ruoli IAM). Puoi creare queste *policy gestite dal cliente* per i tuoi casi d'uso specifici e modificarle e aggiornarle tutte le volte che desideri. AWS Analogamente alle politiche gestite, quando si allega una politica a un'entità principale, si assegnano all'entità le autorizzazioni definite nella policy. Quando le autorizzazioni della policy vengono aggiornate, le modifiche vengono applicate a tutte le entità principali a cui è collegata la policy.
Un ottimo modo per creare una policy gestita dal cliente è iniziare copiando una policy gestita da AWS esistente. In questo modo è possibile assicurarsi che la policy sia corretta come base ed è sufficiente personalizzarla per il proprio ambiente.
Il diagramma seguente illustra le policy gestite dal cliente. Ogni policy è un'entità in IAM con un proprio [Amazon Resource Name (ARN)](reference_identifiers.md#identifiers-arns) che include il nome della policy. Si noti che la stessa policy può essere collegata a più entità principali, ad esempio, la stessa policy **DynamoDB-books-app** è collegata a due diversi ruoli IAM.
Per ulteriori informazioni, consulta [Definire le autorizzazioni IAM personalizzate con policy gestite dal cliente](access_policies_create.md)
![\[Diagramma delle policy gestite dal cliente\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-customer-managed-policies.diagram.png)
## Policy inline
Una policy in linea è una policy creata per una singola identità IAM (utente, gruppo di utenti o ruolo). Le politiche in linea mantengono una stretta one-to-one relazione tra una politica e un'identità. Vengono eliminate quando elimini l'identità. È possibile creare una policy e incorporarla in un'identità, sia quando si crea l'identità sia in un secondo momento. Se una policy può essere applicata a più di un'entità, è meglio utilizzare una policy gestita.
Il diagramma seguente illustra le policy inline. Ogni policy è parte integrante dell'utente, gruppo o ruolo. Si noti che i due ruoli includono la stessa policy (la policy **DynamoDB-books-app**), ma non condividono una singola policy. Ogni ruolo dispone di una propria copia della policy.
![\[Diagramma delle policy inline\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-inline-policies.diagram.png)
# Scegliere tra policy gestite e policy in linea
Al momento di scegliere tra policy gestite e policy inline, prendi in considerazione i casi d'uso. Nella maggior parte dei casi, si consiglia di usare le policy gestite anziché le policy inline.
**Nota**
È possibile utilizzare insieme le policy gestite e policy inline per definire autorizzazioni comuni e univoche per un'entità principale.
Le policy gestite offrono le seguenti caratteristiche:
**Riutilizzo**
Una singola policy gestita può essere collegata a più entità principali (utenti, gruppi e ruoli). È possibile creare una libreria di politiche che definiscono le autorizzazioni utili per l'utente Account AWS e quindi allegarle alle entità principali in base alle esigenze.
**Gestione centralizzata delle modifiche**
Quando si modifica una policy gestita, la modifica viene applicata a tutte le entità principali a cui la policy è collegata. Ad esempio, se desideri aggiungere l'autorizzazione per una nuova AWS API, puoi aggiornare una politica gestita dal cliente o associare una politica AWS gestita per aggiungere l'autorizzazione. Se utilizzi una policy AWS gestita, AWS aggiorna la policy. Quando una policy gestita viene aggiornata, le modifiche vengono applicate a tutte le entità principali a cui è collegata la policy gestita. Al contrario, per modificare una policy in linea, è necessario modificare singolarmente ciascuna identità che contiene la policy in linea. Ad esempio, se un gruppo e un ruolo contengono la stessa policy inline, è necessario modificare individualmente entrambe le entità principali per modificare tale policy.
**Controllo delle versioni e rollback**
Quando si modifica una policy gestita dal cliente, la policy modificata non sovrascriverà la policy esistente. IAM crea invece una nuova versione della policy gestita. IAM memorizza fino a cinque versioni di una policy gestita dal cliente. È possibile utilizzare le versioni della policy per ripristinare una policy a una versione precedente, se necessario.
Una versione di policy è diversa da un elemento `Version` della policy. L'elemento di policy `Version` viene utilizzato all'interno di una policy e definisce la versione del linguaggio di policy. Per ulteriori informazioni sulle versioni di policy, consultare [Controllo delle versioni delle policy IAM](access_policies_managed-versioning.md). Per ulteriori informazioni sull'elemento di policy `Version`, consultare [Elementi delle policy JSON IAM: Version](reference_policies_elements_version.md).
**Delega della gestione delle autorizzazioni**
Puoi consentire agli utenti della tua azienda Account AWS di allegare e scollegare le politiche mantenendo il controllo sulle autorizzazioni definite in tali politiche. A tale scopo, è possibile designare alcuni utenti come amministratori completi, ossia amministratori che possono creare, aggiornare ed eliminare le policy. È quindi possibile designare altri utenti come amministratori limitati. Tali amministratori limitati possono collegare delle policy ad altre entità principali, ma solo nel caso delle policy per le quali sono stati autorizzati.
Per ulteriori informazioni sulla delega della gestione delle autorizzazioni, consultare [Controllo dell'accesso alle policy](access_controlling.md#access_controlling-policies).
**Limiti di caratteri per le policy più grandi**
Il limite massimo di caratteri per le policy gestite è maggiore del limite di caratteri per le policy in linea del gruppo. Se raggiungi il limite di dimensione dei caratteri della policy in linea, puoi creare altri gruppi IAM e collegare la policy gestita al gruppo.
Per ulteriori informazioni su quote e limiti, consulta [IAM e AWS STS quote](reference_iam-quotas.md).
**Aggiornamenti automatici per AWS le politiche gestite**
AWS mantiene le politiche AWS gestite e le aggiorna quando necessario, ad esempio per aggiungere autorizzazioni per nuovi AWS servizi, senza che l'utente debba apportare modifiche. Gli aggiornamenti vengono applicati automaticamente alle principali entità a cui è stata allegata la politica AWS gestita.
## Nozioni di base sulle policy gestite
Consigliamo di utilizzare le policy che [concedono il privilegio minimo](access_policies.md#grant-least-priv) o che concedono solo le autorizzazioni richieste per eseguire un processo. Il modo più sicuro per concedere il privilegio minimo consiste nello scrivere una policy gestita dal cliente solo con le autorizzazioni necessarie al team. È necessario creare un processo per consentire al team di richiedere ulteriori autorizzazioni quando necessario. La [creazione di policy gestite dai clienti IAM](access_policies_create-console.md) che forniscono al team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza.
Per iniziare ad aggiungere autorizzazioni alle tue identità IAM (utenti, gruppi di utenti e ruoli), puoi utilizzare. [AWS politiche gestite](access_policies_managed-vs-inline.md#aws-managed-policies) AWS le politiche gestite non concedono i permessi con il privilegio minimo. Considera il rischio per la sicurezza di concedere ai principali più autorizzazioni di quelle necessarie per svolgere il proprio lavoro.
Puoi allegare policy AWS gestite, incluse le funzioni lavorative, a qualsiasi identità IAM. Per ulteriori informazioni, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](access_policies_manage-attach-detach.md).
Per passare alle autorizzazioni con privilegi minimi, puoi eseguire AWS Identity and Access Management Access Analyzer per monitorare i principali con policy gestite. AWS Dopo aver appreso quali autorizzazioni stanno utilizzando, puoi scrivere o generare una policy gestita dal cliente che contenga soltanto le autorizzazioni richieste per il team. È meno sicuro, ma offre maggiore flessibilità man mano che impari a utilizzare il tuo team. AWS Per ulteriori informazioni, consulta [Generazione di policy per Sistema di analisi degli accessi IAM](access-analyzer-policy-generation.md).
AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni. Per ulteriori informazioni sulle politiche AWS gestite progettate per funzioni lavorative specifiche, vedere[AWS politiche gestite per le funzioni lavorative](access_policies_job-functions.md).
Per un elenco delle politiche AWS gestite, consulta la [AWS Managed Policy Reference Guide](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## Utilizzo delle policy inline
Le policy in linea sono utili se si desidera mantenere una stretta one-to-one relazione tra una policy e l'identità a cui viene applicata. Ad esempio, se si desidera essere certi che le autorizzazioni di una policy non vengano inavvertitamente assegnate a un'identità diversa da quella per la quale sono state concepite. Quando si utilizza una policy inline, le autorizzazioni della policy non possono essere collegate inavvertitamente a un'identità errata. Inoltre, quando si utilizza il Console di gestione AWS per eliminare tale identità, vengono eliminate anche le politiche incorporate nell'identità perché fanno parte dell'entità principale.
# Convertire una policy in linea in una policy gestita
Se disponi di policy inline nell'account, puoi convertirle in policy gestite. A tale scopo, copia la policy in una nuova policy gestita, collega la nuova policy all'identità che ha la policy inline, quindi elimina la policy inline.
## Conversione di una policy inline in una policy gestita
**Per convertire una policy inline in una policy gestita**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione scegli **Gruppi di utenti**, **Utenti** o **Ruoli**.
1. Nell'elenco, scegli il nome del gruppo di utenti, dell'utente o del ruolo con la policy da rimuovere.
1. Scegli la scheda **Autorizzazioni**.
1. Per i gruppi IAM, seleziona il nome della policy in linea che desideri rimuovere. Per utenti e ruoli, scegli **Mostra *n* altro**, se necessario, quindi espandi la policy in linea che desideri rimuovere.
1. Scegli **Copia** per copiare il documento della policy in formato JSON.
1. Nel riquadro di navigazione, scegli **Policy**.
1. Seleziona **Crea policy**, quindi scegli l'opzione **JSON**.
1. Sostituisci il testo esistente con il testo della policy JSON, quindi scegli **Verifica policy**.
1. Immetti un nome e una descrizione facoltativa per la policy, quindi scegli **Crea policy**.
1. Nel pannello di navigazione, scegli **Gruppi di utenti**, **Utenti** o **Ruoli** e scegli di nuovo il nome del gruppo di utenti, dell'utente o del ruolo con la policy da rimuovere.
1. Seleziona la scheda **Autorizzazioni** e scegli **Aggiungi autorizzazioni**.
1. Per i gruppi IAM, seleziona la casella di controllo accanto al nome della nuova policy, seleziona **Aggiungi autorizzazioni**, quindi scegli **Collega policy**. Per gli utenti o i ruoli, scegliere **Add permissions (Aggiungi autorizzazioni)**. Nella pagina successiva, scegli **Collega direttamente policy esistenti**, seleziona la casella di controllo accanto al nome della nuova policy, scegli **Successivo**, quindi seleziona **Aggiungi autorizzazioni**.
Sarai riportato alla pagina **Riepilogo** per l'utente, il gruppo di utenti o il ruolo.
1. Seleziona la casella di controllo accanto alla policy in linea che desideri rimuovere, quindi scegli **Rimuovi**.
# Policy gestite obsolete AWS
Per semplificare l'assegnazione delle autorizzazioni, AWS fornisce [policy gestite](access_policies_managed-vs-inline.md), ossia policy predefinite pronte per essere associate agli utenti, ai gruppi e ai ruoli IAM.
A volte è AWS necessario aggiungere una nuova autorizzazione a una politica esistente, ad esempio quando viene introdotto un nuovo servizio. L'aggiunta di una nuova autorizzazione a una policy esistente non disturba o rimuove qualsiasi caratteristica o possibilità.
Tuttavia, AWS potrebbe scegliere di creare una *nuova* politica quando le modifiche necessarie potrebbero avere un impatto sui clienti se applicate a una politica esistente. Ad esempio, la rimozione delle autorizzazioni da una policy esistente potrebbe violare le autorizzazioni di qualsiasi entità o applicazione IAM dalla quale dipendeva, disturbando potenzialmente un'operazione critica.
Pertanto, quando è necessaria una tale modifica, AWS crea una politica completamente nuova con le modifiche richieste e la mette a disposizione dei clienti. La policy vecchia viene contrassegnata come *obsoleta*. Per ulteriori informazioni, consulta le [policy AWS gestite obsolete nella AWS Managed](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/about-managed-policy-reference.html#deprecated-managed-policies) *Policy* Reference Guide.