Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Esempi di policy per amministrare le risorse IAM
Di seguito sono riportati gli esempi delle policy IAM che consentono agli utenti di eseguire attività associate alla gestione di utenti, gruppi e credenziali IAM. Queste includono le policy che consentono agli utenti di gestire le proprie password, le chiavi di accesso e i dispositivi per la multi-factor authentication (MFA).
Per esempi di policy che consentono agli utenti di eseguire attività con altri AWS servizi, come Amazon S3, Amazon EC2 e DynamoDB, consulta. [Esempi di policy basate su identità IAM](access_policies_examples.md)
**Topics**
+ [Consentire a un utente di elencare i gruppi, gli utenti e le policy dell'account e altro per scopi di report.](#iampolicy-example-userlistall)
+ [Consentire a un utente di gestire l'appartenenza del gruppo](#iampolicy-example-usermanagegroups)
+ [Consentire a un utente di gestire gli utenti IAM](#creds-policies-users)
+ [Consentire agli utenti di impostare una policy per la password dell'account](#creds-policies-set-password-policy)
+ [Consentire agli utenti di generare e recuperare i report delle credenziali IAM](#iampolicy-generate-credential-report)
+ [Consentire tutte le operazioni IAM (accesso amministratore)](#creds-policies-all-iam)
## Consentire a un utente di elencare i gruppi, gli utenti e le policy dell'account e altro per scopi di report.
La policy seguente consente all'utente di chiamare qualsiasi operazione IAM che inizi con la stringa `Get` o `List` e generare i report. Per visualizzare la policy di esempio, consulta [IAM: consente l'accesso in sola lettura alla console IAM](reference_policies_examples_iam_read-only-console.md).
## Consentire a un utente di gestire l'appartenenza del gruppo
La seguente politica consente all'utente di aggiornare l'appartenenza al gruppo chiamato. *MarketingGroup* Per visualizzare la policy di esempio, consulta [IAM: consente di gestire l'appartenenza di un gruppo a livello di programmazione e nella console](reference_policies_examples_iam_manage-group-membership.md).
## Consentire a un utente di gestire gli utenti IAM
La policy seguente consente a un utente di eseguire tutte le attività associate alla gestione degli utenti IAM ma non di eseguire le operazioni su altre entità, come ad esempio la creazione di gruppi o policy. Le operazioni consentite includono le seguenti:
+ Creazione dell'utente (l'operazione [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html)).
+ Eliminazione dell'utente. Questa operazione richiede le autorizzazioni per eseguire tutte le seguenti operazioni: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html) e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html).
+ Elencare gli utenti nell’account e nei gruppi (le operazioni [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html) e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html)).
+ Elencare e rimuovere le policy per l’utente (le operazioni [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html) e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html))
+ Rinominare o modificare il percorso per l'utente (l'operazione [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html)). L'elemento `Resource` deve includere un ARN che copre sia il percorso di origine sia il percorso di destinazione. Per ulteriori informazioni sui percorsi, consultare la pagina [Nomi descrittivi e percorsi](reference_identifiers.md#identifiers-friendly-names).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUsersToPerformUserActions",
"Effect": "Allow",
"Action": [
"iam:ListPolicies",
"iam:GetPolicy",
"iam:UpdateUser",
"iam:AttachUserPolicy",
"iam:ListEntitiesForPolicy",
"iam:DeleteUserPolicy",
"iam:DeleteUser",
"iam:ListUserPolicies",
"iam:CreateUser",
"iam:RemoveUserFromGroup",
"iam:AddUserToGroup",
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:PutUserPolicy",
"iam:ListAttachedUserPolicies",
"iam:ListUsers",
"iam:GetUser",
"iam:DetachUserPolicy"
],
"Resource": "*"
},
{
"Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard",
"Effect": "Allow",
"Action": [
"iam:GetAccount*",
"iam:ListAccount*"
],
"Resource": "*"
}
]
}
```
------
Un numero di autorizzazioni incluse nella policy precedente consente all'utente di eseguire attività nella Console di gestione AWS. Gli utenti che eseguono attività relative agli utenti solo tramite l'[AWS CLI](https://aws.amazon.com/cli/)API di query HTTP IAM o la IAM potrebbero non aver bisogno di determinate autorizzazioni. [AWS SDKs](https://aws.amazon.com/tools/) Ad esempio, se gli utenti conoscono già l'ARN delle policy per distaccarsi da un utente, non hanno bisogno dell'autorizzazione `iam:ListAttachedUserPolicies`. L'elenco esatto delle autorizzazioni che un utente richiede, dipende dalle attività che l'utente deve eseguire durante la gestione di altri utenti.
I seguenti permessi nella policy consentono l'accesso alle attività dell'utente tramite la Console di gestione AWS:
+ `iam:GetAccount*`
+ `iam:ListAccount*`
## Consentire agli utenti di impostare una policy per la password dell'account
Potresti fornire ad alcuni utenti le autorizzazioni per ottenere e aggiornare la [password policy](id_credentials_passwords_account-policy.md) (policy della password) del tuo Account AWS. Per visualizzare la policy di esempio, consulta [IAM: consente l'impostazione dei requisiti della password dell'account a livello di programmazione e nella console](reference_policies_examples_iam_set-account-pass-policy.md).
## Consentire agli utenti di generare e recuperare i report delle credenziali IAM
Puoi concedere agli utenti il permesso di generare e scaricare un rapporto che elenca tutti gli utenti del tuo. Account AWS Il report elenca inoltre lo stato di varie credenziali utente, tra cui le password, le chiavi di accesso, i dispositivi MFA e i certificati di firma. Per ulteriori informazioni sui report delle credenziali, consultare la pagina [Genera report sulle credenziali per il tuo Account AWS](id_credentials_getting-report.md). Per visualizzare la policy di esempio, consulta [IAM: generazione e recupero di report di credenziali IAM](reference_policies_examples_iam-credential-report.md).
## Consentire tutte le operazioni IAM (accesso amministratore)
È possibile fornire ad alcuni utenti le autorizzazioni amministrative per eseguire tutte le operazioni in IAM, tra cui la gestione delle password, le chiavi di accesso, i dispositivi MFA e i certificati utente. Il seguente esempio di policy concede queste autorizzazioni:
**avvertimento**
Quando concedi a un utente l'accesso completo a IAM, non ci sono limiti alle autorizzazioni che l'utente può concedere a him/herself o ad altri. L'utente può creare nuove entità IAM (utenti o ruoli) e concedere a quelle entità l'accesso completo a tutte le risorse nel tuo Account AWS. Quando concedi a un utente l'accesso completo a IAM, stai concedendo effettivamente l'accesso completo a tutte le risorse nel tuo Account AWS. Questo include l'accesso a eliminare tutte le risorse. Dovresti concedere queste autorizzazioni solo agli amministratori attendibili e dovresti applicare la multi-factor authentication (MFA) per questi amministratori.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "iam:*",
"Resource": "*"
}
}
```
------