Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Aggiornamento di una policy di attendibilità del ruolo
Per cambiare l'utente che può assumere un ruolo, modifica la policy di affidabilità del ruolo. Non puoi modificare la policy di attendibilità per un *[ruolo collegato al servizio](id_roles.md#iam-term-service-linked-role)*.
**Note**
Se un utente viene elencato come principale in una policy di attendibilità del ruolo ma non può assumere il ruolo, controlla il [limite delle autorizzazioni](access_policies_boundaries.md) dell'utente. Se è impostato un limite delle autorizzazioni per l'utente, questo deve consentire l'operazione `sts:AssumeRole`.
Per consentire agli utenti di assumere nuovamente il ruolo corrente all'interno di una sessione di ruolo, specificare il ruolo ARN o Account AWS ARN come principale nella politica di attendibilità dei ruoli. Servizi AWS che forniscono risorse di elaborazione come Amazon EC2, Amazon ECS, Amazon EKS e Lambda forniscono credenziali temporanee e aggiornano automaticamente tali credenziali. Ciò garantisce di disporre sempre di un set di credenziali valido. Per questi servizi, non è necessario riassumere il ruolo attuale per ottenere credenziali temporanee. Tuttavia, se intendi passare [tag di sessione](id_session-tags.md) o una [Policy di sessione](access_policies.md#policies_session), devi riassumere il ruolo attuale.
## Aggiornamento di una policy di attendibilità del ruolo (console)
**Per modificare una politica di fiducia nei ruoli in Console di gestione AWS**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione della console IAM seleziona **Ruoli**.
1. Nell'elenco di ruoli dell'account selezionare il nome del ruolo da modificare.
1. Scegli la scheda **Relazioni di attendibilità** e quindi **Modifica policy di attendibilità**.
1. Modificare la policy di affidabilità in base alle esigenze. Per aggiungere ulteriori entità principali che possono assumere il ruolo, specificarle nell'elemento `Principal`. Ad esempio, il seguente frammento di policy mostra come fare riferimento a due Account AWS nell'`Principal`elemento:
```
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
```
Se specifichi un'entità principale in un altro account, l'aggiunta di un account alla policy di attendibilità di un ruolo è solo una parte della creazione della relazione di trust tra più account. Per impostazione predefinita, gli utenti negli account attendibili non possono assumere il ruolo. L'amministratore del nuovo account attendibile deve concedere agli utenti l'autorizzazione ad assumere il ruolo. A tale scopo, l'amministratore deve creare o modificare una policy collegata all'utente per consentire all'utente di accedere all'operazione `sts:AssumeRole`. Per ulteriori informazioni, consultare la procedura seguente o [Concedere le autorizzazioni agli utenti per cambiare ruoli](id_roles_use_permissions-to-switch.md).
Il seguente frammento di policy mostra come fare riferimento a due AWS servizi nell'elemento: `Principal`
```
"Principal": {
"Service": [
"opsworks.amazonaws.com",
"ec2.amazonaws.com"
]
},
```
1. Una volta completata la modifica della policy di attendibilità, scegli **Update policy** (Aggiorna policy) per salvare le modifiche.
Per ulteriori informazioni sulla sintassi e sulla struttura della policy, consultare [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md) e [Documentazione di riferimento degli elementi delle policy JSON IAM](reference_policies_elements.md).
**Per permettere agli utenti in un account esterno attendibile di usare il ruolo (console)**
Per ulteriori informazioni e dettagli su questa procedura, consultare [Concedere le autorizzazioni agli utenti per cambiare ruoli](id_roles_use_permissions-to-switch.md).
1. Accedi a un sito esterno affidabile. Account AWS
1. Stabilire se collegare le autorizzazioni a un utente o a un gruppo. Nel riquadro di navigazione della console IAM, scegli **Users** (Utenti) o **User groups** (Gruppi di utenti) in base alle esigenze.
1. Scegliere il nome dell'utente o del gruppo a cui si desidera concedere l'accesso e selezionare la scheda **Permissions (Autorizzazioni)**.
1. Esegui una delle seguenti operazioni:
+ Per modificare una policy gestita dal cliente, selezionare il nome della policy, **Edit policy (Modifica policy)** e la scheda **JSON**. Non è possibile modificare una politica AWS gestita. AWS le politiche gestite vengono visualizzate con l' AWS icona (![\[Orange cube icon indicating a policy is managed by AWS.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policy_icon.png)). Per ulteriori informazioni sulle differenze tra le policy gestite da AWS e quelle gestite dal cliente, consultare [Policy gestite e policy inline](access_policies_managed-vs-inline.md).
+ Per modificare una policy inline, selezionare la freccia accanto al nome della policy e scegliere **Edit policy (Modifica policy)**.
1. Nell'editor di policy aggiungere un nuovo elemento `Statement` che specifica quanto segue:
```
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::ACCOUNT-ID:role/ROLE-NAME"
}
```
Sostituire l'ARN nell'istruzione con l'ARN del ruolo che l'utente può assumere.
1. Seguire le indicazioni sullo schermo per completare la modifica della policy.
## Aggiornamento di una policy di attendibilità del ruolo (AWS CLI)
È possibile utilizzare il AWS CLI per modificare chi può assumere un ruolo.
**Per modificare una policy di attendibilità del ruolo (AWS CLI)**
1. (Facoltativo) Se non si conosce il nome del ruolo da modificare, eseguire il comando seguente per elencare i ruoli nell'account:
+ [aws iam list-roles](https://docs.aws.amazon.com/cli/latest/reference/iam/list-roles.html)
1. (Facoltativo) Per visualizzare la policy di affidabilità corrente per un ruolo, eseguire il comando seguente:
+ [aws iam get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)
1. Per modificare le entità principali attendibili che possono accedere al ruolo, creare un file di testo con la policy di affidabilità aggiornata. È possibile usare qualsiasi editor di testo per creare la policy.
Ad esempio, la policy di attendibilità seguente illustra come fare riferimento a due Account AWS nell'elemento `Principal`. Ciò consente agli utenti di due persone separate Account AWS di assumere questo ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]},
"Action": "sts:AssumeRole"
}
}
```
------
Se specifichi un'entità principale in un altro account, l'aggiunta di un account alla policy di attendibilità di un ruolo è solo una parte della creazione della relazione di trust tra più account. Per impostazione predefinita, gli utenti negli account attendibili non possono assumere il ruolo. L'amministratore del nuovo account attendibile deve concedere agli utenti l'autorizzazione ad assumere il ruolo. A tale scopo, l'amministratore deve creare o modificare una policy collegata all'utente per consentire all'utente di accedere all'operazione `sts:AssumeRole`. Per ulteriori informazioni, consultare la procedura seguente o [Concedere le autorizzazioni agli utenti per cambiare ruoli](id_roles_use_permissions-to-switch.md).
1. Per utilizzare il file creato per aggiornare la policy di attendibilità, eseguire il comando seguente:
+ [era io update-assume-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/update-assume-role-policy.html)
**Per permettere agli utenti in un account esterno attendibile di usare il ruolo (AWS CLI)**
Per ulteriori informazioni e dettagli su questa procedura, consultare [Concedere le autorizzazioni agli utenti per cambiare ruoli](id_roles_use_permissions-to-switch.md).
1. Creare un file JSON contenente una policy di autorizzazione che concede le autorizzazioni ad assumere il ruolo. La policy seguente contiene ad esempio le autorizzazioni minime necessarie:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/ROLE-NAME"
}
}
```
------
Sostituire l'ARN nell'istruzione con l'ARN del ruolo che l'utente può assumere.
1. Esegui il comando seguente per caricare il file JSON contenente la policy di attendibilità in IAM:
+ [aws iam create-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy.html)
L'output di questo comando include l'ARN della policy. Prendere nota di questo ARN, perché sarà necessario in una fase successiva.
1. Stabilire a quale utente o gruppo collegare la policy. Se non si conosce il nome dell'utente o del gruppo desiderato, usare uno dei comandi seguenti per elencare gli utenti o i gruppi nell'account:
+ [aws iam list-users](https://docs.aws.amazon.com/cli/latest/reference/iam/list-users.html)
+ [aws iam list-groups](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups.html)
1. Usare uno dei comandi seguenti per collegare la policy creata nel passaggio precedente all'utente o al gruppo:
+ [era io attach-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html)
+ [era io attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
## Aggiornamento di una policy di fiducia dei ruoli (AWS API)
Puoi utilizzare l' AWS API per modificare chi può assumere un ruolo.
**Per modificare una politica di fiducia (AWS API) del ruolo**
1. (Facoltativo) Se non si conosce il nome del ruolo che si desidera modificare, chiamare l'operazione seguente per elencare i ruoli nell'account:
+ [ListRoles](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRoles.html)
1. (Facoltativo) Per visualizzare la policy di affidabilità corrente per un ruolo, chiamare l'operazione seguente:
+ [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
1. Per modificare le entità principali attendibili che possono accedere al ruolo, creare un file di testo con la policy di affidabilità aggiornata. È possibile usare qualsiasi editor di testo per creare la policy.
Ad esempio, la policy di attendibilità seguente illustra come fare riferimento a due Account AWS nell'elemento `Principal`. Ciò consente agli utenti di due persone separate Account AWS di assumere questo ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]},
"Action": "sts:AssumeRole"
}
}
```
------
Se specifichi un'entità principale in un altro account, l'aggiunta di un account alla policy di attendibilità di un ruolo è solo una parte della creazione della relazione di trust tra più account. Per impostazione predefinita, gli utenti negli account attendibili non possono assumere il ruolo. L'amministratore del nuovo account attendibile deve concedere agli utenti l'autorizzazione ad assumere il ruolo. A tale scopo, l'amministratore deve creare o modificare una policy collegata all'utente per consentire all'utente di accedere all'operazione `sts:AssumeRole`. Per ulteriori informazioni, consultare la procedura seguente o [Concedere le autorizzazioni agli utenti per cambiare ruoli](id_roles_use_permissions-to-switch.md).
1. Per utilizzare il file creato per aggiornare la policy di attendibilità, chiamare l'operazione seguente:
+ [UpdateAssumeRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAssumeRolePolicy.html)
**Per consentire agli utenti di un account esterno affidabile di utilizzare il ruolo (AWS API)**
Per ulteriori informazioni e dettagli su questa procedura, consultare [Concedere le autorizzazioni agli utenti per cambiare ruoli](id_roles_use_permissions-to-switch.md).
1. Creare un file JSON contenente una policy di autorizzazione che concede le autorizzazioni ad assumere il ruolo. La policy seguente contiene ad esempio le autorizzazioni minime necessarie:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/ROLE-NAME"
}
}
```
------
Sostituire l'ARN nell'istruzione con l'ARN del ruolo che l'utente può assumere.
1. Chiama l'operazione seguente per caricare il file JSON contenente la policy di attendibilità in IAM:
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html)
L'output di questa operazione include l'ARN della policy. Prendere nota di questo ARN, perché sarà necessario in una fase successiva.
1. Stabilire a quale utente o gruppo collegare la policy. Se non si conosce il nome dell'utente o del gruppo desiderato, chiamare una delle operazioni seguenti per elencare gli utenti o i gruppi nell'account:
+ [ListUsers](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html)
+ [ListGroups](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroups.html)
1. Chiamare una delle operazioni seguenti per collegare la policy creata nel passaggio precedente all'utente o al gruppo:
+ API: [AttachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachUserPolicy.html)
+ [AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)