Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione dell’accesso ad Amazon Q Developer con policy
**Nota**
Le informazioni in questa pagina riguardano l’accesso ad Amazon Q Developer. Per informazioni sulla gestione dell’accesso ad Amazon Q Business, consulta la pagina [Identity-based policy examples for Amazon Q Business](https://docs.aws.amazon.com/amazonq/latest/business-use-dg/security_iam_id-based-policy-examples.html) nella *Guida per l’utente di Amazon Q Business*.
Le politiche e gli esempi in questo argomento sono specifici di Amazon Q nelle Console di gestione AWS applicazioni, AWS Documentation, AWS sito Web e chat. AWS Console Mobile Application Altri servizi integrati con Amazon Q potrebbero richiedere policy o impostazioni diverse. Gli utenti finali di Amazon Q di terze parti non IDEs sono tenuti a utilizzare le policy IAM. Per ulteriori informazioni, consulta la documentazione relativa al servizio che contiene una funzionalità o un’integrazione di Amazon Q.
Per impostazione predefinita, gli utenti e i ruoli non sono autorizzati a utilizzare Amazon Q. Gli amministratori IAM possono gestire l’accesso ad Amazon Q Developer e alle sue funzionalità concedendo le autorizzazioni alle identità IAM.
Il modo più rapido per un amministratore di concedere l'accesso agli utenti è tramite una policy AWS gestita. La policy `AmazonQFullAccess` può essere allegata alle identità IAM per garantire l’accesso completo ad Amazon Q Developer e alle sue funzionalità. Per ulteriori informazioni su questa policy, consulta [AWS politiche gestite per Amazon Q Developer](managed-policy.md).
Per gestire operazioni specifiche che le identità IAM possono eseguire con Amazon Q Developer, gli amministratori possono creare delle policy IAM personalizzate che definiscono le autorizzazioni di cui dispone un utente, un gruppo o un ruolo. Puoi anche utilizzare le policy di controllo del servizio (SCPs) per controllare quali funzionalità di Amazon Q sono disponibili nella tua organizzazione.
Per un elenco di tutte le autorizzazioni di Amazon Q che puoi controllare con le policy, consulta [Riferimento per le autorizzazioni di Amazon Q Developer](security_iam_permissions.md).
**Topics**
+ [Best practice per le policy](#security_iam_policy-best-practices)
+ [Assegnazione delle autorizzazioni](#setting-up-assign-permissions)
+ [Gestisci l'accesso con le politiche di controllo del servizio (SCPs)](#service-control-policies)
+ [Esempi di policy basate sull’identità per Amazon Q Developer](security_iam_id-based-policy-examples.md)
## Best practice per le policy
Le policy basate sull’identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon Q Developer nell’account. Queste operazioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** a utenti e carichi di lavoro, utilizza le *politiche AWS gestite* che concedono le autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Assegnazione delle autorizzazioni
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in: AWS IAM Identity Center
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
## Gestisci l'accesso con le politiche di controllo del servizio (SCPs)
Le politiche di controllo del servizio (SCPs) sono un tipo di politica organizzativa che è possibile utilizzare per gestire le autorizzazioni all'interno dell'organizzazione. Puoi controllare quali funzionalità di Amazon Q Developer sono disponibili nella tua organizzazione creando una policy di controllo dei servizi (SCP) che specifica le autorizzazioni per alcune o tutte le operazioni di Amazon Q.
*Per ulteriori informazioni sull'utilizzo SCPs per controllare l'accesso nell'organizzazione, vedere [Creazione, aggiornamento ed eliminazione delle politiche di controllo del servizio e Allegare e scollegare le politiche di](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html) [controllo del servizio nella Guida](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) per l'utente.AWS Organizations *
### Esempio SCP: negare l’accesso ad Amazon Q al di fuori delle regioni dell’UE
Il seguente SCP nega l’accesso a qualsiasi utilizzo di Amazon Q Developer al di fuori della regione Europa (Francoforte) (eu-central-1).
**Nota**
Il prefisso `codewhisperer` è un nome legacy di un servizio che si è unito ad Amazon Q Developer. Per ulteriori informazioni, consulta [Ridenominazione di Amazon Q Developer - Riepilogo delle modifiche](service-rename.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyAmazonQDeveloperOutsideEU",
"Effect": "Deny",
"Action": [
"codewhisperer:GenerateRecommendations",
"q:SendMessage",
"q:GenerateCodeFromCommands",
"sqlworkbench:GetQSqlRecommendations"
],
"Resource": "*",
"Condition": {
"StringNotEquals":
{"aws:RequestedRegion": [ "eu-central-1"] }
}
}
]
}
```
------
### Esempio SCP: negare l’accesso ad Amazon Q
Il seguente SCP nega l’accesso ad Amazon Q Developer.
**Nota**
Il rifiuto dell'accesso ad Amazon Q non disattiverà l'icona o il pannello di chat di Amazon Q nella AWS console, nel AWS sito Web, nelle pagine di AWS documentazione o AWS Console Mobile Application.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyAmazonQFullAccess",
"Effect": "Deny",
"Action": [
"q:*"
],
"Resource": "*"
}
]
}
```
------