Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Risoluzione dei problemi di AWS CloudTrail identità e accesso
<a name="security_iam_troubleshoot"></a>

Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con CloudTrail IAM.

**Topics**
+ [Non sono autorizzato a eseguire alcuna azione in CloudTrail](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire `iam:PassRole`](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie CloudTrail risorse](#security_iam_troubleshoot-cross-account-access)
+ [Non sono autorizzato a eseguire `iam:PassRole`](#security_iam_troubleshoot-passrole)
+ [Ricevo un'eccezione `NoManagementAccountSLRExistsException` quando provo a creare un percorso dell'organizzazione o un datastore di eventi](#security_iam_troubleshoot-no-slr)

## Non sono autorizzato a eseguire alcuna azione in CloudTrail
<a name="security_iam_troubleshoot-no-permissions"></a>

Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.

L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `{{my-example-widget}}` fittizia ma non dispone di autorizzazioni `cloudtrail:{{GetWidget}}` fittizie.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:{{GetWidget}} on resource: {{my-example-widget}}
```

In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `{{my-example-widget}}` utilizzando l’azione `cloudtrail:{{GetWidget}}`.

Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.

Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L’amministratore è colui che ti ha fornito le credenziali di accesso.

L'errore di esempio seguente si verifica quando l'utente `mateojackson` IAM tenta di utilizzare la console per visualizzare i dettagli di un percorso ma non dispone della politica CloudTrail gestita appropriata (**AWSCloudTrail\_FullAccess**o **AWSCloudTrail\_ReadOnlyAccess**) o delle autorizzazioni equivalenti applicate al suo account.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetTrailStatus on resource: {{My-Trail}}
```

In questo caso, Mateo chiede al suo amministratore di aggiornare le policy che gli consentono di accedere alle informazioni sul trail e allo stato nella console.

Se accedi con un utente o un ruolo IAM con la policy **AWSCloudTrail\_FullAccess**gestita o le relative autorizzazioni equivalenti e non riesci a configurare AWS Config l'integrazione di Amazon CloudWatch Logs con un trail, potresti non avere le autorizzazioni necessarie per l'integrazione con tali servizi. Per ulteriori informazioni, consultare [Concessione dell'autorizzazione alla visualizzazione delle AWS Config informazioni sulla console CloudTrail](security_iam_id-based-policy-examples.md#grant-aws-config-permissions-for-cloudtrail-users) e [Concessione dell'autorizzazione a visualizzare e configurare le informazioni di Amazon CloudWatch Logs sulla console CloudTrail](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users).

## Non sono autorizzato a eseguire `iam:PassRole`
<a name="security_iam_troubleshoot-passrole"></a>

Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione `iam:PassRole`, le tue policy devono essere aggiornate per poter passare un ruolo a CloudTrail.

Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.

L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` cerca di utilizzare la console per eseguire un'operazione in CloudTrail. Tuttavia, l'operazione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.

Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.

## Voglio consentire a persone esterne a me di accedere Account AWS alle mie CloudTrail risorse
<a name="security_iam_troubleshoot-cross-account-access"></a>

Puoi creare un ruolo e condividere CloudTrail informazioni tra più persone Account AWS. Per ulteriori informazioni, consulta [Condivisione di file di CloudTrail registro tra AWS account](cloudtrail-sharing-logs.md).

È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.

Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se CloudTrail supporta queste funzionalità, consulta. [Come AWS CloudTrail funziona con IAM](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.

## Non sono autorizzato a eseguire `iam:PassRole`
<a name="security_iam_troubleshoot-passrole"></a>

Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione `iam:PassRole`, le tue policy devono essere aggiornate per poter passare un ruolo a CloudTrail.

Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.

L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` cerca di utilizzare la console per eseguire un'operazione in CloudTrail. Tuttavia, l'operazione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.

Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.

## Ricevo un'eccezione `NoManagementAccountSLRExistsException` quando provo a creare un percorso dell'organizzazione o un datastore di eventi
<a name="security_iam_troubleshoot-no-slr"></a>

L'eccezione `NoManagementAccountSLRExistsException` viene generata quando l'account di gestione non ha un ruolo collegato al servizio. 

Quando aggiungi un amministratore delegato utilizzando l'operazione AWS Organizations CLI o API CloudTrail , i ruoli collegati ai servizi non verranno creati automaticamente se non esistono. I ruoli collegati al servizio vengono creati solo quando si effettua una chiamata dall'account di gestione direttamente al servizio. CloudTrail Ad esempio, quando si aggiunge un amministratore delegato o si crea un percorso organizzativo o un data store di eventi utilizzando la CloudTrail console AWS CLI o l' CloudTrail API, viene creato il ruolo collegato al AWSServiceRoleForCloudTrail servizio.

Quando aggiungi un amministratore delegato utilizzando l'operazione AWS CloudTrail; CLI o API CloudTrail , creerà sia AWSServiceRoleForCloudTrail il ruolo che il ruolo collegato al servizio. AWSServiceRoleForCloudTrailEventContext

Quando si utilizza l'account di gestione dell'organizzazione per aggiungere un amministratore delegato o creare un organigramma o un data store di eventi nella CloudTrail console, oppure utilizzando l' CloudTrailAPI AWS CLI o, crea CloudTrail automaticamente il ruolo AWSServiceRoleForCloudTrail collegato ai servizi per l'account di gestione, se questo non esiste già. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per CloudTrail](using-service-linked-roles.md).

Se non hai aggiunto un amministratore delegato, utilizza la CloudTrail console AWS CLI o l' CloudTrail API per aggiungere l'amministratore delegato. Per ulteriori informazioni sull'aggiunta di un amministratore delegato, consulta [Aggiungi un CloudTrail amministratore delegato](cloudtrail-add-delegated-administrator.md) and [RegisterOrganizationDelegatedAdmin](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RegisterOrganizationDelegatedAdmin.html)(API).

Se hai già aggiunto l'amministratore delegato, utilizza l'account di gestione per creare l'organigramma o il data store degli eventi nella CloudTrail console oppure utilizzando l'API AWS CLI o CloudTrail . Per ulteriori informazioni sulla creazione di un percorso organizzativo, consulta [Creazione di un percorso per la tua organizzazione nella console](creating-an-organizational-trail-in-the-console.md)[Creare un percorso per un'organizzazione con il AWS CLI](cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli.md), and [CreateTrail](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateTrail.html)(API).