Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestisci l'accesso alle risorse
La *policy delle autorizzazioni* descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.
**Nota**
Questa sezione illustra l'utilizzo di IAM nel contesto di AWS Control Tower. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta [Che cos'è IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) nella *Guida per l'utente di IAM*. Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consulta [Riferimento alle policy IAM di AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.
Le politiche associate a un'identità IAM sono denominate politiche *basate sull'identità (politiche IAM*). Le policy collegate a una risorsa vengono definite *policy basate sulle risorse*.
**Nota**
AWS Control Tower supporta solo policy basate sull'identità (policy IAM).
**Topics**
+ [Informazioni sulle politiche basate sull'identità (politiche IAM)](#access-control-manage-access-intro-iam-policies)
+ [Crea ruoli e assegna autorizzazioni](assign-permissions.md)
+ [Policy basate sulle risorse](#access-control-manage-access-intro-resource-policies)
## Informazioni sulle politiche basate sull'identità (politiche IAM)
Puoi collegare le policy alle identità IAM. Ad esempio, puoi eseguire le operazioni seguenti:
+ **Associa una policy di autorizzazioni a un utente o a un gruppo nel tuo account** — Per concedere a un utente le autorizzazioni per creare una risorsa AWS Control Tower, come la configurazione di una landing zone, puoi allegare una policy di autorizzazione a un utente o gruppo a cui appartiene l'utente.
+ **Collega una policy di autorizzazione a un ruolo (assegnazione di autorizzazioni tra account)**: per concedere autorizzazioni tra più account, è possibile collegare una policy di autorizzazione basata su identità a un ruolo IAM. Ad esempio, un amministratore di un AWS account (*Account A*) può creare un ruolo che concede autorizzazioni su più account a un altro AWS *account (Account B*) oppure l'amministratore può creare un ruolo che concede autorizzazioni a un altro AWS servizio.
1. L'amministratore dell'Account A crea un ruolo IAM e attribuisce una politica di autorizzazioni al ruolo che concede le autorizzazioni per gestire le risorse nell'Account A.
1. L'amministratore dell'account A attribuisce una politica di fiducia al ruolo. La politica identifica l'Account B come il principale che può assumere il ruolo.
1. In qualità di principale, l'amministratore dell'Account B può concedere a qualsiasi utente dell'Account B il permesso di assumere il ruolo. Assumendo il ruolo, gli utenti dell'Account B possono creare o accedere alle risorse dell'Account A.
1. Per concedere a un AWS servizio la capacità (autorizzazioni) di assumere il ruolo, il principale specificato nella politica di fiducia può essere un AWS servizio.
# Crea ruoli e assegna autorizzazioni
I ruoli e le autorizzazioni consentono di accedere alle risorse, in AWS Control Tower e in altri AWS servizi, incluso l'accesso programmatico alle risorse.
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in: AWS IAM Identity Center
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
Per ulteriori informazioni sull'uso di IAM per delegare le autorizzazioni, consulta [Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) nella *IAM User Guide* (Guida per l'utente di IAM).
**Nota**
Quando configuri una landing zone di AWS Control Tower, avrai bisogno di un utente o di un ruolo con la policy **AdministratorAccess**gestita. (arn:aws:iam: :aws:policy/) AdministratorAccess
**Creare un ruolo per una (console IAM) Servizio AWS**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione della console IAM, scegliere **Ruoli** e quindi **Crea ruolo**.
1. Per **Tipo di entità attendibile**, seleziona **Servizio AWS**.
1. Per **Servizio o caso d'uso**, scegli un servizio, quindi scegli il caso d'uso. I casi d'uso sono definiti dal servizio per includere la policy di fiducia richiesta dal servizio.
1. Scegli **Next (Successivo)**.
1. Per **Policy di autorizzazione**, le opzioni dipendono dal caso d'uso selezionato:
+ Se il servizio definisce le autorizzazioni per il ruolo, le policy di autorizzazioni non possono essere selezionate.
+ Seleziona una policy da un set limitato di policy di autorizzazione.
+ Seleziona una policy tra tutte le policy di autorizzazione.
+ Non selezionare policy di autorizzazioni, crea le policy dopo la creazione del ruolo e quindi collegale al ruolo.
1. (Facoltativo) Impostare un [limite delle autorizzazioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Questa è una funzionalità avanzata disponibile per i ruoli di servizio, ma non per i ruoli collegati ai servizi.
1. Apri la sezione **Imposta limite delle autorizzazioni** e seleziona **Usa un limite delle autorizzazioni per controllare il numero massimo di autorizzazioni del ruolo**.
IAM include un elenco delle politiche AWS gestite e gestite dal cliente nel tuo account.
1. Selezionare la policy da utilizzare per il limite delle autorizzazioni.
1. Scegli **Next (Successivo)**.
1. Per **Nome del ruolo**, le opzioni dipendono dal servizio:
+ Se il servizio definisce il nome del ruolo, non puoi modificarlo.
+ Se il servizio definisce un prefisso per il nome del ruolo, puoi inserire un suffisso facoltativo.
+ Se il servizio non definisce il nome del ruolo, puoi assegnare un nome al ruolo.
**Importante**
Quando assegni un nome a un ruolo, tieni presente quanto segue:
I nomi dei ruoli devono essere univoci all'interno del tuo Account AWS account e non possono essere resi unici per caso.
Ad esempio, non creare ruoli denominati **PRODROLE** e **prodrole**. Quando il nome di un ruolo viene utilizzato in una policy o come parte di un ARN, il nome del ruolo fa distinzione tra maiuscole e minuscole, tuttavia quando un nome di ruolo viene visualizzato ai clienti nella console, ad esempio durante il processo di accesso, il nome del ruolo non fa distinzione tra maiuscole e minuscole.
Non è possibile modificare il nome del ruolo dopo averlo creato, in quanto altre entità possono fare riferimento al ruolo.
1. (Facoltativo) In **Descrizione**, inserisci una descrizione per il ruolo.
1. (Facoltativo) Per modificare i casi d'uso e le autorizzazioni per il ruolo, in **Fase 1: seleziona le entità attendibili** o **Fase 2: aggiungi autorizzazioni** seleziona **Modifica**.
1. (Facoltativo) Per facilitare l'identificazione, l'organizzazione o la ricerca del ruolo, aggiungi i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag in IAM, consulta [Tags for AWS Identity and Access Management resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) nella *IAM User Guide*.
1. Verificare il ruolo e quindi scegliere **Create role (Crea ruolo)**.
**Come utilizzare l'editor di policy JSON per creare una policy**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**.
Se è la prima volta che selezioni **Policy**, verrà visualizzata la pagina **Benvenuto nelle policy gestite**. Seleziona **Inizia**.
1. Nella parte superiore della pagina, scegli **Crea policy**.
1. Nella sezione **Editor di policy**, scegli l'opzione **JSON**.
1. Immettere o incollare un documento di policy JSON. Per dettagli sul linguaggio della policy IAM, consulta la [Documentazione di riferimento delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html).
1. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la [convalida delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html), quindi scegli **Next** (Successivo).
**Nota**
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) nella *Guida per l'utente di IAM*.
1. (Facoltativo) Quando crei o modifichi una policy in Console di gestione AWS, puoi generare un modello di policy JSON o YAML da utilizzare nei modelli. CloudFormation
**Per fare ciò, nell'**editor delle politiche** scegli **Azioni**, quindi scegli Genera modello. CloudFormation** Per ulteriori informazioni CloudFormation, consulta il [riferimento al tipo di AWS Identity and Access Management risorsa](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) nella *Guida AWS CloudFormation per l'utente*.
1. Una volta terminata l'aggiunta delle autorizzazioni alla policy, scegli **Successivo**.
1. Nella pagina **Rivedi e crea**, immettere un valore in **Nome policy** e **Descrizione** (facoltativo) per la policy in fase di creazione. Rivedi **Autorizzazioni definite in questa policy** per visualizzare le autorizzazioni concesse dalla policy.
1. (Facoltativo) Aggiungere metadati alla policy collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag in IAM, consulta [Tags for AWS Identity and Access Management resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) in the *IAM User Guide*.
1. Seleziona **Crea policy** per salvare la nuova policy.
**Per utilizzare l'editor visivo per creare una policy.**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**.
Se è la prima volta che selezioni **Policy**, verrà visualizzata la pagina **Benvenuto nelle policy gestite**. Seleziona **Inizia**.
1. Scegli **Crea policy**.
1. Nella sezione **Policy editor**, trova la sezione **Seleziona un servizio**, quindi scegli un Servizio AWS. È possibile utilizzare la casella di ricerca in alto per limitare i risultati nell'elenco di servizi. È possibile selezionare solo un servizio nel blocco di autorizzazione di un editor visivo. Per concedere l'accesso a più di un servizio, aggiungi più blocchi di autorizzazioni selezionando **Aggiungi altre autorizzazioni**.
1. In **Operazioni consentite**, scegli le operazioni da aggiungere alla policy. È possibile selezionare operazioni nei modi seguenti:
+ Selezionare la casella di controllo per tutte le azioni.
+ Scegli **Aggiungi azioni** per inserire il nome di un'azione specifica. Potete usare un carattere jolly (`*`) per specificare più azioni.
+ Selezionare uno dei gruppi di **livelli di accesso** per scegliere tutte le azioni per il livello di accesso, ad esempio **Lettura**, **Scrittura** o **Elenco**.
+ Espandere ciascuno dei gruppi **Access level (Livello di accesso)** per selezionare singole operazioni.
Come impostazione predefinita, la policy che si sta creando utilizza le operazioni selezionate. Per rifiutare invece le operazioni scelte, selezionare **Switch to deny permissions (Passa a rifiuto autorizzazioni)**. Poiché [IAM rifiuta per impostazione predefinita](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html), si consiglia come best practice di sicurezza di consentire le autorizzazioni solo alle operazioni e alle risorse necessarie per un utente. Crea un'istruzione JSON per negare le autorizzazioni solo se desideri sovrascrivere un'autorizzazione consentita separatamente da un'altra istruzione o politica. Si consiglia di limitare al minimo il numero di autorizzazioni di rifiuto perché possono aumentare la difficoltà di risoluzione dei problemi relative alle autorizzazioni.
1. Per **Risorse**, se il servizio e le azioni selezionati nei passaggi precedenti non supportano la scelta di [risorse specifiche](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources), tutte le risorse sono consentite e non è possibile modificare questa sezione.
Se si selezionano una o più operazioni che supportano le [autorizzazioni a livello di risorsa](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources), l'editor visivo elenca tali risorse. È possibile selezionare **Risorse** per specificare le risorse per la policy.
È possibile specificare le risorse nei seguenti modi:
+ Scegli **Aggiungi ARNs** per specificare le risorse in base ai rispettivi Amazon Resource Names (ARN). È possibile utilizzare l'editor o l'elenco ARNs ARN visivo manualmente. Per ulteriori informazioni sulla sintassi ARN, consulta [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) nella *IAM* User Guide. Per informazioni sull'utilizzo ARNs nell'`Resource`elemento di una policy, consulta [IAM JSON policy elements: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) in the *IAM* User Guide.
+ Scegli **Qualsiasi in questo account** accanto a una risorsa per concedere autorizzazioni a qualsiasi risorsa di quel tipo.
+ Seleziona **Tutto** per selezionare tutte le risorse per quel servizio.
1. (Facoltativo) Scegli **Condizioni di richiesta - *opzionale*** per aggiungere condizioni alla policy che si sta creando. Le condizioni limitano l'effetto di una dichiarazione di policy JSON. Ad esempio, puoi specificare che un utente può eseguire le operazioni sulle risorse solo quando la richiesta dell'utente viene effettuata entro un determinato intervallo di tempo. È inoltre possibile utilizzare condizioni di uso comune per limitare l'autenticazione di un utente utilizzando un dispositivo di autenticazione a più fattori (MFA). In alternativa, è possibile richiedere che la richiesta provenga da un determinato intervallo di indirizzi IP. Per gli elenchi di tutte le chiavi di contesto che è possibile utilizzare in una condizione di policy, vedere [Azioni, risorse e chiavi di condizione per AWS i servizi](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) nel *Service* Authorization Reference.
È possibile selezionare le condizioni nei modi seguenti:
+ Utilizzare le caselle di controllo per selezionare le condizioni di utilizzo comune.
+ Seleziona **Aggiungi altra condizione** per specificare altre condizioni. **Scegli la **chiave di condizione**, il **qualificatore** e **l'operatore** della condizione, quindi inserisci un valore.** Per aggiungere più di un valore, seleziona **Aggiungi**. Puoi considerare i valori come collegati da un operatore logico`OR`. Una volta terminato, scegli **Aggiungi condizione**.
Per aggiungere più di una condizione, scegli di nuovo **Aggiungi altra condizione**. Ripetere come necessario. Ogni condizione si applica solo a questo blocco di autorizzazione di un editor visivo. Tutte le condizioni devono essere vere per il blocco di autorizzazioni per essere considerato una corrispondenza. In altre parole, considerate le condizioni che devono essere collegate da un `AND` operatore logico.
Per ulteriori informazioni sull'elemento **Condition**, consulta [IAM JSON Policy elements: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *IAM User Guide*.
1. Per aggiungere più blocchi di autorizzazioni, seleziona **Aggiungi ulteriori autorizzazioni**. Per ogni blocco, ripetere le fasi da 2 a 5.
**Nota**
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) nella *Guida per l'utente di IAM*.
1. (Facoltativo) Quando crei o modifichi una policy in Console di gestione AWS, puoi generare un modello di policy JSON o YAML da utilizzare nei modelli. CloudFormation
**Per fare ciò, nell'**editor delle politiche** scegli **Azioni**, quindi scegli Genera modello. CloudFormation** Per ulteriori informazioni CloudFormation, consulta il [riferimento al tipo di AWS Identity and Access Management risorsa](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) nella *Guida AWS CloudFormation per l'utente*.
1. Una volta terminata l'aggiunta delle autorizzazioni alla policy, scegli **Successivo**.
1. Nella pagina **Rivedi e crea**, immettere un valore in **Nome policy** e **Descrizione** (facoltativo) per la policy in fase di creazione. Rivedi il campo **Autorizzazioni definite in questa policy** per accertarti di disporre delle autorizzazioni previste.
1. (Facoltativo) Aggiungere metadati alla policy collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag in IAM, consulta [Tags for AWS Identity and Access Management resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) in the *IAM User Guide*.
1. Seleziona **Crea policy** per salvare la nuova policy.
**Per concedere l'accesso programmatico**
Gli utenti necessitano di un accesso programmatico se desiderano interagire con l' AWS esterno di. Console di gestione AWS Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS
Per fornire agli utenti l’accesso programmatico, scegli una delle seguenti opzioni.
****
| Quale utente necessita dell’accesso programmatico? | Per | Come |
| --- | --- | --- |
| IAM | (Consigliato) Utilizza le credenziali della console come credenziali temporanee per firmare le richieste programmatiche a,, o. AWS CLI AWS SDKs AWS APIs | Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/controltower/latest/userguide/assign-permissions.html) |
| Identità della forza lavoro (Utenti gestiti nel centro identità IAM) | Utilizza credenziali temporanee per firmare richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs | Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/controltower/latest/userguide/assign-permissions.html) |
| IAM | Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs | Seguendo le istruzioni riportate in [Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) l'utente IAM. |
| IAM | (Non consigliato)Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs | Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/controltower/latest/userguide/assign-permissions.html) |
## Proteggiti dagli aggressori
Per ulteriori informazioni su come contribuire alla protezione dagli aggressori quando concedi autorizzazioni ad altri responsabili del AWS servizio, consulta [Condizioni opzionali](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html) per le relazioni di fiducia tra ruoli. Aggiungendo determinate condizioni alle policy, puoi contribuire a prevenire un tipo specifico di attacco, noto come attacco *secondario confuso*, che si verifica se un'entità costringe un'entità con più privilegi a eseguire un'azione, ad esempio con l'impersonificazione tra servizi diversi. Per informazioni generali sulle condizioni delle polizze, consulta anche. [Specifica delle condizioni in una policy](access-control-overview.md#specifying-conditions)
Per ulteriori informazioni sull'utilizzo di policy basate sull'identità con AWS Control Tower, consulta. [Utilizzo di policy basate sull'identità (policy IAM) per AWS Control Tower](access-control-managing-permissions.md) Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta [Identità (utenti, gruppi e ruoli)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) nella *Guida per l'utente di IAM*.
## Policy basate sulle risorse
Anche altri servizi, ad esempio Amazon S3, supportano policy di autorizzazioni basate su risorse. Ad esempio, è possibile associare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket. AWS Control Tower non supporta policy basate sulle risorse.