Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utilizzo di policy basate sull'identità (policy IAM) per AWS Control Tower
<a name="access-control-managing-permissions"></a>

Questo argomento fornisce esempi di policy basate sull'identità che dimostrano come un amministratore di account può associare policy di autorizzazione alle identità IAM (ovvero utenti, gruppi e ruoli) e quindi concedere le autorizzazioni per eseguire operazioni sulle risorse AWS Control Tower. 

**Importante**  
Ti consigliamo di consultare prima gli argomenti introduttivi che spiegano i concetti e le opzioni di base disponibili per gestire l'accesso alle tue risorse AWS Control Tower. Per ulteriori informazioni, consulta [Panoramica della gestione delle autorizzazioni di accesso alle risorse AWS Control Tower](access-control-overview.md). 

## AWS ControlTowerAdmin ruolo
<a name="AWSControlTowerAdmin"></a>

Questo ruolo fornisce ad AWS Control Tower l'accesso all'infrastruttura fondamentale per il mantenimento della landing zone. Il `AWS ControlTowerAdmin` ruolo richiede una policy gestita allegata e una policy di trust dei ruoli per il ruolo IAM. Una *policy di fiducia nei ruoli* è una politica basata sulle risorse, che specifica quali dirigenti possono assumere il ruolo.

Ecco un esempio di frammento di questa policy sulla fiducia dei ruoli:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "controltower.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Per creare questo ruolo dalla AWS CLI e inserirlo in un file chiamato`trust.json`, ecco un esempio di comando CLI:

```
aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://trust.json
```

Questo ruolo richiede due politiche IAM.

1. Una politica in linea, ad esempio:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "ec2:DescribeAvailabilityZones",
               "Resource": "*"
           }
       ]
   }
   ```

------

1. La politica gestita che segue, che è la`AWS ControlTowerServiceRolePolicy`.

## AWS ControlTowerServiceRolePolicy
<a name="AWSControlTowerServiceRolePolicy"></a>

**AWS ControlTowerServiceRolePolicy**Si tratta di una policy AWS gestita che definisce le autorizzazioni per creare e gestire risorse AWS Control Tower, come AWS CloudFormation stackset e istanze di stack, file di AWS CloudTrail log, un aggregatore di configurazione per AWS Control Tower, AWS Organizations nonché account e unità organizzative OUs () governati da AWS Control Tower.

Gli aggiornamenti a questa policy gestita sono riepilogati nella tabella,. [Policy gestite per AWS Control Tower](managed-policies-table.md)

Per ulteriori informazioni, vedere [AWS ControlTowerServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerServiceRolePolicy.html)la *AWS Managed Policy Reference Guide*.

Politica sulla fiducia dei ruoli:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"       
         ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

La politica in linea è`AWS ControlTowerAdminPolicy`:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "ec2:DescribeAvailabilityZones",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}
```

------

## AWS ControlTowerIdentityCenterManagementPolicy
<a name="AWSControlTowerIdentityCenterManagementPolicy"></a>

Questa policy fornisce le autorizzazioni per configurare le risorse IAM Identity Center (iDC) negli account dei membri registrati con AWS Control Tower. Quando selezioni IAM Identity Center come provider di identità durante la configurazione (o l'aggiornamento) della landing zone in AWS Control Tower, questa policy viene allegata al `AWS ControlTowerAdmin` ruolo.

Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWS ControlTowerIdentityCenterManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSControlTowerIdentityCenterManagementPolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.

## AWS ControlTowerStackSetRole
<a name="AWSControlTowerStackSetRole"></a>

CloudFormation assume questo ruolo per distribuire set di stack negli account creati da AWS Control Tower. Policy inline: 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/AWSControlTowerExecution"
            ],
            "Effect": "Allow"
        }
    ]
}
```

------

**Policy di trust**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudformation.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

## AWS ControlTowerCloudTrailRolePolicy
<a name="AWSControlTowerCloudTrailRolePolicy"></a>

AWS Control CloudTrail Tower è una best practice e fornisce questo ruolo a CloudTrail. CloudTrail assume questo ruolo per creare e pubblicare i CloudTrail log.

**Politica gestita:** `AWS ControlTowerCloudTrailRolePolicy`

Questo ruolo utilizza la policy AWS-managed`AWS ControlTowerCloudTrailRolePolicy`, che concede le autorizzazioni necessarie per pubblicare CloudTrail i log di controllo su CloudWatch Amazon Logs per conto di AWS Control Tower. Questa policy gestita sostituisce la policy in linea utilizzata in precedenza per questo ruolo, consentendo AWS di aggiornare la policy senza l'intervento del cliente.

Per ulteriori informazioni, consulta [AWS ControlTowerCloudTrailRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerCloudTrailRolePolicy.html)la *AWS Managed Policy Reference Guide.*

Gli aggiornamenti a questa politica gestita sono riepilogati nella tabella,[Policy gestite per AWS Control Tower](managed-policies-table.md).

**Nota**  
Prima dell'introduzione della politica gestita, questo ruolo utilizzava una politica in linea con autorizzazioni equivalenti. La politica in linea è stata sostituita dalla politica gestita per consentire aggiornamenti senza interruzioni.

**Politica in linea precedente (per riferimento):**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "logs:CreateLogStream",
            "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
            "Effect": "Allow"
        },
        {
            "Action": "logs:PutLogEvents",
            "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
            "Effect": "Allow"
        }
    ]
}
```

------

**Policy di trust**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

## AWS ControlTowerBlueprintAccess requisiti di ruolo
<a name="AWSControlTowerBlueprintAccess"></a>

AWS Control Tower richiede la creazione del `AWS ControlTowerBlueprintAccess` ruolo nell'account Blueprint Hub designato, all'interno della stessa organizzazione.

**Role name (Nome ruolo)**

Il nome del ruolo deve essere`AWS ControlTowerBlueprintAccess`.

**Politica di fiducia nei ruoli**

Il ruolo deve essere impostato in modo da considerare attendibili i seguenti principi:
+ Il principale che utilizza AWS Control Tower nell'account di gestione.
+ Il `AWS ControlTowerAdmin` ruolo nell'account di gestione.

L'esempio seguente mostra una politica di fiducia basata sui privilegi minimi. Quando crei la tua policy, sostituisci il termine *YourManagementAccountId* con l'ID account effettivo del tuo account di gestione AWS Control Tower e sostituisci il termine *YourControlTowerUserRole* con l'identificatore del ruolo IAM per il tuo account di gestione.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin",
                    "arn:aws:iam::111122223333:role/YourControlTowerUserRole"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}
```

------

**Autorizzazioni relative ai ruoli**

È necessario allegare la politica gestita **AWSServiceCatalogAdminFullAccess**al ruolo.

## AWSServiceRoleForAWSControlTorre
<a name="AWSServiceRoleForAWSControlTower"></a>

Questo ruolo fornisce ad AWS Control Tower l'accesso all'account Log Archive, all'account Audit e agli account dei membri, per operazioni fondamentali per il mantenimento della landing zone, come la notifica di risorse alla deriva.

Il `AWS ServiceRoleFor AWS ControlTower` ruolo richiede una policy gestita allegata e una policy di trust dei ruoli per il ruolo IAM.

**Policy gestita per questo ruolo:** `AWS ControlTowerAccountServiceRolePolicy`

Politica di fiducia nei ruoli:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "controltower.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

## AWS ControlTowerAccountServiceRolePolicy
<a name="account-service-role-policy"></a>

Questa policy AWS gestita consente ad AWS Control Tower di chiamare AWS servizi che forniscono configurazione automatica degli account e governance centralizzata per tuo conto.

La policy contiene le autorizzazioni minime per AWS Control Tower per implementare l'inoltro dei AWS Security Hub CSPM risultati per le risorse gestite dai controlli CSPM di Security Hub che fanno parte dello **standard gestito dal servizio Security Hub CSPM: AWS Control Tower** e impedisce modifiche che limitano la capacità di gestire gli account dei clienti. Fa parte di un processo di rilevamento delle AWS Security Hub CSPM deviazioni in background che non viene avviato direttamente da un cliente.

La policy concede le autorizzazioni per creare EventBridge regole Amazon, in particolare per i controlli CSPM di Security Hub, in ogni account membro e queste regole devono specificare un valore esatto. EventPattern Inoltre, una regola può funzionare solo su regole gestite dal responsabile del nostro servizio.

**Responsabile del servizio:** `controltower.amazonaws.com`

Per ulteriori informazioni, consulta [AWS ControlTowerAccountServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerAccountServiceRolePolicy.html)la *AWS Managed Policy Reference Guide*.

Gli aggiornamenti a questa politica gestita sono riepilogati nella tabella,[Policy gestite per AWS Control Tower](managed-policies-table.md).