Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Controllo dell'accesso per il rilevamento delle anomalie nei costi
<a name="accesscontrol-ad"></a>

È possibile utilizzare controlli di accesso a livello di risorsa e tag ABAC (Attribute-based access control) per monitorare le anomalie dei costi e gli abbonamenti relativi alle anomalie. Ogni risorsa di Anomaly Monitor e Anomaly Subscription ha un Amazon Resource Name (ARN) univoco. Puoi anche allegare tag (coppie chiave-valore) a ciascuna funzionalità. È possibile utilizzare sia i tag di risorsa ARNs che i tag ABAC per fornire un controllo granulare degli accessi ai ruoli o ai gruppi di utenti all'interno dell'azienda. Account AWS

Per ulteriori informazioni sui controlli di accesso a livello di risorsa e sui tag ABAC, consulta. [Come funziona AWS Cost Management con IAM](security_iam_service-with-iam.md)

**Nota**  
Cost Anomaly Detection non supporta le politiche basate sulle risorse. Le politiche basate sulle risorse sono collegate direttamente alle risorse. AWS *Per ulteriori informazioni sulla differenza tra policy e autorizzazioni, consulta Politiche basate sull'[identità e politiche basate sulle risorse nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) User Guide.*

## Controllo dell'accesso tramite policy a livello di risorsa
<a name="accesscontrol-ad-resource-level"></a>

Puoi utilizzare le autorizzazioni a livello di risorsa per consentire o negare l'accesso a una o più risorse di Cost Anomaly Detection in una policy IAM. In alternativa, utilizza le autorizzazioni a livello di risorsa per consentire o negare l'accesso a tutte le risorse di Cost Anomaly Detection.

Quando crei un IAM, utilizza i seguenti formati Amazon Resource Name (ARN):
+ `AnomalyMonitor`risorsa ARN

  `arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}`
+ `AnomalySubscription`risorsa ARN

  `arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}`

Per consentire all'entità IAM di ottenere e creare un monitoraggio delle anomalie o un abbonamento alle anomalie, utilizza una policy simile a questa policy di esempio.

**Nota**  
Per `ce:GetAnomalyMonitor` e`ce:GetAnomalySubscription`, gli utenti dispongono del controllo totale o nullo degli accessi a livello di risorsa. Ciò richiede che la policy utilizzi un ARN generico sotto forma di `arn:${partition}:ce::${account-id}:anomalymonitor/*``arn:${partition}:ce::${account-id}:anomalysubscription/*`, o. `*`
Per `ce:CreateAnomalyMonitor` e`ce:CreateAnomalySubscription`, non abbiamo un ARN di risorsa per questa risorsa. Pertanto, la policy utilizza sempre l'ARN generico menzionato nel precedente bullet.
Per`ce:GetAnomalies`, utilizzate il parametro opzionale`monitorArn`. Se utilizzato con questo parametro, confermiamo se l'utente ha accesso al `monitorArn` passato.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}
```

------

Per consentire all'entità IAM di aggiornare o eliminare i monitor delle anomalie, utilizza una policy simile a questa policy di esempio.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}
```

------

## Controllo dell'accesso tramite tag (ABAC)
<a name="accesscontrol-ad-tags"></a>

È possibile utilizzare i tag (ABAC) per controllare l'accesso alle risorse di rilevamento delle anomalie di costo che supportano l'etichettatura. Per controllare l'accesso tramite tag, fornisci le informazioni sui tag nell'`Condition`elemento di una policy. Puoi quindi creare una policy IAM che consenta o neghi l'accesso a una risorsa in base ai tag della risorsa. Puoi utilizzare i tasti di condizione dei tag per controllare l'accesso alle risorse, alle richieste o a qualsiasi parte del processo di autorizzazione. Per ulteriori informazioni sui ruoli IAM che utilizzano i tag, consulta [Controlling access to e for users and roles using tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) nella *IAM User Guide*.

Crea una policy basata sull'identità che consenta di aggiornare i monitor delle anomalie. Se il tag monitor `Owner` ha il valore del nome utente, utilizza una politica simile a questa politica di esempio.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}
```

------