Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Analisi delle policy IAM
<a name="determining-access-iam-policies"></a>

Oltre alla policy delle chiavi e alle concessioni, puoi anche utilizzare le [policy IAM](iam-policies.md) per consentire l'accesso a una chiave KMS. Per ulteriori informazioni sull'utilizzo congiunto delle policy IAM e delle policy chiave, consulta [Risoluzione dei problemi relativi alle AWS KMS autorizzazioni](policy-evaluation.md).

Per determinare quali principali hanno attualmente accesso a una chiave KMS tramite le policy IAM, puoi utilizzare lo strumento [Simulatore di policy IAM](https://policysim.aws.amazon.com/) basato su browser o puoi effettuare richieste all'API IAM.

**Contents**
+ [Analisi delle policy IAM con il simulatore di policy IAM](#determining-access-iam-policy-simulator)
+ [Analisi delle policy IAM con l'API IAM](#determining-access-iam-api)

## Analisi delle policy IAM con il simulatore di policy IAM
<a name="determining-access-iam-policy-simulator"></a>

Il simulatore di policy IAM può aiutarti a scoprire i principali che possono accedere a una chiave KMS tramite una policy IAM.

**Per utilizzare il simulatore di policy IAM per determinare l'accesso a una chiave KMS**

1. Accedi a Console di gestione AWS e poi apri IAM Policy Simulator all'indirizzo[https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/).

1. Nel riquadro **Users, Groups, and Roles** (Utenti, gruppi e ruoli), scegliere l'utente, il gruppo o il ruolo del quale si intende simulare le policy.

1. (Opzionale) Deseleziona la casella di controllo accanto a qualsiasi policy che desideri omettere dalla simulazione. Per simulare tutte le policy, lascia tutte le policy selezionate.

1. Nel riquadro **Policy Simulator** (Simulatore di policy), seguire la procedura riportata di seguito:

   1. Per **Select service (Seleziona servizio)**, scegliere **Key Management Service**.

   1. Per simulare AWS KMS azioni specifiche, in **Seleziona azioni**, scegli le azioni da simulare. **Per simulare tutte le AWS KMS azioni, scegliete Seleziona tutto.**

1. (Opzionale) Il simulatore di policy simula l'accesso a tutte le chiavi KMS per impostazione predefinita. Per simulare l'accesso a una determinata chiave KMS, scegli **Impostazioni di simulazione**, quindi digita l'Amazon Resource Name (ARN) della chiave KMS da simulare.

1. Scegliere **Run Simulation (Esegui simulazione)**.

È possibile visualizzare i risultati della simulazione nella sezione **Results** (Risultati). Ripeti le fasi da 2 a 6 per ogni utente, gruppo e ruolo nell' Account AWS.

## Analisi delle policy IAM con l'API IAM
<a name="determining-access-iam-api"></a>

È possibile utilizzare l'API IAM per esaminare le policy IAM a livello di codice. Le seguenti fasi forniscono una panoramica generale su come eseguire questa operazione:

1. Per ogni account Account AWS elencato come principale nella policy chiave (ovvero, ogni [AWS account principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-accounts) specificato in questo formato:`"Principal": {"AWS": "arn:aws:iam::111122223333:root"}`), utilizza le [ListRoles](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRoles.html)operazioni [ListUsers](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html)and nell'API IAM per inserire tutti gli utenti e i ruoli nell'account.

1. Per ogni utente e ruolo nell'elenco, utilizza l'[SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)operazione nell'API IAM, passando i seguenti parametri:
   + Per `PolicySourceArn`specificare il nome ARN (Amazon Resource Name) di un utente o un ruolo dal tuo elenco. Puoi specificare un solo `PolicySourceArn` per ogni richiesta `SimulatePrincipalPolicy`, pertanto è necessario chiamare questa operazione più volte, una volta per ogni utente e ruolo nell'elenco.
   + Per l'`ActionNames`elenco, specifica ogni azione AWS KMS API da simulare. Per simulare tutte le azioni AWS KMS dell'API, usa. `kms:*` Per testare le singole azioni AWS KMS API, fai precedere ogni azione API da "`kms:`«, ad esempio"»`kms:ListKeys`. Per un elenco completo delle operazioni API AWS KMS , consulta [Azioni](https://docs.aws.amazon.com/kms/latest/APIReference/API_Operations.html) nella *Documentazione di riferimento dell'API AWS Key Management Service *.
   + (Facoltativo) Per determinare se gli utenti o i ruoli hanno accesso a chiavi KMS specifiche, utilizza il `ResourceArns` parametro per specificare un elenco di Amazon Resource Names (ARNs) delle chiavi KMS. Per determinare se gli utenti o i ruoli possono accedere a una chiave KMS, ometti il parametro `ResourceArns`.

IAM risponde a ogni richiesta `SimulatePrincipalPolicy` con una valutazione: `allowed`, `explicitDeny` o `implicitDeny`. Per ogni risposta che contiene una decisione di valutazione di`allowed`, la risposta include il nome della specifica operazione AWS KMS API consentita. Eventualmente, include l'ARN della chiave KMS usata nella valutazione.