Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Implementazione di risorse IAM in AMS Advanced
<a name="deploy-iam-resources"></a>

AMS distribuisce le risorse IAM nell'applicazione multi-account landing zone (MALZ) e negli account single-account landing zone (SALZ) in due modi:
+ Provisioning IAM automatizzato: questa funzionalità di AMS consente di inviare, creare, aggiornare o eliminare tipi di modifica per il provisioning di ruoli o policy IAM, senza la revisione dell'operatore e con IAM e AMS, i controlli di convalida vengono eseguiti automaticamente.

  Questa funzionalità deve essere abilitata esplicitamente con il tipo di modifica Management \$1 Managed account \$1 AMS Automated IAM Provisioning with read-write permissions \$1 [Enable (managed automation) (](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html)ct-1706xvvk6j9hf). Per ulteriori informazioni, consulta [Provisioning IAM automatizzato (AMS)](auto-iam-provisioning.md). Dopo aver abilitato AMS Automated IAM Provisioning, avrai accesso ai tipi di modifica Create, Update ed Delete per gestire le risorse IAM.
+ tipo di modifica IAM dell'automazione gestita: questo tipo di modifica, Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 [Create entità o policy (automazione gestita) (ct-3dpd8mdd9jn1r)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-review-required.html), richiede una revisione da parte dell'operatore AMS, che a volte può richiedere alcuni giorni per essere completata se sono necessari chiarimenti.

**Nota**  
Indipendentemente dal metodo utilizzato, viene assegnato un ruolo IAM all'account o agli account pertinenti e, una volta assegnato il ruolo, è necessario inserire il ruolo nella soluzione di federazione.

# Provisioning IAM automatizzato (AMS)
<a name="auto-iam-provisioning"></a>

AWS Managed Services (AMS) supporta la convalida e il provisioning automatizzati per le risorse IAM, inclusi ruoli e policy, utilizzando AMS Advanced requests for change (RFCs) e new change types (). CTs In precedenza, queste richieste venivano sottoposte a un processo semiautomatico che a volte comportava lunghi tempi di attesa. Ora puoi utilizzare AMS Automated IAM Provisioning per fornire risorse IAM e ottenere risultati molto più rapidamente.

# Come funziona il provisioning IAM automatizzato in AMS
<a name="aip-how-works"></a>

Il provisioning IAM automatizzato si basa su controlli automatici in fase di esecuzione per consentire a IAM di convalidare le modifiche alle risorse IAM. Questi controlli automatici, eseguiti quando vengono eseguiti i tipi di modifica Create, Update o Delete, impediscono l'implementazione di risorse IAM eccessivamente permissive o con schemi non sicuri nell'account. Ciò ti consente di abbinare il livello di rigore delle revisioni IAM all'esperienza del tuo team. Consigliamo ai team che non conoscono i servizi cloud e necessitano di controlli manuali per tutte le modifiche alle risorse IAM di utilizzare il tipo di modifica esistente obbligatorio per la revisione: Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) and Access Management (IAM) \$1 [Create entità o policy (automazione gestita), (ct-3dpd8mdd9jn1r)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-review-required.html). I team con AWS esperienza e controllo dei propri ambienti possono utilizzare il provisioning IAM automatizzato per velocizzare le implementazioni. È possibile utilizzare questa funzionalità per eseguire la convalida tramite controlli automatici in fase di esecuzione o per eseguire la convalida e il provisioning delle risorse IAM dopo una convalida riuscita.

**Importante**  
AWS Managed Services ha implementato in modo proattivo un elenco di [controlli di runtime](aip-runtime-checks.md) di convalida che impediscono la creazione di risorse o policy IAM con determinate autorizzazioni e condizioni. Per una descrizione di questi privilegi e condizioni, consulta [Implementazione delle risorse IAM](https://docs.aws.amazon.com/managedservices/latest/userguide/deploy-iam-resources.html) in AMS Advanced. I tipi di modifica automatizzata [ct-1n9gfnog5x7fl, ct-1e0xmuy1diafq](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html) [e [ct-17cj84y7632o6](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) consentono agli utenti esperti nella gestione delle risorse IAM di fornire ruoli e policy IAM che consentono azioni oltre i privilegi di sola lettura.  
Inoltre, è possibile utilizzare i ruoli creati tramite i tipi di modifica automatizzata [ct-1n9gfnog5x7fl](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html), [ct-1e0xmuy1diafq](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) e [ct-17cj84y7632o6](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html) per creare le nuove risorse. Tuttavia, le risorse non possono seguire lo standard di denominazione AMS e non fanno parte dello stack AMS standard. AMS fornisce il supporto operativo e di sicurezza di tali risorse specifiche con il massimo impegno.  
Sebbene sia i processi manuali che quelli automatizzati mirino a rispettare i nostri standard di sicurezza, è importante notare che esistono differenze nei controlli tra i due. Il provisioning automatizzato consente una maggiore flessibilità nella creazione e nell'aggiornamento di ruoli e policy, pertanto non sono la stessa cosa. Si consiglia all'organizzazione di esaminare attentamente i [controlli del runtime](aip-runtime-checks.md) di convalida elencati nella Guida per l'utente AMS per assicurarsi che siano in linea con le aspettative e i requisiti dell'organizzazione.

**Flusso di convalida**

![\[Flusso di convalida\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/images/Validation-Flow.png)


**Flusso di convalida e approvvigionamento**

![\[Flusso di convalida e approvvigionamento\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/images/Validation-and-Provisioning-Flow.png)


**Nota**  
Questa funzionalità è adatta ai team che hanno esperienza con le risorse IAM AWS e non la consigliamo ai team alle prime armi. AWS Il processo di convalida automatizzato è progettato per catturare la maggior parte degli errori ed è utile ai team per ottenere revisioni rapide delle modifiche a IAM, quando comprendono le autorizzazioni di cui hanno bisogno. Per utilizzare i nuovi tipi di modifica in modo sicuro ed efficace, ti consigliamo di avere una buona conoscenza di AWS IAM e dei [controlli in fase di esecuzione](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks.html) offerti dai tipi di modifica per determinare se sono adatti al tuo team. 

# Introduzione al provisioning IAM automatizzato di AMS in AMS
<a name="aip-onboarding"></a>

[Per utilizzare i nuovi tipi di modifica, abilita innanzitutto AMS Automated IAM Provisioning inviando una RFC utilizzando il seguente tipo di modifica: Gestione \$1 Account gestito \$1 AMS Automated IAM Provisioning con autorizzazioni di lettura/scrittura \$1 Abilita (automazione gestita) (ct-1706xvvk6j9hf).](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html) AWS richiede che l'organizzazione si sottoponga a un processo di gestione dei rischi di sicurezza dei clienti (CSRM) per garantire che l'uso di questi tipi di modifiche sia allineato alle politiche organizzative. Il team AWS operativo collabora con voi per ottenere l'approvazione esplicita dal vostro referente del team di sicurezza sotto forma di accettazione del rischio nell'ambito della revisione richiesta. Per ulteriori informazioni, consulta il processo di [gestione del rischio dei clienti (CSRM) di RFC](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-security.html).

Una volta completata la richiesta di attivazione della funzionalità AMS Automated IAM Provisioning con autorizzazioni di lettura/scrittura, AMS abilita i tipi di modifica di AMS Automated IAM Provisioning nell'account utilizzato per inviare la RFC di abilitazione. Per confermare che AMS Automated IAM Provisioning sia attivato su un account, controlla il ruolo nella console IAM. `AWSManagedServicesIAMProvisionAdminRole`

Come parte dell'onboarding, AMS fornisce IAM Access Analyzer nella stessa regione AWS dell'account per sfruttare la sua funzionalità di anteprima degli accessi. IAM Access Analyzer aiuta a identificare le risorse dell'organizzazione e gli account condivisi con un'entità esterna, convalida le politiche IAM rispetto alla grammatica e alle best practice delle policy e genera policy IAM basate sull'attività di accesso nei log. AWS CloudTrail [Per ulteriori informazioni, consulta Using. AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)

Una volta effettuato l'onboarding, `AWSManagedServicesIAMProvisionAdminRole` viene distribuito agli account abilitati. Se scegli di utilizzare questo ruolo tramite la federazione SAML, devi inserire il ruolo nella tua soluzione di federazione. 

Come parte dell'onboarding, puoi richiedere di aggiornare la policy di fiducia IAMProvision AdminRole di AWSManaged Services per concedere un altro ruolo IAM utilizzando ARN per assumere questo ruolo. AWS Security Token Service

# Utilizzo del provisioning IAM automatizzato di AMS in AMS
<a name="aip-using"></a>

Puoi creare RFCs con i seguenti tipi di modifica di AMS Automated IAM Provisioning.

**Nota**  
È supportato solo il provisioning in base a ruoli e policy.  
Durante l'aggiornamento dei ruoli, l'Update CT sostituisce l'elenco esistente di Amazon resource names (ARNs) con policy gestite e il documento relativo alla policy «assume role», con l'elenco fornito di policy gestite ARNs e il documento di policy «assume role». In un aggiornamento parziale, ad esempio, l'aggiunta o la rimozione di un ARN nell'elenco esistente di policy gestite ARNs, non è consentito aggiungere o rimuovere singole dichiarazioni di policy al documento di policy «assumi ruolo». Analogamente, durante l'aggiornamento delle politiche, l'Update CT sostituisce il documento di policy esistente e non consente di aggiungere o rimuovere singole dichiarazioni politiche nel documento politico esistente.
Quando è selezionata l'opzione «convalida solo», i controlli in fase di esecuzione vengono eseguiti senza fornire alcuna entità o policy IAM. Indipendentemente dai risultati, lo stato RFC è «riuscito». Lo stato «successo» indica una convalida riuscita rispetto all'entità o alla policy IAM fornita.
+ Distribuzione \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 [Crea entità o policy (autorizzazioni di lettura/scrittura) (ct-1n9gfnog5x7fl)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html): una nuova entità o policy IAM viene convalidata e fornita automaticamente.
+ Gestione \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 [Aggiorna entità o policy (autorizzazioni di lettura/scrittura) (ct-1e0xmuy1diafq)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html): un'entità o policy IAM esistente viene aggiornata e convalidata automaticamente.
+ Gestione \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 [Elimina entità o policy (autorizzazioni di lettura/scrittura) (ct-17cj84y7632o6)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html): viene eliminata un'entità o policy IAM esistente il cui provisioning utilizza il tipo di modifica automatica dell'entità o della policy di creazione.

Puoi chiamare solo i tre precedenti utilizzando un ruolo IAM dedicato:. CTs `AWSManagedServicesIAMProvisionAdminRole` Questo ruolo è disponibile solo negli account che sono stati inseriti nella funzionalità utilizzando le autorizzazioni di lettura/scrittura Gestione \$1 Account gestito \$1 AMS Automated IAM Provisioning \$1 [Abilita (automazione gestita) (](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html)ct-1706xvvk6j9hf).

**Importante**  
I tipi di modifica Crea, Aggiorna ed Elimina sono sempre visibili nel tuo account, ma non sono attivati per impostazione predefinita. Se provi a inviare una RFC utilizzando uno di questi tipi di modifica senza prima abilitare la funzionalità AMS Automated IAM Provisioning, viene visualizzato un errore «non autorizzato».

**Limitazioni:**
+ Il Create CT potrebbe consentire di creare un ruolo o una policy IAM con l'autorizzazione a creare risorse. AWS Tuttavia, AWS le risorse create da questi ruoli e politiche non sono gestite da AMS. È consigliabile attenersi al controllo organizzativo per limitare la creazione di tali ruoli o politiche.
+ L'Update CT non può modificare i ruoli e le politiche IAM creati con CFN Ingest, Direct Change Mode, Developer Mode o, in alcuni casi, tramite AMS Advanced esistente in modo manuale o automatizzato. CTs
+ Il Delete CT non può eliminare ruoli o politiche esistenti che non sono stati creati con AMS Automated IAM Provisioning Create CT.
+ La funzionalità AMS Automated IAM Provisioning con autorizzazioni di lettura/scrittura non è supportata nei ruoli in modalità Direct Change. Ciò significa che non è possibile fornire o aggiornare ruoli e policy IAM con autorizzazioni di lettura/scrittura utilizzando questi ruoli.
+ I tipi di modifica Create, Update ed Delete di AMS Automated IAM con autorizzazioni di lettura/scrittura non sono compatibili con il Connector. ServiceNow 

# Controlli di runtime per AMS Automated IAM Provisioning in AMS
<a name="aip-runtime-checks"></a>

Automated IAM Provisioning sfrutta i controlli ed esegue controlli e convalide aggiuntivi rispetto alla policy limite di AMS. AWS Identity and Access Management Access Analyzer AMS ha definito i controlli e le convalide aggiuntivi sulla base delle migliori pratiche IAM, dell'esperienza di gestione del carico di lavoro dei clienti nel cloud e dell'esperienza collettiva di valutazione manuale AMS IAM.

È possibile visualizzare i risultati del controllo in fase di esecuzione delle politiche nell'output della richiesta di modifica (RFC). I risultati includono l'identificatore della risorsa, la posizione all'interno della and/or policy del ruolo che ha generato i risultati e un messaggio che illustra il controllo che l'entità o la risorsa IAM non è riuscita a superare. Questi risultati aiutano a creare policy funzionali e conformi alle migliori pratiche di sicurezza.

**Nota**  
L'IAM Provisioning automatizzato tenta di specificare la posizione all'interno della definizione di entità o policy che non supera il controllo. A seconda del tipo, la posizione può includere il nome della risorsa o l'ARN o l'indice all'interno di un array. Ad esempio, una dichiarazione per aiutarti a modificare l'entità o la politica per un esito positivo.

Per un'esperienza fluida di AMS Automated IAM Provisioning, è consigliabile utilizzare l'opzione «validate only» per eseguire i controlli di convalida fino a quando non ci sono risultati dai controlli di convalida riportati negli output RFC. Quando i controlli di convalida non riportano risultati, scegli **Crea copia** dalla console AMS per creare rapidamente una copia della RFC esistente. Quando sei pronto per il provisioning, nella sezione **Parametri**, cambia il valore **Validate only** da **Sì** a **No, quindi procedi**.

Questi sono i controlli in fase di esecuzione eseguiti da AMS Automated IAM Provisioning per garantire la sicurezza delle risorse IAM:

**Nota**  
Per effettuare il provisioning delle policy IAM che contengono azioni negate da questi tipi di modifiche automatizzate, è necessario seguire il processo RFC Customer Security Risk Management (CSRM). Utilizza il seguente tipo di modifica: Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) and Access Management (IAM) \$1 Crea entità o policy (automazione gestita) (ct-3dpd8mdd9jn1r).
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html)
+ **Controlli della politica dei limiti delle autorizzazioni AMS:** azioni su una serie di servizi che vengono negate per impostazione predefinita. Per ulteriori informazioni, consulta Controllo dei limiti delle [autorizzazioni di Automated IAM Provisioning](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks-perm-boundary.html).
+ **Controlli delle politiche relative ai limiti delle autorizzazioni definite dal cliente:** ulteriori azioni limitate su una serie di servizi che vengono negate. Per ulteriori informazioni, consulta Controllo dei limiti delle autorizzazioni di [IAM Provisioning automatizzato](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks-perm-boundary.html).
+ **Controlli personalizzati definiti da AMS: controlli** che identificano varie policy o modelli di accesso non sicuri ed eccessivamente permissivi all'interno di un'entità o policy IAM richiesta e negano la richiesta se ne trova una. [Per informazioni, consulta JSON policy elements: Principal.AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)


| Risultato | Description | 
| --- | --- | 
| È possibile accedere al ruolo da un account esterno che non rientra nella propria zona di fiducia. | Questo risultato si riferisce a un responsabile elencato nella politica sulla fiducia dei ruoli che si colloca al di fuori della zona di fiducia dell'utente. Una zona di fiducia è definita come l'account a cui viene creato il ruolo o l' AWS organizzazione a cui appartiene l'account. Un'entità che non appartiene all'account o alla stessa AWS organizzazione è un'entità esterna. Per risolvere il problema, controlla l'ID dell'account nell'account principale ARNs e assicurati che appartenga a te e che sia un account registrato da AMS. | 
| Al ruolo può accedere un'entità esterna di proprietà di un account *External\$1Account\$1ID* che non è di proprietà dell'account proprietario del cliente AMS. *Account\$1ID* | Questo risultato viene generato se la policy di trust dei ruoli include un ARN principale con un ID account non di tua proprietà e un account integrato da AMS. Per risolvere questo problema, rimuovi qualsiasi principio di questo tipo dalla politica di fiducia dei ruoli. | 
| L'ID utente canonico non è un principio supportato nella policy di fiducia IAM. | I principi canonici non IDs sono supportati nella policy di fiducia IAM. Per risolvere il problema, rimuovi qualsiasi principio di questo tipo dalla policy di fiducia dei ruoli. | 
| È possibile accedere al ruolo tramite un'identità web esterna che non rientra nella propria zona di fiducia. | Questo risultato viene generato se la policy di trust del ruolo consente un provider di identità Web (IdP) esterno diverso da SAML IdP. Per risolvere questo problema, esamina la policy sulla fiducia dei ruoli e rimuovi le dichiarazioni che consentono l'operazione. `sts:AssumeRoleWithWebIdentity` | 
| È possibile accedere al ruolo tramite la federazione SAML; tuttavia, il provider di identità SAML (IdP) fornito non esiste. | Questo risultato viene generato se la policy di attendibilità dei ruoli contiene un IdP SAML che non esiste nel tuo account. Per risolvere il problema, assicurati che tutti gli IdP SAML elencati siano presenti nel tuo account. | 
| La policy contiene azioni privilegiate equivalenti all'accesso da amministratore o utente esperto. Valuta la possibilità di ridurre l'ambito delle autorizzazioni a un servizio, un'azione o una risorsa specifici. Se **NotResource**vengono utilizzati elementi di policy avanzati come **NotAction**o, assicurati che non garantiscano un accesso maggiore di quello previsto, in particolare nelle istruzioni **Allow**. | La migliore pratica di sicurezza consiste nel AWS Identity and Access Management concedere solo le autorizzazioni necessarie per eseguire un'attività quando si impostano le autorizzazioni con le politiche IAM. A tale scopo, definisci le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Questo risultato viene generato quando l'automazione rileva che la politica concede autorizzazioni ampie e non rispetta il principio del privilegio minimo. Per risolvere il problema, rivedi e riduci le autorizzazioni. | 
| L'informativa contiene azioni privilegiate per. *Service\$1Name* Valuta la possibilità di escludere queste azioni con una dichiarazione di rifiuto. Fai riferimento al riferimento alla politica dei confini nella documentazione AMS per un elenco di azioni privilegiate. | AMS ha identificato alcune azioni per un determinato servizio come rischiose e richiedono un'ulteriore revisione e accettazione del rischio da parte del team di sicurezza del cliente. Questo risultato viene generato quando l'automazione rileva la determinata politica che concede tali autorizzazioni. Per risolvere questo problema, nega queste azioni nella tua politica. Per un elenco di azioni, consulta la politica dei confini di AMS. Per i dettagli sulla politica dei confini di AMS, vedere. [Controllo dei limiti di autorizzazione AMS Automated IAM Provisioning](aip-runtime-checks-perm-boundary.md)  | 
| [https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) *Service\$1Name* Valuta la possibilità di definire l'ambito delle autorizzazioni per tipi di modifica specifici o di escludere questi tipi di modifica con una dichiarazione di negazione. | Questo risultato viene generato se la policy concede le autorizzazioni per eseguire azioni relative a RFC utilizzando Automated IAM Provisioning change types (). CTs CTs Sono soggetti all'accettazione del rischio e devono essere utilizzati solo tramite ruoli integrati. Quindi, non puoi concedere il permesso a questi. CTs Per risolvere questo problema, nega le azioni RFC che li utilizzano. CTs | 
| L'informativa contiene azioni privilegiate che non rientrano nell'ambito delle risorse di servizio. *Service\$1Name* Valuta la possibilità di assegnare le azioni a risorse specifiche o di escludere le risorse con prefissi dello spazio dei nomi AMS. Se vengono utilizzati caratteri jolly, assicurati che limitino l'ambito alle tue risorse. | Questo risultato viene generato se la politica concede azioni privilegiate che non rientrano nell'ambito delle risorse del servizio specificato. Le wild card spesso creano politiche eccessivamente permissive che includono un'ampia gamma di risorse o azioni nell'ambito dell'autorizzazione. Per risolvere il problema, riduci l'ambito delle autorizzazioni alle risorse di tua proprietà o escludi le risorse che si trovano nel namespace AMS. Per un elenco dei prefissi dello spazio dei nomi AMS, consulta la politica dei limiti nella documentazione di AMS. Tieni presente che non tutti i prefissi si applicano a tutti i servizi. Per i dettagli sulla politica dei confini di AMS, vedere. [Controllo dei limiti di autorizzazione AMS Automated IAM Provisioning](aip-runtime-checks-perm-boundary.md) | 
| ID account o Amazon Resource Name (ARN) non valido. | Questo risultato viene generato se un ARN o un ID account specificato nella policy o nella policy di attendibilità del ruolo non è valido. Per esaminare le risorse ARN valide relative ai servizi, consulta il [Service](https://docs.aws.amazon.com/service-authorization/latest/reference/reference.html) Authorization Reference. Assicurati che l'ID dell'account sia un numero di 12 cifre e che l'account sia attivo in. AWS | 
| L'uso della wildcard (\$1) per l'ID dell'account in ARN è limitato. | Questo risultato viene generato se nel campo ID account di un ARN viene specificata una wild card (\$1). Una wild card nel campo ID dell'account corrisponde a qualsiasi account e potenzialmente concede autorizzazioni involontarie alle risorse. Per risolvere il problema, sostituisci la wild card con un ID account specifico. | 
| Account di risorse specificato non di proprietà dello stesso account *Account\$1ID* proprietario del cliente AMS. | Questo risultato viene generato se un ID account specificato nell'ARN di una risorsa non appartiene all'utente e non è gestito da AMS. Per risolvere questo problema, assicurati che tutte le risorse (come specificato dal relativo ARN nella policy) appartengano ai tuoi account gestiti da AMS. | 
| Il nome del ruolo si trova nello spazio dei nomi con restrizioni AMS. | Questo risultato viene generato se si tenta di creare un ruolo con un nome che inizia con un prefisso riservato AMS. Per risolvere questo problema, utilizzate un nome per il ruolo specifico per il vostro caso d'uso. Per un elenco di prefissi riservati AMS, consulta Prefissi riservati [AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html) | 
| Il nome della policy si trova nello spazio dei nomi con restrizioni AMS. | Questo risultato viene generato se si tenta di creare una policy con un nome che inizia con un prefisso riservato AMS. Per risolvere questo problema, utilizzate un nome per la policy specifico per il vostro caso d'uso. Per un elenco di prefissi riservati AMS, consulta Prefissi [riservati AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html). | 
| L'ID della risorsa nell'ARN si trova nello spazio dei nomi con restrizioni AMS. | Questo risultato viene generato se si tenta di creare una politica che conceda l'autorizzazione a risorse denominate presenti nello spazio dei nomi AMS. Per risolvere questo problema, assicurati di definire l'ambito delle autorizzazioni per le tue risorse o di negare le autorizzazioni alle risorse che si trovano nello spazio dei nomi AMS. [Per ulteriori informazioni sugli spazi dei nomi AMS, consulta AMS Restricted namespaces.](https://docs.aws.amazon.com/managedservices/latest/userguide/apx-namespaces.html) | 
| Caso di variabile di policy non valido. Aggiorna la variabile a. *Variable\$1Names* | Questo risultato viene generato se si tenta di creare una policy che contenga una variabile di policy globale IAM nel caso errato. Per risolvere questo problema, utilizza la maiuscola/minuscola corretta per le variabili globali nella tua policy. Per un elenco di variabili globali, consulta [AWS Global Condition Context keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html). Per ulteriori informazioni sulle variabili di policy, consulta [IAM policy elements: Variables and tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) | 
| L'istruzione contiene azioni privilegiate che non rientrano nell'ambito delle chiavi KMS. Valuta la possibilità di assegnare queste autorizzazioni a chiavi specifiche o di escludere le chiavi di proprietà di AMS. | Questo risultato viene generato se la policy contiene autorizzazioni che non rientrano nell'ambito di specifiche chiavi KMS di tua proprietà. Per risolvere questo problema, concedi l'autorizzazione a chiavi specifiche o escludi le chiavi di proprietà di AMS. Le chiavi di proprietà di AMS hanno set di alias specifici. Per un elenco degli alias chiave di proprietà di AMS, vedere. [Controllo dei limiti di autorizzazione AMS Automated IAM Provisioning](aip-runtime-checks-perm-boundary.md) | 
| L'istruzione contiene azioni privilegiate che non rientrano nell'ambito degli alias delle chiavi KMS. Valuta la possibilità di assegnare queste autorizzazioni alle tue chiavi o alias oppure escludi gli alias chiave di proprietà di AMS. | Questo risultato viene generato se la policy contiene autorizzazioni che non rientrano nell'ambito di alias di chiavi KMS specifici di tua proprietà. Per risolvere questo problema, concedi l'autorizzazione a chiavi specifiche o escludi le chiavi di proprietà di AMS. Le chiavi di proprietà di AMS hanno set di alias specifici. Per un elenco degli alias chiave di proprietà di AMS, vedere. [Controllo dei limiti di autorizzazione AMS Automated IAM Provisioning](aip-runtime-checks-perm-boundary.md) | 
| L'informativa contiene azioni privilegiate che non rientrano in modo adeguato nell'ambito delle chiavi KMS utilizzando il. `kms:ResourceAliases condition` Prendi in considerazione l'utilizzo di alias specifici insieme all'operatore di set appropriato per la chiave di condizione. Se vengono utilizzati caratteri jolly nei nomi degli alias, assicurati che limitino l'ambito a un set limitato di chiavi KMS. | Questo risultato viene generato se stai definendo l'ambito delle autorizzazioni per le tue chiavi KMS utilizzando le condizioni e non utilizzando gli alias `kms:ResourceAliases` per le tue chiavi KMS. Oppure, se la chiave di `kms:ResourceAliases` condizione ha un valore che include anche gli alias delle chiavi KMS di proprietà di AMS. Per risolvere questo problema, aggiorna la condizione in modo da limitare l'autorizzazione solo agli alias delle tue chiavi KMS o escludi gli alias per le chiavi KMS di proprietà di AMS. Per un elenco degli alias delle chiavi di proprietà di AMS, consulta. [Controllo dei limiti di autorizzazione AMS Automated IAM Provisioning](aip-runtime-checks-perm-boundary.md) | 
| Al ruolo deve essere allegato customer\$1deny\$1policy. Includi l'ARN della policy nell'elenco delle policy gestite. ARNs | Questo risultato viene generato se il ruolo che si sta creando non è `customer_deny_policy` associato. Per risolvere il problema, includetelo `customer_deny_policy` nell' ARNs elenco delle policy gestite. | 
| La politica AWS gestita è eccessivamente permissiva o concede autorizzazioni limitate dalla politica dei confini di AMS. | Questo risultato viene generato se il **ManagedPolicyArns**valore del ruolo contiene una politica gestita da AMS che fornisce l'accesso completo o a livello di amministratore al servizio pertinente. Per risolvere questo problema, esamina l'utilizzo della politica AWS gestita e utilizza una politica che fornisca l'autorizzazione di ripartizione dell'ambito o definisci una politica personalizzata che segua il principio del privilegio minimo. | 
| La policy gestita dai clienti si trova in un namespace AMS limitato. | Questo risultato viene generato se al ruolo è associata una politica gestita dal cliente con il nome come prefisso nel AWS namespace. Per risolvere questo problema, rimuovi la policy dall'**ManagedPolicyArn**elenco per il ruolo. | 
| La customer\$1deny\$1policy non può essere scollegata dal ruolo. Includi l'ARN della policy nell'elenco delle policy gestite. ARNs | Questo risultato viene generato se `customer_deny_policy` viene rimosso dal ruolo durante un aggiornamento. Per risolvere il problema, aggiungi il `customer_deny_policy` al **ManagedPolicyArns**campo del ruolo e riprova. | 
| Le politiche gestite dal cliente sono state fornite al di fuori del servizio AMS Change Management o senza previa convalida. | Questo risultato viene generato se una o più politiche gestite dai clienti esistenti ARNs sono associate a un ruolo e le politiche non vengono fornite tramite il servizio AMS Change Management (tramite una RFC). Ad esempio, Developer Mode o Direct Change Mode consentono ai clienti di fornire policy IAM senza una RFC. Per risolvere questo problema, rimuovi la policy gestita ARNs dal cliente dall'**ManagedPolicyArns**elenco per il ruolo. | 
| Il numero di policy gestite fornite ARNs supera la policy allegata per quota di ruolo. | Questo risultato viene generato se il numero totale di policy gestite associate al ruolo supera la quota di policy per ruolo. Per ulteriori informazioni sulle quote IAM, consulta Quote [IAM e AWS STS, requisiti dei nomi e limiti di caratteri](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html). Utilizza queste informazioni per ridurre il numero di policy da associare al ruolo. | 
| La dimensione della policy di trust (\$1trust\$1policy\$1) supera la quota di \$1size\$1 relativa alle dimensioni della policy di assunzione del ruolo. | Questo risultato viene generato se la dimensione del documento relativo alla politica di assunzione del ruolo supera la quota relativa alla dimensione della policy. Per ulteriori informazioni sulle quote IAM, consulta Quote [IAM e AWS STS, requisiti dei nomi e limiti di caratteri](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html). | 
| L'informativa contiene tutte le azioni mutative per Amazon S3. Valuta la possibilità di estendere queste autorizzazioni solo alle azioni obbligatorie. Se vengono utilizzate delle wild card, assicuratevi che coprano un insieme limitato di azioni mutative. | Questo risultato viene generato se la policy specificata concede tutte le autorizzazioni mutative di Amazon Simple Storage Service indipendentemente da una o più risorse. Per risolvere questo problema, includi solo le azioni mutative richieste di Amazon S3 sui tuoi bucket. | 
| L'istruzione contiene azioni privilegiate che non sono consentite su nessun bucket in Amazon S3. Valuta la possibilità di aggiungere una dichiarazione che neghi queste azioni. | Questo risultato viene generato se la politica concede azioni privilegiate su qualsiasi bucket. Per un elenco delle azioni privilegiate, consulta [Controllo dei limiti di autorizzazione AMS Automated IAM Provisioning](aip-runtime-checks-perm-boundary.md) Per risolvere questo problema, rimuovi o nega queste azioni nella tua politica. | 
| L'informativa contiene azioni privilegiate che non rientrano nell'ambito dei tuoi bucket in Amazon S3. Valuta la possibilità di includere o escludere i bucket con prefissi dei namespace AMS. Se vengono utilizzate delle wild card, assicuratevi che corrispondano ai bucket all'interno dei vostri namespace. | Questo risultato viene generato se la policy concede ad Amazon S3 azioni che non rientrano solo nell'ambito dei tuoi bucket. Ciò si verifica spesso se si utilizzano delle wild card quando si specificano le risorse del bucket. Per risolvere questo problema, specifica i nomi dei bucket o quelli di ARNs cui sei proprietario o escludi i bucket con prefissi dello spazio dei nomi AMS. | 
| L'informativa contiene azioni privilegiate che non rientrano nell'ambito dei tuoi bucket in Amazon S3. Valuta la possibilità di evitare l'uso di wild card (\$1) che coprono tutti i bucket dell'account. | Questo risultato viene generato se la policy concede ad Amazon S3 azioni che non rientrano nell'ambito del tuo bucket. Ciò si verifica spesso se si utilizzano delle wild card per specificare le risorse del bucket. Per risolvere questo problema, specifica i nomi dei bucket o quelli di ARNs cui sei proprietario o escludi i bucket con prefissi dello spazio dei nomi AMS. | 
| L'istruzione contiene una wildcard di risorse valida per tutti i bucket Amazon S3, inclusi i bucket inesistenti e i bucket di cui non sei proprietario. Valuta la possibilità di definire l'ambito delle autorizzazioni utilizzando una condizione e una chiave di condizione. `s3:ResourceAccount` | Questo risultato viene generato se la policy concede l'autorizzazione ai bucket specificati utilizzando le wild card. L'uso delle wild card spesso rientra nell'ambito di applicazione dei bucket non esistenti o di cui non è proprietario. Per risolvere questo problema, usa condition e `aws:ResourceAccount` condition key per definire l'ambito dell'autorizzazione solo per i bucket all'interno dell'account corrente. Per ulteriori dettagli, consulta [Limitare l'accesso ai bucket Amazon S3 di proprietà di account specifici](https://aws.amazon.com/blogs/storage/limit-access-to-amazon-s3-buckets-owned-by-specific-aws-accounts/). AWS  | 
| L'informativa contiene un elemento di `NotResource` policy, che può essere applicato a un gran numero di bucket, inclusi bucket inesistenti e bucket di cui non sei proprietario. Valuta la possibilità di definire l'ambito delle autorizzazioni utilizzando una condizione e una chiave di condizione. `s3:ResourceAccount` | Questo risultato viene generato se la policy utilizza l'elemento `NotResources` policy per specificare le risorse del bucket. L'utilizzo dell'`NotResource`elemento potrebbe riguardare un gran numero di bucket, inclusi bucket inesistenti o non proprietari. Per risolvere questo problema, utilizza le condizioni e la chiave di `aws:ResourceAccount` condizione per limitare l'autorizzazione ai bucket solo all'interno dell'account corrente. | 
| L'istruzione contiene azioni di Amazon S3 sui bucket *Bucket\$1Name* che non esistono, non appartengono all'account *Account\$1ID* o il nome contiene una wild card che potrebbe essere applicata a un gran numero di bucket, inclusi quelli inesistenti e quelli che non possiedi. Valuta la possibilità di definire l'ambito delle autorizzazioni utilizzando una condizione e la chiave di condizione `s3:ResourceAccount` | Questo risultato viene generato se la policy concede l'autorizzazione a bucket che non esistono, non sono di tua proprietà o contengono wild card nei nomi dei bucket che coprono un gran numero di bucket e l'accesso non è limitato solo all'account corrente. Per risolvere il problema, utilizza condition e `aws:ResourceAccount` condition key per definire l'ambito dell'autorizzazione solo per i bucket all'interno dell'account corrente. | 
| L'istruzione contiene azioni di Amazon S3 su bucket *Bucket\$1Name* che non esistono, non sono di proprietà dell'account *Account\$1ID* oppure il nome contiene una wild card che potrebbe essere applicata a un gran numero di bucket, inclusi bucket inesistenti e bucket di cui non sei proprietario. L'accesso non è limitato all'utilizzo `s3:ResourceAccount` o all'account di risorse specificato nella condizione che non ti appartiene. | Questo risultato viene generato se la politica concede l'autorizzazione a bucket che non esistono, non sono di tua proprietà o contengono wild card nei nomi dei bucket che coprono un gran numero di bucket e l'accesso è limitato solo a un account specifico. Tuttavia, l'account specificato nella chiave di `aws:ResourceAccount` condizione non appartiene all'utente ed è gestito da AMS. Per risolvere questo problema, aggiorna la chiave `aws:ResourceAccount` condizionale e imposta l'ID dell'account appropriato che possiedi e che è gestito da AMS. | 
| L'informativa contiene azioni privilegiate che non rientrano nell'ambito delle tue istanze per Amazon EC2. Valuta la possibilità di assegnare le azioni a un'istanza specifica ARNs o di escludere le istanze che hanno la chiave Name tag con valore nei prefissi dello spazio dei nomi AMS. Se vengono utilizzate delle wild card, assicuratevi che corrispondano ai namespace di cui siete proprietari. | Questo risultato viene generato se la policy concede azioni privilegiate contro le istanze Amazon EC2 di proprietà di AMS. Le istanze AMS sono contrassegnate con la chiave **Name** tag con valori nello spazio dei nomi AMS. Per risolvere questo problema, specifica le tue risorse o escludi le istanze AMS con una condizione la cui `aws:ResourceTag/Name` chiave esclude i valori nello spazio dei nomi AMS utilizzando l'operatore `StringNotLike` | 
| L'istruzione contiene azioni privilegiate che non rientrano nell'ambito delle risorse nell'archivio dei parametri. AWS Systems Manager Valuta la possibilità ARNs di specificare i parametri o di escludere i parametri con i prefissi dello spazio dei nomi AMS. Se vengono utilizzate delle wild card, assicuratevi che includano solo i vostri parametri. | Questo risultato viene generato se la politica concede autorizzazioni per parametri di cui non sei proprietario. Di solito si tratta di quando vengono utilizzate wild card o quando i parametri con prefissi dello spazio dei nomi AMS sono elencati tra le risorse di una dichiarazione politica. Per risolvere questo problema, specificate i parametri che rientrano nel vostro namespace o escludete i parametri AMS con un'istruzione deny. | 
| L'informativa contiene azioni privilegiate contro le risorse in. AWS Systems Manager Valuta la possibilità di definire l'ambito delle autorizzazioni per azioni di sola lettura o azioni contro le tue risorse. | Questo risultato viene generato se la policy concede autorizzazioni diverse dall'archivio dei parametri o dalle azioni di sola lettura sulle risorse di Systems Manager. Per risolvere questo problema, riduci le autorizzazioni alle azioni di sola lettura o alla sola memorizzazione dei parametri. | 
| L'istruzione contiene azioni privilegiate che non rientrano nell'*Service\$1Name*ambito di \$1message\$1 di tua proprietà. Valuta la possibilità di assegnare queste autorizzazioni a tipi di risorse specifici, a seconda dei casi, o di escludere le risorse di proprietà di AMS. Se vengono utilizzate delle wild card, assicuratevi che corrispondano. *Resources* | Questo risultato viene generato se la politica consente azioni privilegiate che non sono concesse nei confronti delle risorse, in particolare per le risorse denominate. Per risolvere questo problema, esamina l'elenco delle risorse e verifica se riguardano solo le risorse che si trovano nel tuo spazio dei nomi. In alternativa, escludi le risorse che si trovano nello spazio dei nomi AMS. | 
| L'istruzione contiene azioni di etichettatura di \$1*Service\$1Name*\$1 che non sono limitate a valori specifici per la chiave Name tag. Prendi in considerazione la possibilità di definire l'ambito di queste azioni impostando la chiave di `aws:RequestTag/Name` condizione con i valori nel tuo spazio dei nomi o di limitare queste azioni impostando la chiave di `aws:RequestTag/Name` condizione con l'`StringNotLike`operatore con i valori nei prefissi dello spazio dei nomi AMS. | Questo risultato viene generato se la politica concede l'autorizzazione di etichettatura per un determinato servizio e l'autorizzazione non è limitata a chiavi/valori di tag specifici. Per definire quale chiave o valore può essere utilizzato nelle azioni dei tag, ad esempio, quando si richiede di eseguire le azioni, utilizza la condizione. `aws:RequestTag/tag key` Quindi, per risolvere questo problema, usa questa chiave condizionale per limitare la chiave o i valori nello spazio dei nomi. Oppure, nega il `Name` tag key (`aws:RequestTag/Name`) con valori nello spazio dei nomi AMS. | 
| Errore interno durante la convalida della policy di fiducia dei ruoli IAM. | Questo risultato viene generato quando CT automation rileva un errore durante la convalida della policy di trust dei ruoli IAM tramite il servizio IAM Access Analyzer. Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore. | 
| Errore interno durante la convalida della politica gestita dal cliente. | Questo risultato viene generato quando CT Automation rileva un errore durante la convalida della policy gestita dal cliente tramite il servizio IAM Access Analyzer. Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore. | 
| Analizzatore di accesso non trovato in. *Regione AWS* Impossibile eseguire il controllo di anteprima dell'accesso per la politica di attendibilità dei ruoli. | Questo risultato viene generato quando la risorsa IAM Access Analyzer non viene trovata in. Regione AWS Contatta AMS Operations per risolvere i problemi e creare una risorsa IAM Access Analyzer nella regione AWS. | 
| Policy di fiducia non valida per il ruolo *Role\$1Name* | Questo risultato viene generato quando il ruolo IAM fornito contiene una policy di fiducia non valida. Per risolvere, rivedi la politica di fiducia per verificare che sia valida. | 
| IAM Access Analyzer ha riscontrato un errore interno. Impossibile creare l'anteprima di accesso per il ruolo *Role\$1Name* | Questo risultato viene generato quando l'automazione riscontra un errore durante la creazione di un'anteprima di accesso per un ruolo tramite IAM Access Analyzer. Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore. | 
| Impossibile creare l'anteprima di accesso per la politica di attendibilità del ruolo *Role\$1Name* | Questo risultato viene generato quando l'automazione rileva un errore durante la creazione di un'anteprima di accesso per un ruolo tramite IAM Access Analyzer. Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore. | 
| Errore interno durante la convalida dell'IdP SAML elencato. | Questo risultato viene generato quando l'automazione riscontra un errore durante la convalida del SAML IdPs fornito elencato nella policy di attendibilità dei ruoli. Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore. | 
| Errore interno relativo alla convalida delle autorizzazioni. AWS Key Management Service | Questo risultato viene generato quando l'automazione riscontra un errore durante la convalida delle autorizzazioni AWS KMS chiave nella politica fornita. Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore. | 
| Errore interno durante la convalida della politica gestita elencata. ARNs | Questo risultato viene generato quando l'automazione riscontra un errore durante la convalida della policy gestita elencata. ARNs Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore. | 
| Errore interno durante la convalida dell'allegato predefinito. `customer_deny_policy` | Questo risultato viene generato quando l'automazione riscontra un errore durante la convalida dell'associazione al `customer_deny_policy` ruolo. Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore. | 
| Errore interno durante la convalida delle policy gestite relative al ruolo *Role\$1Name* | Questo risultato viene generato quando l'automazione rileva un errore durante la convalida della politica gestita per il ruolo. ARNs Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore. | 
| Errore interno durante la convalida *Policy\$1name* rispetto alla politica dei limiti definita dal cliente `AWSManagedServicesIAMProvisionCustomerBoundaryPolicy` | Questo risultato viene generato quando l'automazione rileva un errore durante la convalida della policy che contiene l'elenco di rifiuto personalizzato. Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore. | 
| Nell'account esiste una politica dei limiti definita dal cliente. `AWSManagedServicesIAMProvisionCustomerBoundaryPolicy` Tuttavia, la politica contiene istruzioni di autorizzazione che concedono autorizzazioni. La policy deve contenere solo dichiarazioni di rifiuto. | Questo risultato viene generato quando la politica che contiene l'elenco di rifiuto personalizzato include una dichiarazione che concede l'autorizzazione. Sebbene la lista di rifiuto personalizzata esista all'interno del tuo account come policy gestita da IAM, non può essere utilizzata per la gestione delle autorizzazioni. La policy deve contenere solo dichiarazioni di rifiuto che indicano che desideri che AMS Automated IAM Provisioning convalidi e neghi le azioni nelle policy IAM create da AMS Automated IAM Provisioning. | 
| L'informativa contiene azioni privilegiate definite dall'organizzazione per. *Service\$1Name* Valuta la possibilità di escludere queste azioni con una dichiarazione di rifiuto. Fai riferimento alla politica indicata nel tuo account per fare riferimento all'elenco di azioni riservate. | Questo risultato viene generato quando l'automazione rileva qualsiasi azione nella politica definita nell'elenco di rifiuto personalizzato. Per risolvere il problema, rivedi l'informativa sulla politica e rimuovi tutte le azioni definite nell'elenco di rifiuto personalizzato o aggiungi una dichiarazione di rifiuto che neghi tali azioni. | 
| Il ruolo deve essere allegato. *POLICY\$1ARN* Includi l'ARN della policy nell'elenco delle policy gestite. ARNs | Questo risultato viene generato se il ruolo che stai creando non è *POLICY\$1ARN* associato. Per risolvere il problema, includi il ruolo **ManagedPolicyArns**nel campo del ruolo e riprova. *POLICY\$1ARN* | 
| Non *POLICY\$1ARN* può essere distaccato dal ruolo. Includi l'ARN della policy nell'elenco delle policy gestite. ARNs | Questo risultato viene generato se *POLICY\$1ARN* viene rimosso dal ruolo durante un aggiornamento. Per risolvere il problema, aggiungi il *POLICY\$1ARN* al **ManagedPolicyArns**campo del ruolo e riprova. | 

# Controllo dei limiti di autorizzazione AMS Automated IAM Provisioning
<a name="aip-runtime-checks-perm-boundary"></a>

I controlli dei limiti di autorizzazione AMS ti aiutano a rispettare la politica dei limiti di autorizzazione predefinita fornita da AMS. Questa policy è un elenco di azioni negate da AMS Automated IAM Provisioning. Le politiche di provisioning che contengono queste azioni limitate richiedono un'ulteriore accettazione esplicita del rischio. [Scarica la policy qui: boundary-policy.zip.](samples/boundary-policy.zip)

Utilizza i controlli della politica dei limiti di autorizzazione definiti dal cliente per personalizzare le azioni di negazione oltre i valori predefiniti della politica dei limiti di autorizzazione AMS. Quando effettui l'onboarding ad AMS Automated IAM Provisioning utilizzando il seguente tipo di modifica: Gestione \$1 Account gestito \$1 AMS Automated IAM Provisioning con autorizzazioni di lettura/scrittura \$1 [Abilita (automazione gestita)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html) (ct-1706xvvk6j9hf), puoi includere un elenco di azioni di negazione personalizzate che specificano azioni limitate aggiuntive. 

Puoi aggiornare l'elenco delle azioni di negazione utilizzando il tipo di modifica: Gestione \$1 Account gestito \$1 Provisioning IAM automatizzato con autorizzazioni di lettura/scrittura \$1 [Aggiorna elenco di negazioni personalizzato](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-update-custom-deny-list-review-required.html) (ct-2r9xvd3sdsic0). È necessario utilizzare il ruolo IAM dedicato per eseguire questo tipo di modifica. `AWSManagedServicesIAMProvisionAdminRole`

**Nota**  
È necessario fornire un elenco completo di azioni di negazione per ogni aggiornamento. L'elenco precedente viene sostituito dal nuovo elenco.
L'elenco delle azioni di rifiuto deve contenere solo le azioni da negare. Le azioni di autorizzazione non sono supportate. 
L'elenco delle azioni di negazione si trova all'interno dell'account sotto forma di policy gestita da IAM. `AWSManagedServicesIAMProvisionCustomerBoundaryPolicy` La policy non deve essere associata a nessun ruolo.
Il termine *limite di autorizzazione* utilizzato per indicare le azioni negate in AMS Automated IAM Provisioning ha un significato contestuale diverso rispetto al limite di autorizzazione IAM. Il limite di autorizzazione IAM imposta l'autorizzazione massima che una policy può concedere in fase di esecuzione a un'entità IAM. Per ulteriori informazioni sui limiti delle autorizzazioni IAM, consulta [Tipi di policy nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policy-types) per l'*AWS Identity and Access Management utente*. Il limite di autorizzazione in AMS Automated IAM Provisioning impedisce di fornire una policy IAM che contenga un determinato set di autorizzazioni, ad esempio un elenco di azioni negate.

# Risoluzione dei problemi relativi ai risultati e agli errori di AMS Automated IAM Provisioning
<a name="aip-troubleshooting"></a>

Esistono tre modi in cui potresti riscontrare problemi quando utilizzi AMS Automated IAM Provisioning:
+ Errori RFC: possono verificarsi per una serie di motivi, ad esempio un inserimento errato. Per ulteriori informazioni, consulta [Risoluzione degli errori RFC in AMS](rfc-troubleshoot.md).
+ Errori SSM: possono verificarsi per diversi motivi, ad esempio una formattazione scadente. Per ulteriori informazioni, vedere [Troubleshooting Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-troubleshooting.html).
+ Risultati del controllo di convalida: si verificano quando uno dei numerosi controlli di convalida eseguiti da Automated IAM Provisioning rileva un problema. Per un elenco dei controlli di convalida e delle azioni consigliate da correggere, consulta. [Controlli di runtime per AMS Automated IAM Provisioning in AMS](aip-runtime-checks.md)