Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Aggiorna una politica di delega basata sulle risorse con AWS Organizations Dall'account di gestione, aggiorna una politica di delega basata sulle risorse per la tua organizzazione e aggiungi una dichiarazione che specifichi quali account membri possono eseguire azioni sulle politiche. Puoi aggiungere più istruzioni nella policy per indicare un diverso set di autorizzazioni per gli account membri. **Autorizzazioni minime** Per aggiornare la politica di delega basata sulle risorse, sono necessarie le autorizzazioni per eseguire le seguenti azioni: `organizations:PutResourcePolicy` `organizations:DescribeResourcePolicy` Inoltre, devi concedere ai ruoli e agli utenti nell'account amministratore delegato le autorizzazioni IAM corrispondenti alle azioni richieste. Senza le autorizzazioni IAM, si presume che il principale chiamante non disponga delle autorizzazioni necessarie per gestire le policy. AWS Organizations ------ #### [ Console di gestione AWS ] Aggiungi le istruzioni alla policy di delega basata sulle risorsa nella Console di gestione AWS utilizzando uno dei seguenti metodi: + **Politica JSON**: incolla e personalizza un esempio di politica di delega basata sulle risorse da utilizzare nel tuo account oppure digita il tuo documento di policy JSON nell'editor JSON. + **Editor visivo**: crea una nuova policy di delega nell'editor visivo che ti guidi nella creazione di una policy di delega senza dover scrivere una sintassi JSON. **Utilizza l'editor di policy JSON per aggiornare una politica di delega** 1. Accedi alla [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account di gestione dell'organizzazione. 1. Seleziona **Impostazioni**. 1. Nella AWS Organizations sezione **Amministratore delegato per**, scegli **Modifica** per aggiornare la politica di delega di Organizations. 1. Specificare un documento della policy JSON. Per dettagli sul linguaggio della policy IAM, consulta la [Documentazione di riferimento delle policy JSON IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies.html). 1. **Risolvi eventuali [avvisi di sicurezza, errori o avvisi generali](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) generati durante la convalida delle politiche, quindi scegli Crea politica.** **Usa l'editor visivo per aggiornare una politica di delega** 1. Accedi alla [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account di gestione dell'organizzazione. 1. Seleziona **Impostazioni**. 1. Nella AWS Organizations sezione **Amministratore delegato per**, scegli **Modifica** per aggiornare la politica di delega di Organizations. 1. Nella pagina **Create Delegation policy** (Crea politica di delega), scegli **Add new statement** (Aggiungi nuova istruzione). 1. Imposta **Effect** (Effetto) su `Allow`. 1. Aggiungi `Principal` per definire gli account dei membri a cui desideri delegare. 1. Dall'elenco di **operazioni**, scegli le operazioni che desideri delegare. Puoi utilizzare il campo **Filter actions** (Filtra operazioni) per limitare le scelte. 1. Per specificare se l'account membro delegato può allegare politiche alle unità principali o organizzative dell'organizzazione (OUs), imposta. `Resources` Dovrai inoltre selezionare `policy` come tipo di risorsa. È possibile specificare le risorse nei seguenti modi: + Scegli **Add a resource** (Aggiungi una risorsa) e crea il nome della risorsa Amazon (ARN) seguendo le istruzioni nella finestra di dialogo. + Elenca le risorse ARNs manualmente nell'editor. Per ulteriori informazioni sulla sintassi ARN, consulta [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) nella General Reference Guide. AWS Per informazioni sull'utilizzo ARNs dell'elemento risorsa di una policy, consulta [IAM JSON policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) elements: Resource. 1. Scegli **Add a condition** (Aggiungi una condizione) per specificare altre condizioni, incluso il tipo di policy che desideri delegare. Scegli la **chiave di condizione**, la **chiave di tag**, il **qualificatore** e l'**operatore**, quindi digita un **Value**. Una volta terminato, scegli **Add condition** (Aggiungi condizione). Per ulteriori informazioni sull'elemento **Condition**, consulta [Elementi della policy JSON IAM: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella Documentazione di riferimento delle policy JSON IAM. 1. Per aggiungere più blocchi di autorizzazioni, consulta **Add new statement** (Aggiungi nuova istruzione). Per ogni blocco, ripetere i passaggi da 5 a 9. 1. **Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la [convalida della policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html), quindi scegli Salva policy.** ------ #### [ AWS CLI & AWS SDKs ] **Creazione o aggiornamento di una policy di delega** Per creare o aggiornare una policy di delega, puoi utilizzare il seguente comando: + AWS CLI: [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/put-resource-policy.html) Nell'esempio seguente viene creata o aggiornata la policy di delega. ``` $ aws organizations put-resource-policy --content { "Version": "2012-10-17", "Statement": [ { "Sid": "Fully_manage_backup_policies", "Effect": "Allow", "Principal": { "AWS": "135791357913" }, "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:CreatePolicy", "organizations:DescribePolicy", "organizations:UpdatePolicy", "organizations:DeletePolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": [ "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu", "arn:aws:organizations::246802468024:ou/o-abcdef/*", "arn:aws:organizations::246802468024:account/o-abcdef/*", "arn:aws:organizations::246802468024:organization/policy/backup_policy/*", ], "Condition": { "StringLikeIfExists": { "organizations:PolicyType": [ "BACKUP_POLICY" ] } } } ] } ``` + AWS SDK: [PutResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_PutResourcePolicy.html) ------ **Operazioni di policy di delega supportate** Le seguenti operazioni sono supportate per la policy di delega: + `AttachPolicy` + `CreatePolicy` + `DeletePolicy` + `DescribeAccount` + `DescribeCreateAccountStatus` + `DescribeEffectivePolicy` + `DescribeHandshake` + `DescribeOrganization` + `DescribeOrganizationalUnit` + `DescribePolicy` + `DescribeResourcePolicy` + `DetachPolicy` + `DisablePolicyType` + `EnablePolicyType` + `ListAccounts` + `ListAccountsForParent` + `ListAWSServiceAccessForOrganization` + `ListChildren` + `ListCreateAccountStatus` + `ListDelegatedAdministrators` + `ListDelegatedServicesForAccount` + `ListHandshakesForAccount` + `ListHandshakesForOrganization` + `ListOrganizationalUnitsForParent` + `ListParents` + `ListPolicies` + `ListPoliciesForTarget` + `ListRoots` + `ListTagsForResource` + `ListTargetsForPolicy` + `TagResource` + `UntagResource` + `UpdatePolicy` **Chiavi di condizione supportate** Solo le chiavi condizionali supportate da AWS Organizations possono essere utilizzate per la politica di delega. Per ulteriori informazioni, vedere [Condition keys for AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) nel *Service Authorization Reference*.