Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in AWS Organizations
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che funziona Servizi AWS nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per maggiori informazioni sui programmi di conformità applicabili AWS Organizations, consulta Servizi AWS la sezione [Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione consente di comprendere come applicare il modello di responsabilità condivisa quando si usa Organizations. I seguenti argomenti illustrano come configurare Organizations per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche a utilizzarne altri Servizi AWS che ti aiutano a monitorare e proteggere le risorse della tua Organizations.
**Topics**
+ [AWS PrivateLink per AWS Organizations](orgs_security_privatelink.md)
+ [Identity and Access Management per AWS Organizations](orgs_security_iam.md)
+ [Registrazione e monitoraggio AWS Organizations](orgs_security_incident-response.md)
+ [Convalida della conformità per AWS Organizations](orgs_security_compliance-validation.md)
+ [Resilienza in AWS Organizations](orgs_security_disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in AWS Organizations](orgs_security_infrastructure.md)
# AWS PrivateLink per AWS Organizations
Con AWS PrivateLink for AWS Organizations, puoi accedere al AWS Organizations servizio dall'interno del Virtual Private Cloud (VPC) senza dover attraversare la rete Internet pubblica.
Amazon VPC ti consente di avviare AWS risorse in una rete virtuale personalizzata. Puoi utilizzare un VPC per controllare le impostazioni di rete, come l'intervallo di indirizzi IP, le sottoreti, le tabelle di routing e i gateway di rete. Per ulteriori informazioni VPCs, consulta la [https://docs.aws.amazon.com/vpc/latest/userguide/](https://docs.aws.amazon.com/vpc/latest/userguide/) Guide.
Per connettere il tuo Amazon VPC AWS Organizations, devi prima definire un endpoint VPC di interfaccia (endpoint di interfaccia). Gli endpoint dell'interfaccia sono rappresentati da una o più interfacce di rete elastiche (ENIs) a cui vengono assegnati indirizzi IP privati dalle sottoreti del VPC. Le richieste dal tuo VPC agli endpoint AWS Organizations over interface rimangono sulla rete Amazon.
Per informazioni generali sugli endpoint di interfaccia, consulta [Accedere a un AWS servizio utilizzando un endpoint VPC di interfaccia nella *Amazon VPC*](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-interface-limitations) User Guide.
**Topics**
+ [Limitazioni e restrizioni di AWS PrivateLink AWS Organizations](#limits-restrictions-privatelink)
+ [Creazione di un endpoint VPC](create-vpc-endpoint.md)
+ [Creazione di una policy degli endpoint VPC](create-vpc-endpoint-policy.md)
## Limitazioni e restrizioni di AWS PrivateLink AWS Organizations
Le limitazioni VPC si applicano a for. AWS PrivateLink AWS Organizations Per ulteriori informazioni, consulta [Accedere a un AWS servizio utilizzando un endpoint e AWS PrivateLink quote VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-interface-limitations) [nella](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html) Amazon *VPC* User Guide. Inoltre, si applicano le limitazioni seguenti:
+ Disponibile solo nella regione `us-east-1`
+ Non supporta Transport Layer Security (TLS) 1.1
# Creazione di un endpoint VPC per AWS Organizations
Puoi creare un AWS Organizations endpoint nel tuo VPC utilizzando la console Amazon VPC, AWS Command Line Interface il () o.AWS CLI CloudFormation
*Per informazioni sulla creazione e configurazione di un endpoint utilizzando la console Amazon VPC o la AWS CLI, consulta Create a VPC [endpoint nella Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) User Guide.* *Per informazioni sulla creazione e configurazione di un endpoint utilizzando CloudFormation, consulta la VPCEndpoint risorsa [AWS: :EC2::](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) nella User Guide.AWS CloudFormation *
Quando crei un AWS Organizations endpoint, usa quanto segue come nome del servizio:
```
com.amazonaws.us-east-1.organizations
```
Se per l'accesso sono necessari moduli crittografici convalidati FIPS 140-2 AWS, utilizzate il seguente nome di servizio FIPS: AWS Organizations
```
com.amazonaws.us-east-1.organizations-fips
```
# Creazione di una policy per gli endpoint VPC per AWS Organizations
Puoi allegare una policy per gli endpoint al tuo endpoint VPC che controlla l'accesso a Organizations. La policy specifica le informazioni riportate di seguito:
+ Il principale che può eseguire operazioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire azioni.
Per ulteriori informazioni, consulta [Controllo degli accessi agli endpoint VPC tramite le policy degli endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella *Guida per l'utente di Amazon VPC*.
## Esempio: policy degli endpoint VPC per le azioni AWS Organizations
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"Organizations:DescribeAccount"
],
"Resource":"*"
}
]
}
```
# Identity and Access Management per AWS Organizations
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse Organizations. IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come AWS Organizations funziona con IAM](security_iam_service-with-iam.md)
+ [Gestione delle autorizzazioni di accesso per un'organizzazione](orgs_permissions_overview.md)
+ [Esempi di policy basate su identità](security_iam_id-based-policy-examples.md)
+ [Esempi di policy basate su risorse](security_iam_resource-based-policy-examples.md)
+ [AWS politiche gestite](orgs_reference_available-policies.md)
+ [Controllo dell'accesso basato su attributi con tag](orgs_tagging_abac.md)
+ [Risoluzione dei problemi](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all' AWS Organizations identità e all'accesso](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come AWS Organizations funziona con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per AWS Organizations](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come AWS Organizations funziona con IAM
Prima di utilizzare IAM per gestire l'accesso alle Organizzazioni, scopri quali funzionalità IAM sono disponibili per l'uso con Organizations.
| Funzionalità IAM | Organizations support |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | Sì |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | No |
| [Inoltro delle sessioni di accesso (FAS)](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | Sì |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una visione di alto livello di come Organizations e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per Organizations
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di policy basate sull'identità per Organizations
Per visualizzare esempi di politiche basate sull'identità di Organizations, vedere. [Esempi di policy basate sull'identità per AWS Organizations](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno di Organizations
**Supporta le policy basate sulle risorse**: sì
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
Il servizio Organizations supporta solo un tipo di policy basata sulle risorse, denominata policy di *delega basata sulle risorse, che specifica quali account membro possono eseguire azioni sulle policy*. Puoi aggiungere più istruzioni nella policy per indicare un diverso set di autorizzazioni per gli account membri.
Per ulteriori informazioni, consulta [Amministratore delegato per AWS Organizations](orgs_delegate_policies.md).
### Esempi di policy basate sulle risorse all'interno di Organizations
Per visualizzare esempi di politiche basate sulle risorse di Organizations, consulta, [Esempi di policy basate sulle risorse per AWS Organizations](security_iam_resource-based-policy-examples.md)
## Azioni politiche per le Organizzazioni
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l’accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni di eseguire l’operazione associata.
Per visualizzare un elenco delle azioni di Organizations, vedere [Actions defined by AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-actions-as-permissions) nel *Service Authorization Reference*.
Le azioni politiche in Organizations utilizzano il seguente prefisso prima dell'azione:
```
organizations
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"organizations:action1",
"organizations:action2"
]
```
Per visualizzare esempi di politiche basate sull'identità di Organizations, vedere. [Esempi di policy basate sull'identità per AWS Organizations](security_iam_id-based-policy-examples.md)
## Risorse politiche per le Organizzazioni
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di risorse Organizations e relativi ARNs, vedere [Resources defined by AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-resources-for-iam-policies) nel *Service Authorization Reference*. Per informazioni sulle operazioni con cui è possibile specificare l’ARN di ogni risorsa, consulta la sezione [Operazioni definite da AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-actions-as-permissions).
Per visualizzare esempi di politiche basate sull'identità di Organizations, vedere. [Esempi di policy basate sull'identità per AWS Organizations](security_iam_id-based-policy-examples.md)
## Chiavi relative alle condizioni delle policy per Organizations
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco delle chiavi di condizione di Organizations, vedere [Condition keys for AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-policy-keys) nel *Service Authorization Reference*. Per sapere con quali azioni e risorse è possibile utilizzare una chiave di condizione, consulta [Azioni definite da AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-actions-as-permissions).
Per visualizzare esempi di politiche basate sull'identità di Organizations, vedere. [Esempi di policy basate sull'identità per AWS Organizations](security_iam_id-based-policy-examples.md)
## ACLs in Organizations
**Supporti ACLs:** no
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con Organizations
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con Organizations
**Supporta credenziali temporanee**: No
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Sessioni di accesso diretto per Organizations
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante e Servizio AWS, in combinazione con la richiesta, di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per Organizations
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta la sezione [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità di Organizations. Modifica i ruoli di servizio solo quando Organizations fornisce indicazioni in tal senso.
## Ruoli collegati ai servizi per Organizations
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Gestione delle autorizzazioni di accesso per un'organizzazione con AWS Organizations
Tutte le AWS risorse, incluse le radici OUs, gli account e le politiche di un'organizzazione, sono di proprietà di un Account AWS e le autorizzazioni per creare o accedere a una risorsa sono regolate dalle politiche di autorizzazione. Per un'organizzazione, l'account di gestione possiede tutte le risorse. Un amministratore di account può controllare l'accesso alle AWS risorse associando politiche di autorizzazione alle identità IAM (utenti, gruppi e ruoli).
**Nota**
Un *amministratore account* (o un utente amministratore) è un utente con autorizzazioni di amministratore. *Per ulteriori informazioni, consulta le [migliori pratiche di sicurezza in IAM nella Guida](https://docs.aws.amazon.com/accounts/latest/reference/getting-started-step4.html) di riferimento.Gestione dell'account AWS *
Quando concedi le autorizzazioni, puoi specificare gli utenti che le riceveranno e le risorse per cui le ricevono, nonché le operazioni specifiche da consentire su tali risorse.
Per impostazione predefinita, utenti, gruppi e ruoli IAM non dispongono di autorizzazioni. In qualità di amministratore dell'account di gestione di un'organizzazione, puoi svolgere attività amministrative o delegare autorizzazioni di amministratore ad altri utenti o ruoli IAM nell'account di gestione. Per eseguire questa operazione, è possibile collegare una policy di autorizzazioni IAM a un utente, gruppo o ruolo IAM. Come impostazione predefinita, un utente non ha alcuna autorizzazione; questo a volta si chiama *rifiuto implicito*. La policy sostituisce il rifiuto implicito con un *permesso esplicito* che specifica quali operazioni l'utente può eseguire e le risorse su cui possono eseguire le azioni. Se le autorizzazioni sono concesse a un ruolo, gli utenti in altri account dell'organizzazione possono assumere quel ruolo.
## AWS Organizations risorse e operazioni
Questa sezione illustra come i concetti si associano ai AWS Organizations concetti equivalenti a IAM.
### Resources
In AWS Organizations, puoi controllare l'accesso alle seguenti risorse:
+ La radice e il OUs che costituiscono la struttura gerarchica di un'organizzazione
+ Account membri dell'organizzazione
+ Policy collegate alle entità dell'organizzazione
+ Handshake utilizzati per modificare lo stato dell'organizzazione
Ognuna di queste risorse dispone di un Amazon Resource Name (ARN) univoco associato. Puoi controllare l'accesso a una risorsa specificando il suo nome ARN nell'elemento `Resource` di una policy di autorizzazione IAM. Per un elenco completo dei formati ARN per le risorse utilizzate in AWS Organizations, vedere [Tipi di risorse definiti da AWS Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-resources-for-iam-policies) nel *Service Authorization* Reference.
### Operazioni
AWS fornisce una serie di operazioni per utilizzare le risorse di un'organizzazione. Esse ti consentono di eseguire operazioni quali creare, elencare, modificare, eliminare le risorse e accedere ai loro contenuti. Puoi fare riferimento alla maggior parte delle operazioni nell'elemento `Action` di una policy IAM per controllare gli utenti che possono utilizzarle. Per un elenco di AWS Organizations operazioni che possono essere utilizzate come autorizzazioni in una policy IAM, consulta [Azioni definite dalle organizzazioni](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-actions-as-permissions) nel *Service Authorization Reference*.
Quando combini un elemento `Action` e un elemento `Resource` in una sola policy di autorizzazione `Statement`, puoi controllare esattamente le risorse per le quali quel particolare insieme di operazioni può essere utilizzato.
### Chiavi di condizione
AWS fornisce chiavi di condizione su cui è possibile interrogare per fornire un controllo più granulare su determinate azioni. Puoi fare riferimento a queste chiavi di condizione nell'elemento `Condition` di una policy IAM per specificare le circostanze aggiuntive da soddisfare affinché l'istruzione possa essere considerata una corrispondenza.
I seguenti tasti di condizione sono particolarmente utili con AWS Organizations:
+ `aws:PrincipalOrgID` - Semplifica la determinazione dell'elemento `Principal` in una policy basata su risorse. Questa chiave globale offre un'alternativa all'elenco di tutti IDs gli account Account AWS di un'organizzazione. Invece di elencare tutti gli account che sono membri di un'organizzazione, puoi specificare l'[ID organizzazione](orgs_manage_org.md) nell'elemento `Condition`.
**Nota**
Questa condizione globale vale anche per l'account di gestione di un'organizzazione.
Per ulteriori informazioni, consulta la descrizione delle [chiavi contestuali `PrincipalOrgID` in condizione AWS globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *Guida per l'utente IAM*.
+ `aws:PrincipalOrgPaths` - Utilizza questa chiave di condizione per abbinare i membri di un root dell'organizzazione specifica, di un'unità organizzativa o dei relativi elementi figlio. La chiave di condizione `aws:PrincipalOrgPaths` restituisce vero quando il principale (utente root, utente o ruolo IAM) che effettua la richiesta si trova nel percorso dell'organizzazione specificato. Un percorso è una rappresentazione testuale della struttura di un' AWS Organizations entità. Per ulteriori informazioni sui percorsi, consulta [Understand the AWS Organizations entity path](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html#access_policies_access-advisor-viewing-orgs-entity-path) nella *IAM User Guide*. Per ulteriori informazioni sull'utilizzo di questa chiave di condizione, consulta [aws: PrincipalOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principal-org-paths) nella *IAM User Guide*.
Ad esempio, il seguente elemento di condizione corrisponde ai membri di una delle due persone OUs della stessa organizzazione.
```
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
"o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/"
]
}
}
```
+ `organizations:PolicyType` - Puoi utilizzare questa chiave di condizione per limitare le operazioni API relative alle policy di Organizations per operare solo su policy Organizations del tipo specificato. Puoi applicare questa chiave di condizione a qualsiasi istruzione delle policy che include un'operazione che interagisce con le policy di Organizations.
Puoi utilizzare i seguenti valori con questa chiave di condizione:
+ `SERVICE_CONTROL_POLICY`
+ `RESOURCE_CONTROL_POLICY`
+ `DECLARATIVE_POLICY_EC2`
+ `BACKUP_POLICY`
+ `TAG_POLICY`
+ `CHATBOT_POLICY`
+ `AISERVICES_OPT_OUT_POLICY`
Ad esempio, la seguente policy consente all'utente di eseguire qualsiasi operazione di Organizations. Tuttavia, se l'utente esegue un'operazione che accetta un argomento della policy, l'operazione è consentita solo se la policy specificata è una policy di tagging. L'operazione non riesce se l'utente specifica qualsiasi altro tipo di policy.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies",
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [ "TAG_POLICY" ]
}
}
}
]
}
```
------
+ `organizations:ServicePrincipal`— Disponibile come condizione se si utilizzano le operazioni [Abilita AWSService accesso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) o [Disabilita AWSService accesso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) per abilitare o disabilitare [l'accesso affidabile](orgs_integrate_services.md) con altri AWS servizi. Puoi utilizzare `organizations:ServicePrincipal` per limitare le richieste effettuate da tali operazioni a un elenco di nomi principali dei servizi approvati.
Ad esempio, la seguente politica consente all'utente di specificare solo AWS Firewall Manager quando abilitare e disabilitare l'accesso affidabile con AWS Organizations.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowOnlyAWSFirewallIntegration",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:ServicePrincipal": [ "fms.amazonaws.com" ]
}
}
}
]
}
```
------
Per un elenco di tutte le chiavi di condizione AWS Organizations specifiche che possono essere utilizzate come autorizzazioni in una policy IAM, consulta [Condition keys for AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) nel *Service* Authorization Reference.
## Informazioni sulla proprietà delle risorse
È Account AWS proprietario delle risorse create nell'account, indipendentemente da chi le ha create. In particolare, il proprietario Account AWS della risorsa è l'[entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (ovvero l'utente root, un utente IAM o un ruolo IAM) che autentica la richiesta di creazione delle risorse. Per un'organizzazione, questo è ***sempre l'account*** di gestione. Non puoi chiamare dagli account membri la maggior parte delle operazioni che creano o accedono alle risorse dell'organizzazione. Negli esempi seguenti viene illustrato il funzionamento:
+ Se utilizzi le credenziali dell'account root dell'account di gestione per creare un'UO, il tuo account di gestione è il proprietario della risorsa. (In AWS Organizations, la risorsa è l'unità organizzativa).
+ Se crei un utente IAM nell'account di gestione e concedi a tale utente le autorizzazioni per creare un'UO, l'utente può creare un'UO. Tuttavia, è l'account di gestione, al quale appartiene l'utente, il proprietario della risorsa UO.
+ Se crei un ruolo IAM nell'account di gestione con le autorizzazioni per creare un'UO, chiunque possa assumere il ruolo può creare un'UO. L'account di gestione a cui appartiene il ruolo (non l'utente che lo assume) è il proprietario della risorsa UO.
## Gestione dell'accesso alle risorse
La *policy delle autorizzazioni* descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.
**Nota**
Questa sezione illustra l'utilizzo di IAM nel contesto di AWS Organizations. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione IAM completa, consulta la [Guida per l'utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html). Per informazioni sulla sintassi e le descrizioni delle policy IAM, consulta il [riferimento alla policy IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *IAM* User Guide.
Le policy collegate a un'identità IAM sono denominate policy *basate su identità* (policy IAM). Le policy collegate a una risorsa sono denominate policy *basate sulle risorse*.
**Topics**
+ [Policy di autorizzazione basate su identità (policy IAM)](#orgs-access-control-iam-policies)
### Policy di autorizzazione basate su identità (policy IAM)
Puoi allegare policy alle identità IAM per consentire a tali identità di eseguire operazioni sulle risorse. AWS Ad esempio, puoi eseguire le operazioni seguenti:
+ **Allega una politica di autorizzazioni a un utente o a un gruppo nel tuo account**: per concedere a un utente le autorizzazioni per creare una AWS Organizations risorsa, ad esempio una [policy di controllo del servizio (SCP)](orgs_manage_policies_scps.md) o un'unità organizzativa, puoi allegare una politica di autorizzazioni a un utente o a un gruppo a cui appartiene l'utente. L'utente o il gruppo devono trovarsi nell'account di gestione dell'organizzazione.
+ **Collegare una policy di autorizzazione a un ruolo (assegnazione di autorizzazioni tra account)** - Puoi collegare una policy di autorizzazione basata su identità a un ruolo IAM per concedere l'accesso tra account a un'organizzazione. Ad esempio, l'amministratore dell'account di gestione può creare un ruolo per concedere autorizzazioni tra account a un utente nell'account membro, come segue:
1. L'amministratore dell'account di gestione crea un ruolo IAM e collega una policy di autorizzazione al ruolo che concede le autorizzazioni alle risorse dell'organizzazione.
1. L'amministratore dell'account di gestione collega una policy di attendibilità al ruolo che identifica l'ID dell'account membro come `Principal` per tale ruolo.
1. L'amministratore dell'account membro può quindi delegare le autorizzazioni per assegnare il ruolo a qualsiasi utente nell'account membro. In questo modo, gli utenti nell'account membro possono creare o accedere alle risorse nell'account di gestione e nell'organizzazione. Il responsabile della politica di fiducia può anche essere un responsabile del AWS servizio se si desidera concedere le autorizzazioni a un AWS servizio per assumere il ruolo.
Per ulteriori informazioni sull'uso di IAM per delegare le autorizzazioni, consulta [Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) nella *IAM User Guide* (Guida per l'utente di IAM).
Di seguito sono riportati esempi di policy che consentono a un utente di eseguire l'operazione `CreateAccount` nella tua organizzazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"Stmt1OrgPermissions",
"Effect":"Allow",
"Action":[
"organizations:CreateAccount"
],
"Resource":"*"
}
]
}
```
------
È anche possibile definire un ARN parziale nell’elemento `Resource` della policy per indicare il tipo di risorsa.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowCreatingAccountsOnResource",
"Effect":"Allow",
"Action":"organizations:CreateAccount",
"Resource":"arn:aws:organizations::*:account/*"
}
]
}
```
------
Puoi anche negare la creazione di account che non includono tag specifici per l'account che si sta creando.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyCreatingAccountsOnResourceBasedOnTag",
"Effect":"Deny",
"Action":"organizations:CreateAccount",
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/key":"value"
}
}
}
]
}
```
------
Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta le [identità IAM (users, user groups, and roles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) nella *IAM* User Guide.
## Specifica degli elementi della policy: operazioni, condizioni, effetti e risorse
Per ogni AWS Organizations risorsa, il servizio definisce una serie di operazioni o azioni API che possono interagire con quella risorsa o manipolarla in qualche modo. Per concedere le autorizzazioni per queste operazioni, AWS Organizations definisce una serie di azioni che è possibile specificare in una politica. Ad esempio, per la risorsa OU, AWS Organizations definisce azioni come le seguenti:
+ `AttachPolicy` e `DetachPolicy`
+ `CreateOrganizationalUnit` e `DeleteOrganizationalUnit`
+ `ListOrganizationalUnits` e `DescribeOrganizationalUnit`
In alcuni casi, l'esecuzione di un'operazione API potrebbe richiedere le autorizzazioni necessarie per più di un'azione e per più di una risorsa.
Di seguito sono elencati gli elementi base che puoi utilizzare in una policy di autorizzazione IAM:
+ **Action (Operazione)** - Utilizza questa parola chiave per identificare le operazioni (azioni) che vuoi consentire o rifiutare. Ad esempio, a seconda di quanto specificato`Effect`, `organizations:CreateAccount` consente o nega all'utente le autorizzazioni per eseguire l' AWS Organizations `CreateAccount`operazione. Per ulteriori informazioni, consulta [IAM JSON Policy elements: Action](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) in the *IAM* User Guide.
+ **Risorsa** - Utilizza questa parola chiave per specificare l'ARN della risorsa a cui si applica l'istruzione della policy. Per ulteriori informazioni, consulta [IAM JSON Policy elements: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) in the *IAM User Guide*.
+ **Condizione** - Utilizza questa parola chiave per specificare una condizione che deve essere soddisfatta per l'istruzione di policy da applicare. `Condition` in genere specifica ulteriori circostanze che devono essere vere affinché la policy corrisponda. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Effetto** - Utilizza questa parola chiave per specificare se l'istruzione di policy consente o rifiuta l'operazione sulla risorsa. Se non concedi esplicitamente l'accesso a una risorsa (o la consenti), l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per essere certo che un utente non possa eseguire un'operazione specifica sulla risorsa specifica, anche quando tale accesso è assegnato da un'altra policy. Per ulteriori informazioni, consulta [IAM JSON Policy elements: Effect](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) in the *IAM User Guide*.
+ **Principale** - Nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è automaticamente e implicitamente il principale. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse).
Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta il [riferimento alla policy IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *IAM* User Guide.
# Esempi di policy basate sull'identità per AWS Organizations
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare le risorse Organizations. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per i dettagli sulle azioni e sui tipi di risorse definiti da Organizations, incluso il formato di ARNs per ogni tipo di risorsa, vedere [Azioni, risorse e chiavi di condizione AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html) nel *Service Authorization Reference*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Concessione delle autorizzazioni complete di amministratore a un utente](#orgs_permissions_grant-admin-actions)
+ [Concessione di un accesso limitato mediante operazioni](#orgs_permissions_grant-limited-actions)
+ [Concessione dell'accesso a risorse specifiche](#orgs_permissions_grant-limited-resources)
+ [Garantire la possibilità di abilitare l'accesso attendibile a principali del servizio limitati](#orgs_permissions_grant-trusted-access-condition)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse Organizations nel tuo account. Queste operazioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Organizations
Per accedere alla AWS Organizations console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse Organizations presenti nel tuo Account AWS. Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario concedere autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che gli utenti e i ruoli possano ancora utilizzare la console Organizations, collega anche l'Organizations [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html)o la policy [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html) AWS gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente l' AWS CLI API o. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Concessione delle autorizzazioni complete di amministratore a un utente
Puoi creare una policy IAM che conceda autorizzazioni di AWS Organizations amministratore complete a un utente IAM della tua organizzazione. È possibile modificare questa policy utilizzando l'editor di policy JSON nella console IAM.
**Come utilizzare l'editor di policy JSON per creare una policy**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**.
Se è la prima volta che selezioni **Policy**, verrà visualizzata la pagina **Benvenuto nelle policy gestite**. Seleziona **Inizia**.
1. Nella parte superiore della pagina, scegli **Crea policy**.
1. Nella sezione **Editor di policy**, scegli l'opzione **JSON**.
1. Inserisci il documento di policy JSON seguente:
```
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*"
}
}
```
1. Scegli **Next (Successivo)**.
**Nota**
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) nella *Guida per l'utente di IAM*.
1. Nella pagina **Rivedi e crea**, inserisci un valore in **Nome policy** e **Descrizione** (facoltativo) per la policy in fase di creazione. Rivedi **Autorizzazioni definite in questa policy** per visualizzare le autorizzazioni concesse dalla policy.
1. Seleziona **Crea policy** per salvare la nuova policy.
Per saperne di più sulla creazione di una policy IAM, consulta [Creating IAM policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *IAM User Guide*.
## Concessione di un accesso limitato mediante operazioni
Se vuoi concedere delle autorizzazioni limitate anziché complete, puoi creare una policy che elenca le autorizzazioni singole che vuoi concedere nell'elemento `Action` della policy delle autorizzazioni IAM. Come illustrato nell'esempio seguente, puoi usare dei caratteri jolly (\$1) per concedere solo le autorizzazioni `Describe*` e `List*`, sostanzialmente fornendo l'accesso in sola lettura all'organizzazione.
**Nota**
In una policy di controllo dei servizi (SCP), il carattere jolly (\$1) in un elemento `Action` può essere utilizzato unicamente da solo o al termine della stringa. Non può trovarsi all'inizio o al centro della stringa. Pertanto, `"servicename:action*"` è valida, ma `"servicename:*action"` non `"servicename:some*action"` sono entrambe valide in SCPs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"organizations:Describe*",
"organizations:List*"
],
"Resource": "*"
}
}
```
------
Per un elenco di tutte le autorizzazioni disponibili per l'assegnazione in una policy IAM, consulta [Actions defined by AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-actions-as-permissions) nel *Service Authorization* Reference.
## Concessione dell'accesso a risorse specifiche
Oltre a limitare l'accesso a operazioni specifiche, puoi anche limitare l'accesso a entità specifiche nell'organizzazione. Gli elementi `Resource` negli esempi trattati nelle sezioni precedenti specificano tutti il carattere jolly "\$1", che significa "qualsiasi risorsa alla quale può accedere questa operazione". In alternativa, puoi sostituire il carattere "\$1" con l'Amazon Resource Name (ARN) delle entità specifiche a cui vuoi consentire l'accesso.
**Esempio: concessione delle autorizzazioni a una singola UO**
La prima istruzione della policy seguente consente a un utente IAM l'accesso in lettura all'intera organizzazione, ma la seconda istruzione consente all'utente di eseguire operazioni amministrative di AWS Organizations solo all'interno di una singola unità organizzativa specificata. Questo non si estende a nessun bambino. OUs Non viene concesso alcun accesso alla fatturazione. Tieni presente che questo non ti dà accesso amministrativo all' Account AWS interno dell'unità organizzativa. Concede solo le autorizzazioni per eseguire AWS Organizations operazioni sugli account all'interno dell'unità organizzativa specificata:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:Describe*",
"organizations:List*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "arn:aws:organizations::123456789012:ou/o-/ou-"
}
]
}
```
------
È possibile ottenere IDs l'unità organizzativa e l'organizzazione dalla AWS Organizations console o chiamando il. `List*` APIs L'utente o il gruppo a cui applichi questa policy può eseguire qualsiasi operazione (`"organizations:*"`) su qualsiasi entità direttamente contenuta nell'unità organizzativa specificata. L'unità organizzativa è identificata dall'Amazon Resource Name (ARN).
Per ulteriori informazioni sulle quattro ARNs risorse, vedere [Tipi di risorse definiti da AWS Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-resources-for-iam-policies) nel *Service Authorization Reference*.
## Garantire la possibilità di abilitare l'accesso attendibile a principali del servizio limitati
Puoi utilizzare l'elemento `Condition` di un'istruzione di policy per limitare ulteriormente le circostanze alle quali corrisponde l'istruzione di policy.
**Esempio: concessione delle autorizzazioni per abilitare l'accesso attendibile a un servizio specificato**
Nell'istruzione seguente viene illustrato come limitare la possibilità di abilitare l'accesso attendibile solo ai servizi specificati. Se l'utente tenta di chiamare l'API con un'entità di servizio diversa da quella per cui si trova AWS IAM Identity Center, questa politica non corrisponde e la richiesta viene rifiutata:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "organizations:EnableAWSServiceAccess",
"Resource": "*",
"Condition": {
"StringEquals" : {
"organizations:ServicePrincipal" : "sso.amazonaws.com"
}
}
}
]
}
```
------
Per ulteriori informazioni sulle ARNs varie risorse, vedere [Tipi di risorse definiti da AWS Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-resources-for-iam-policies) nel *Service Authorization Reference*.
# Esempi di policy basate sulle risorse per AWS Organizations
I seguenti esempi di codice mostrano come è possibile utilizzare le policy di delega basate sulle risorse. Per ulteriori informazioni, consulta [Amministratore delegato per AWS Organizations](orgs_delegate_policies.md).
**Topics**
+ [Visualizza l'organizzazione OUs, gli account e le politiche](#orgs_delegate_policies_example_view_accts_orgs)
+ [Creare, leggere, aggiornare ed eliminare le politiche](#orgs_delegate_policies_example_crud_policies)
+ [Politiche di etichettatura e rimozione di tag](#orgs_delegate_policies_example_tag_untag_policies)
+ [Allega le politiche a una singola unità organizzativa o account](#orgs_delegate_policies_example_attach_policies)
+ [Autorizzazioni consolidate per gestire le politiche di backup di un'organizzazione](#orgs_delegate_policies_example_consolidate_permissions)
## Esempio: visualizzare l'organizzazione OUs, gli account e le politiche
Prima di delegare la gestione delle politiche, è necessario delegare le autorizzazioni necessarie per navigare nella struttura di un'organizzazione e visualizzare le unità organizzative (OUs), gli account e le politiche ad essi associate.
Questo esempio mostra come è possibile includere queste autorizzazioni nella politica di delega basata sulle risorse per l'account membro,. *AccountId*
**Importante**
È consigliabile includere le autorizzazioni solo per le operazioni minime richieste, come mostrato nell'esempio, sebbene sia possibile delegare qualsiasi operazione di sola lettura di Organizations utilizzando questa policy.
Questo esempio di politica di delega concede le autorizzazioni necessarie per completare le azioni in modo programmatico dall'API o. AWS AWS CLI Per utilizzare questa politica di delega, sostituisci il [testo AWS segnaposto](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) con le tue informazioni. *AccountId* Quindi, segui le indicazioni in [Amministratore delegato per AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## Esempio: creare, leggere, aggiornare ed eliminare le politiche
È possibile creare una politica di delega basata sulle risorse che consenta all'account di gestione di delegare `create` e azioni per qualsiasi tipo di politica. `read` `update` `delete` Questo esempio mostra come è possibile delegare queste azioni per le politiche di controllo del servizio all'account membro,. *MemberAccountId* Le due risorse mostrate nell'esempio concedono l'accesso rispettivamente alle politiche di controllo dei servizi gestite dai clienti e AWS gestite dai clienti.
**Importante**
Questa politica consente agli amministratori delegati di eseguire azioni specifiche sulle politiche create da qualsiasi account dell'organizzazione, incluso l'account di gestione.
Non consente agli amministratori delegati di allegare o scollegare le politiche perché non include le autorizzazioni necessarie per eseguire o eseguire azioni. `organizations:AttachPolicy` `organizations:DetachPolicy`
Questo esempio di politica di delega concede le autorizzazioni necessarie per completare le azioni in modo programmatico dall'API o. AWS AWS CLI Sostituisci il testo AWS segnaposto con e con *MemberAccountId* le tue informazioni*ManagementAccountId*. *OrganizationId* Quindi, segui le indicazioni in [Amministratore delegato per AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingPolicyActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "SERVICE_CONTROL_POLICY"
}
}
},
{
"Sid": "DelegatingMinimalActionsForSCPs",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy"
],
"Resource": [
"arn:aws:organizations::111122223333:policy/o-OrganizationId/service_control_policy/*",
"arn:aws:organizations::aws:policy/service_control_policy/*"
]
}
]
}
```
------
## Esempio: politiche relative all'etichettatura e all'eliminazione dei tag
Questo esempio mostra come è possibile creare una politica di delega basata sulle risorse che consenta agli amministratori delegati di etichettare o rimuovere i tag dalle politiche di backup. Concede le autorizzazioni necessarie per completare le azioni in modo programmatico dall'API o. AWS AWS CLI
Per utilizzare questa politica di delega, sostituisci il testo AWS segnaposto con e con le *MemberAccountId* tue informazioni*ManagementAccountId*. *OrganizationId* Quindi, segui le indicazioni in [Amministratore delegato per AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingTaggingBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:TagResource",
"organizations:UntagResource"
],
"Resource": "arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
}
]
}
```
------
## Esempio: allega le politiche a una singola unità organizzativa o a un account
Questo esempio mostra come è possibile creare una politica di delega basata sulle risorse che consenta agli amministratori delegati di accedere alle politiche `detach` Organizations da un'unità organizzativa (OU) specificata `attach` o da un account specifico. Prima di delegare queste azioni, è necessario delegare le autorizzazioni necessarie per navigare nella struttura di un'organizzazione e visualizzare gli account che la compongono. Per maggiori dettagli, consultare [Esempio: visualizzare l'organizzazione OUs, gli account e le politiche](#orgs_delegate_policies_example_view_accts_orgs).
**Importante**
Sebbene questa politica consenta di allegare o scollegare i criteri dall'unità organizzativa o dall'account specificati, esclude i bambini e gli account minori. OUs OUs
Questa policy consente agli amministratori delegati di eseguire le operazioni specificate sulle policy create da qualsiasi account dell'organizzazione, incluso l'account di gestione.
Questo esempio di politica di delega concede le autorizzazioni necessarie per completare le azioni in modo programmatico dall'API o. AWS AWS CLI Per utilizzare questa politica di delega, sostituisci il testo AWS segnaposto per*MemberAccountId*, *ManagementAccountId**OrganizationId*, e con le tue informazioni. *TargetAccountId* Quindi, segui le indicazioni in [Amministratore delegato per AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "AttachDetachPoliciesSpecifiedAccountOU",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::111122223333:ou/o-OrganizationId/ou-OUId",
"arn:aws:organizations::111122223333:account/o-OrganizationId/TargetAccountId",
"arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
]
}
]
}
```
------
Per delegare il collegamento e il distacco delle politiche a qualsiasi unità organizzativa o account delle organizzazioni, sostituisci la risorsa dell'esempio precedente con le seguenti risorse:
```
"Resource": [
"arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/*",
"arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/*",
"arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
]
```
## Esempio: autorizzazioni consolidate per gestire le policy di backup di un'organizzazione
Questo esempio mostra come è possibile creare una policy di delega basata sulle risorse che consenta all'account di gestione di delegare le autorizzazioni complete necessarie per gestire le policy di backup all'interno dell'organizzazione, tra cui le operazioni `create`, `read`, `update` e `delete`, così come le operazioni di policy `attach` e `detach`.
**Importante**
Questa policy consente agli amministratori delegati di eseguire le operazioni specificate sulle policy create da qualsiasi account dell'organizzazione, incluso l'account di gestione.
Questo esempio di politica di delega concede le autorizzazioni necessarie per completare le azioni in modo programmatico dall'API o. AWS AWS CLI Per utilizzare questa politica di delega, sostituisci il [testo AWS segnaposto](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) per*MemberAccountId*, *ManagementAccountId**OrganizationId*, e con le tue informazioni. *RootId* Quindi, segui le indicazioni in [Amministratore delegato per AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsForSpecificPolicyType",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingAllActionsForBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"organizations:EnablePolicyType",
"organizations:DisablePolicyType"
],
"Resource": [
"arn:aws:organizations::111122223333:root/o-OrganizationId/r-RootId",
"arn:aws:organizations::111122223333:ou/o-OrganizationId/*",
"arn:aws:organizations::111122223333:account/o-OrganizationId/*",
"arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
}
]
}
```
------
# AWS politiche gestite per AWS Organizations
Questa sezione identifica le politiche AWS gestite fornite da utilizzare per gestire l'organizzazione. Non è possibile modificare o eliminare una politica AWS gestita, ma è possibile allegarla o scollegarla alle entità dell'organizzazione in base alle esigenze.
## AWS Organizations politiche gestite da utilizzare con AWS Identity and Access Management (IAM)
Una policy gestita IAM è fornita e gestita da AWS. Una policy gestita fornisce autorizzazioni per le attività comuni che è possibile assegnare agli utenti collegando la policy gestita all'utente o all'oggetto ruolo IAM appropriato. Non è necessario scrivere personalmente la politica e, quando AWS aggiorna la politica in modo appropriato per supportare nuovi servizi, si ottengono automaticamente e immediatamente i vantaggi dell'aggiornamento.
Puoi vedere l'elenco delle policy gestite da AWS nella pagina [Policies (Policy)](https://console.aws.amazon.com/iam/home?#/policies)sulla console IAM. Utilizza il menu a discesa **Filter policies** (Filtra policy) per selezionare **AWS managed** (Gestito da).
Puoi utilizzare le seguenti policy gestite per concedere autorizzazioni a utenti e ruoli della tua organizzazione.
### AWS politica gestita: AWSOrganizationsFullAccess
Fornisce tutte le autorizzazioni necessarie per creare e amministrare completamente un'organizzazione.
Visualizza la politica: [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html).
### AWS politica gestita: AWSOrganizationsReadOnlyAccess
Consente l'accesso in sola lettura alle informazioni sull'organizzazione. Non consente all'utente di apportare modifiche.
Visualizza la politica: [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html).
### AWS politica gestita: DeclarativePoliciesEC2Report
Questa politica viene utilizzata dal ruolo collegato al servizio [AWSServiceRoleForDeclarativePoliciesEC2Report](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#ec2-report-policy) per consentirgli di descrivere gli stati degli attributi degli account per gli account dei membri.
[Visualizza la politica: DeclarativePolicies EC2 Report.](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/DeclarativePoliciesEC2Report.html)
## Aggiornamenti alle politiche AWS gestite da Organizations
La tabella seguente descrive in dettaglio gli aggiornamenti alle politiche AWS gestite da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, sottoscrivi il feed RSS nella pagina della [cronologia dei documenti di ](document-history.md).
****
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— aggiornato per consentire le autorizzazioni API dell'account necessarie per visualizzare o modificare un nome di account tramite la console Organizations. | È stata aggiunta l'`account:GetAccountInformation`azione per abilitare l'accesso alla visualizzazione del nome account di qualsiasi account in un'organizzazione e l'`account:PutAccountName`azione per abilitare l'accesso per modificare qualsiasi nome di account in un'organizzazione. | 22 aprile 2025 |
| [DeclarativePoliciesEC2Report](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/DeclarativePoliciesEC2Report$jsonEditor) — Nuova politica gestita | È stata aggiunta la `DeclarativePoliciesEC2Report` policy per abilitare la funzionalità del ruolo `AWSServiceRoleForDeclarativePoliciesEC2Report` collegato al servizio. | 22 novembre 2024 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— aggiornato per consentire le autorizzazioni API dell'account necessarie per visualizzare l'indirizzo e-mail di un utente root (indirizzo e-mail ). | È stata aggiunta l'`account:GetPrimaryEmail`azione per consentire l'accesso alla visualizzazione dell'indirizzo e-mail dell'utente root ( per qualsiasi account membro di un'organizzazione) e l'`account:GetRegionOptStatus`azione per consentire l'accesso alla visualizzazione delle regioni abilitate per qualsiasi account membro di un'organizzazione. | 6 giugno 2024 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— aggiornato per includere `Sid` elementi che descrivono la dichiarazione politica. | Aggiunti `Sid` elementi per la politica `AWSOrganizationsFullAccess` gestita. | 6 febbraio 2024 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— aggiornato per includere `Sid` elementi che descrivono la dichiarazione politica. | Aggiunti `Sid` elementi per la politica `AWSOrganizationsReadOnlyAccess` gestita. | 6 febbraio 2024 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— aggiornato per consentire le autorizzazioni API dell'account necessarie per l'attivazione o la disabilitazione Regioni AWS tramite la console Organizations. | È stata aggiunta `account:ListRegions` l'`account:DisableRegion`azione `account:EnableRegion` e alla politica per abilitare l'accesso in scrittura per abilitare o disabilitare le regioni per un account. | 22 dicembre 2022 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— aggiornato per consentire le autorizzazioni API dell'account necessarie per l'elenco Regioni AWS tramite la console Organizations. | È stata aggiunta l'`account:ListRegions`azione alla politica per consentire l'accesso alla visualizzazione delle regioni per un account. | 22 dicembre 2022 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— aggiornato per consentire le autorizzazioni API dell'account necessarie per aggiungere o modificare i contatti dell'account tramite la console Organizations. | È stata aggiunta l'`account:PutContactInformation`azione `account:GetContactInformation` and alla policy per consentire l'accesso in scrittura per modificare i contatti di un account. | 21 ottobre 2022 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— aggiornato per consentire le autorizzazioni API dell'account necessarie per visualizzare i contatti dell'account tramite la console Organizations. | È stata aggiunta l'`account:GetContactInformation`azione alla policy per consentire l'accesso alla visualizzazione dei contatti di un account. | 21 ottobre 2022 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— aggiornato per consentire la creazione di un'organizzazione. | È stata aggiunta l'`CreateServiceLinkedRole`autorizzazione alla politica per consentire la creazione del ruolo collegato al servizio necessario per creare un'organizzazione. L'autorizzazione è limitata alla creazione di un ruolo che può essere utilizzato solo dal servizio `organizations.amazonaws.com`. | 24 agosto 2022 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— aggiornato per consentire le autorizzazioni API dell'account necessarie per aggiungere, modificare o eliminare contatti alternativi all'account tramite la console Organizations. | Sono state aggiunte le `account:PutAlternateContact` azioni `account:GetAlternateContact``account:DeleteAlternateContact`, alla policy per consentire l'accesso in scrittura per modificare i contatti alternativi per un account. | 7 febbraio 2022 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— aggiornato per consentire le autorizzazioni API dell'account necessarie per visualizzare i contatti alternativi dell'account tramite la console Organizations. | È stata aggiunta l'`account:GetAlternateContact`azione alla politica per consentire l'accesso alla visualizzazione di contatti alternativi per un account. | 7 febbraio 2022 |
## AWS politiche di autorizzazione gestite
Le [politiche di autorizzazione](orgs_manage_policies_authorization_policies.md) sono simili alle politiche di autorizzazione IAM, ma sono una funzionalità AWS Organizations piuttosto che IAM. Utilizzi le politiche di autorizzazione per configurare e gestire centralmente l'accesso ai principali e alle risorse nei tuoi account membro.
Puoi consultare l'elenco delle policy della tua organizzazione nella pagina [Policies (Policy)](https://console.aws.amazon.com/organizations/?#/policies) della console Organizations.
****
| Nome policy | Description | ARN |
| --- | --- | --- |
| [CompletaAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy/p-FullAWSAccess) | Consente l'accesso a tutte le operazioni. | arn:aws:organizations: :aws: -Full policy/service\$1control\$1policy/p AWSAccess |
| [RCPFullAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/resource-control-policy/p-RCPFullAWSAccess) | Consente l'accesso a tutte le risorse. | arn:aws:organizations: :aws: - policy/resource\$1control\$1policy/p RCPFull AWSAccess |
# Controllo degli accessi basato sugli attributi con tag per AWS Organizations
Il *[controllo degli accessi basato sugli attributi](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)* consente di utilizzare attributi gestiti dall'amministratore, come i [tag](https://docs.aws.amazon.com/ARG/latest/userguide/tag-editor.html) allegati sia alle AWS risorse che alle AWS identità, per controllare l'accesso a tali risorse. Ad esempio, puoi specificare che un utente può accedere a una risorsa quando sia l'utente sia la risorsa hanno lo stesso valore per un determinato tag.
AWS Organizations Le risorse etichettabili includono la radice Account AWS, le unità organizzative () o le politiche dell'organizzazione. OUs Quando si associano tag alle risorse di Organizations, è possibile utilizzarli per controllare chi può accedere a tali risorse. A tale scopo, aggiungi `Condition` elementi alle dichiarazioni sulla politica delle autorizzazioni AWS Identity and Access Management (IAM) che controllano la presenza di determinate chiavi e valori dei tag prima di consentire l'azione. Ciò ti consente di creare una policy IAM che dica efficacemente «Consenti all'utente di gestire solo quelli OUs che hanno un tag con una chiave `X` e un valore`Y`» o «Consenti all'utente di gestire solo quelli a OUs cui è associata una chiave `Z` che ha lo stesso valore della chiave di tag allegata all'utente»`Z`.
Puoi basare i tuoi test di `Condition` su diversi tipi di riferimenti tag in una policy IAM.
+ [Controllo dei tag associati alle risorse specificate nella richiesta](#abac-resource)
+ [Controllo dei tag associati all'utente o al ruolo IAM che effettua la richiesta](#abac-prin)
+ [Controllare i tag che sono inclusi come parametri nella richiesta](#abac-request)
Per ulteriori informazioni sull'utilizzo dei tag per il controllo degli accessi nelle policy, consulta [Controllo dell'accesso a e per utenti e ruoli IAM mediante i tag delle risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html). Per la sintassi completa delle policy di autorizzazione IAM, consulta la [Documentazione di riferimento della policy JSON di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)
## Controllo dei tag associati alle risorse specificate nella richiesta
Quando effettui una richiesta utilizzando Console di gestione AWS, the AWS Command Line Interface (AWS CLI) o una delle AWS SDKs, specifichi a quali risorse desideri accedere con quella richiesta. Se stai tentando di elencare le risorse disponibili di un determinato tipo, leggere o scrivere su una risorsa, oppure modificare o aggiornare una risorsa, è necessario specificare la risorsa a cui accedere come parametro nella richiesta. Tali richieste sono controllate dalle policy delle autorizzazioni IAM collegate agli utenti e ai ruoli. In queste policy è possibile confrontare i tag associati alla risorsa richiesta e scegliere di consentire o negare l'accesso in base alle chiavi e ai valori di tali tag.
Per controllare un tag associato alla risorsa, fai riferimento al tag in un elemento `Condition` anteponendo al nome della chiave tag la seguente stringa: `aws:ResourceTag/`
Ad esempio, la seguente policy consente all'utente o al ruolo di eseguire qualsiasi operazione AWS Organizations ***a meno che*** quella risorsa abbia un tag con chiave `department` e valore `security`. Se la chiave e il valore sono presenti, la policy nega esplicitamente l'operazione `UntagResource`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : "organizations:*",
"Resource" : "*"
},
{
"Effect" : "Deny",
"Action" : "organizations:UntagResource",
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/department" : "security"
}
}
}
]
}
```
------
Per ulteriori informazioni su come utilizzare questo elemento, consulta [Controlling access to resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-resources) and [aws: ResourceTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) nella *IAM User Guide*.
## Controllo dei tag associati all'utente o al ruolo IAM che effettua la richiesta
Puoi controllare le operazioni consentite alla persona che effettua la richiesta (il principale) in base ai tag collegati all'utente o ruolo IAM di tale persona. Per eseguire questa operazioni, usa la chiave di condizione `aws:PrincipalTag/key-name` per specificare quale tag e valore devono essere associati all'utente o al ruolo chiamante.
L'esempio seguente mostra come consentire un'operazione solo quando il tag specificato (`cost-center`) ha lo stesso valore sia sul principale che chiama l'operazione, sia sulla risorsa a cui si accede dall'operazione. In questo esempio, l'utente chiamante può avviare e arrestare un'istanza Amazon EC2 solo se l'istanza è contrassegnata con lo stesso valore `cost-center` dell'utente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"ec2:startInstances",
"ec2:stopInstances"
],
"Resource": "*",
"Condition": {"StringEquals":
{"ec2:ResourceTag/cost-center": "${aws:PrincipalTag/cost-center}"}}
}
}
```
------
Per ulteriori informazioni sull'utilizzo di questo elemento, consulta [Controllo dell'accesso per i principali IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-principals) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) nella *Guida per l'utente di IAM*.
## Controllare i tag che sono inclusi come parametri nella richiesta
Sono diverse le operazioni che ti consentono di specificare i tag come parte della richiesta. Ad esempio, quando si crea una risorsa è possibile specificare i tag associati alla nuova risorsa. È possibile specificare un elemento `Condition` che utilizza `aws:TagKeys` per permettere o negare l'operazione in base al fatto che una chiave di tag specifica, o un set di chiavi, sia incluso nella richiesta. A questo operatore di confronto non interessa quale valore contiene il tag. Controlla solo se è presente un tag con la chiave specificata.
Per controllare la chiave di tag o un elenco di chiavi, specifica un elemento `Condition` con la sintassi seguente:
```
"aws:TagKeys": [ "tag-key-1", "tag-key-2", ... , "tag-key-n" ]
```
Puoi utilizzare [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions) per anteporre un operatore di confronto per assicurarti che tutte le chiavi nella richiesta debbano corrispondere a una delle chiavi specificate nella policy. Ad esempio, la seguente politica di esempio consente qualsiasi operazione Organizations solo se tutti i tag presenti nella richiesta sono un ***sottoinsieme dei tre*** tag di questa politica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"department",
"costcenter",
"manager"
]
}
}
}
}
```
------
In alternativa, puoi utilizzare [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions) per anteporre un operatore di confronto per assicurarti che almeno una delle chiavi nella richiesta debba corrispondere a una delle chiavi specificate nella policy. Ad esempio, la seguente policy autorizza qualsiasi operazione di Organizations solo se ***almeno una*** delle chiavi di tag specificate è presente nella richiesta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"stage",
"us-east-1",
"domain"
]
}
}
}
}
```
------
Sono diverse le operazioni che ti consentono di specificare i tag nella richiesta. Ad esempio, quando si crea una risorsa è possibile specificare i tag associati alla nuova risorsa. È possibile confrontare una coppia chiave-valore di tag nella policy con una coppia chiave-valore inclusa nella richiesta. Per fare ciò, fai riferimento al tag in un elemento `Condition` anteponendo al nome della chiave tag la seguente stringa: `aws:RequestTag/key-name`, quindi specifica il valore del tag che deve essere presente.
Ad esempio, la seguente politica di esempio nega qualsiasi richiesta da parte dell'utente o del ruolo di creare un tag Account AWS in cui nella richiesta manca il `costcenter` tag o fornisce al tag un valore diverso da `1``2`, o. `3`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "organizations:CreateAccount",
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/costcenter": "true"
}
}
},
{
"Effect": "Deny",
"Action": "organizations:CreateAccount",
"Resource": "*",
"Condition": {
"ForAnyValue:StringNotEquals": {
"aws:RequestTag/costcenter": [
"1",
"2",
"3"
]
}
}
}
]
}
```
------
Per ulteriori informazioni su come utilizzare questi elementi, consulta [aws: TagKeys and [aws: RequestTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) nella *IAM User Guide*.
# Risoluzione dei problemi relativi all' AWS Organizations identità e all'accesso
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Organizations e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Organizations](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Organizations](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Organizations
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `organizations:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: organizations:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `organizations:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di assegnare un ruolo a Organizations.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Organizations. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Organizations
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Organizations supporta queste funzionalità, vedere[Come AWS Organizations funziona con IAM](security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
# Registrazione e monitoraggio AWS Organizations
Come best practice, dovresti monitorare la tua organizzazione per accertarti che le modifiche vengano registrate. Questo ti aiuta a garantire che eventuali modifiche impreviste possano essere esaminate e che le modifiche indesiderate possano essere annullate. AWS Organizations attualmente ne supporta due Servizi AWS che consentono di monitorare l'organizzazione e l'attività che si svolge al suo interno.
**Topics**
+ [AWS CloudTrail](orgs_cloudtrail-integration.md)
+ [Amazon EventBridge](orgs_cloudwatch-integration.md)
# Registrazione delle chiamate API con for AWS CloudTrail AWS Organizations
AWS Organizations è integrato con AWS CloudTrail, un servizio che fornisce una registrazione delle azioni intraprese da un utente, un ruolo o un AWS servizio in AWS Organizations. CloudTrail acquisisce tutte le chiamate API relative AWS Organizations agli eventi, incluse le chiamate dalla AWS Organizations console e le chiamate in codice a. AWS Organizations APIs Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per. AWS Organizations Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli **eventi**. Utilizzando le informazioni raccolte da CloudTrail, puoi determinare a quale richiesta è stata inviata AWS Organizations, l'indirizzo IP da cui è stata effettuata, chi l'ha effettuata, quando è stata effettuata e dettagli aggiuntivi.
Per ulteriori informazioni CloudTrail, consulta la *Guida AWS CloudTrail per l'utente*.
**Importante**
È possibile visualizzare tutte le CloudTrail informazioni AWS Organizations solo nella regione Stati Uniti orientali (Virginia settentrionale). Se non vedi la tua AWS Organizations attività nella CloudTrail console, imposta la console su **Stati Uniti orientali (Virginia settentrionale) utilizzando il menu nell'angolo in alto a destra.** Se esegui una query CloudTrail con gli strumenti AWS CLI o l'SDK, indirizza la query all'endpoint degli Stati Uniti orientali (Virginia settentrionale).
## AWS Organizations informazioni in CloudTrail
CloudTrail è abilitato sul tuo account al Account AWS momento della creazione dell'account. Quando si verifica un'attività in AWS Organizations, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi AWS di servizio nella **cronologia degli eventi**. Puoi visualizzare, cercare e scaricare eventi recenti in Account AWS. Per ulteriori informazioni, consulta [Visualizzazione degli eventi con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Per una registrazione continua degli eventi nell' Account AWS che includa gli eventi per AWS Organizations, crea un trail. Un trail consente di CloudTrail inviare file di log a un bucket Amazon S3. Quando CloudTrail la registrazione è abilitata nel tuo Account AWS, le chiamate API effettuate alle AWS Organizations azioni vengono tracciate nei file di CloudTrail registro, dove vengono scritte insieme ad altri record di servizio. AWS Puoi configurarne altri Servizi AWS per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei CloudTrail log. Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Panoramica della creazione di un trail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
[Tutte AWS Organizations le azioni vengono registrate CloudTrail e documentate nell'API Reference.AWS Organizations](https://docs.aws.amazon.com/organizations/latest/APIReference/) Ad esempio, le chiamate a `CreateAccount` (incluso l'`CreateAccountResult`evento) e `InviteAccountToOrganization` generano voci nei file di CloudTrail registro. `ListHandshakesForAccount` `CreatePolicy`
Ogni voce di log contiene informazioni sull'utente che ha generato la richiesta. Le informazioni sull'identità dell'utente nella voce di log ti permettono di determinare quanto segue:
+ Se la richiesta è stata effettuata con le credenziali utente root o utente IAM
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) o un [utente federato](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ Se la richiesta è stata effettuata da un altro AWS servizio
Per ulteriori informazioni, consulta [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
**Nota**
CloudTrail registrerà gli eventi nell'account che esegue una determinata azione (ad esempio nell'account membro anziché nell'account di gestione se l'account membro ha eseguito l'azione). Ad esempio, un account membro che lascia un'organizzazione verrà registrato nella traccia degli account dei membri e un account di gestione che rimuove un account membro verrà registrato nella traccia degli account di gestione.
## Comprendere le voci dei AWS Organizations file di registro
Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta da qualsiasi sorgente e include informazioni sull'azione richiesta, la data e l'ora dell'operazione, i parametri della richiesta e così via. I file di log di CloudTrail non sono una traccia di stack ordinata delle chiamate API pubbliche, pertanto non vengono visualizzati in un ordine specifico.
### Esempi di voci di registro: CloseAccount
L'esempio seguente mostra una voce di CloudTrail registro per una `CloseAccount` chiamata di esempio generata quando viene chiamata l'API e il flusso di lavoro per chiudere l'account inizia l'elaborazione in background.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE:my-admin-role",
"arn": "arn:aws:sts::111122223333:assumed-role/my-admin-role/my-session-id",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/my-admin-role",
"accountId": "111122223333",
"userName": "my-session-id"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2022-03-18T18:17:06Z"
}
}
},
"eventTime": "2022-03-18T18:17:06Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CloseAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": {
"accountId": "555555555555"
},
"responseElements": null,
"requestID": "e28932f8-d5da-4d7a-8238-ef74f3d5c09a",
"eventID": "19fe4c10-f57e-4cb7-a2bc-6b5c30233592",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
L'esempio seguente mostra una voce di CloudTrail registro relativa a una `CloseAccountResult` chiamata dopo il completamento corretto del flusso di lavoro in background per la chiusura dell'account.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "organizations.amazonaws.com"
},
"eventTime": "2022-03-18T18:17:06Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CloseAccountResult",
"awsRegion": "us-east-1",
"sourceIPAddress": "organizations.amazonaws.com",
"userAgent": "organizations.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"closeAccountStatus": {
"accountId": "555555555555",
"state": "SUCCEEDED",
"requestedTimestamp": "Mar 18, 2022 6:16:58 PM",
"completedTimestamp": "Mar 18, 2022 6:16:58 PM"
}
},
"eventCategory": "Management"
}
```
### Esempi di voci di registro: CreateAccount
L'esempio seguente mostra una voce di CloudTrail registro per una `CreateAccount` chiamata di esempio generata quando viene chiamata l'API e il flusso di lavoro per creare l'account inizia l'elaborazione in background.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE:my-admin-role",
"arn": "arn:aws:sts::111122223333:assumed-role/my-admin-role/my-session-id",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/my-admin-role",
"accountId": "111122223333",
"userName": "my-session-id"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2020-09-16T21:16:45Z"
}
}
},
"eventTime": "2018-06-21T22:06:27Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)...",
"requestParameters": {
"tags": [],
"email": "****",
"accountName": "****"
},
"responseElements": {
"createAccountStatus": {
"accountName": "****",
"state": "IN_PROGRESS",
"id": "car-examplecreateaccountrequestid111",
"requestedTimestamp": "Sep 16, 2020 9:20:50 PM"
}
},
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
L'esempio seguente mostra una voce di CloudTrail registro relativa a una `CreateAccount` chiamata dopo il completamento corretto del flusso di lavoro in background per la creazione dell'account.
```
{
"eventVersion": "1.05",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "..."
},
"eventTime": "2020-09-16T21:20:53Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateAccountResult",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "....",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"createAccountStatus": {
"id": "car-examplecreateaccountrequestid111",
"state": "SUCCEEDED",
"accountName": "****",
"accountId": "444455556666",
"requestedTimestamp": "Sep 16, 2020 9:20:50 PM",
"completedTimestamp": "Sep 16, 2020 9:20:53 PM"
}
}
}
```
L'esempio seguente mostra una voce di CloudTrail registro generata dopo che un flusso di lavoro in `CreateAccount` background non riesce a creare l'account.
```
{
"eventVersion": "1.06",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-06-21T22:06:27Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateAccountResult",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"createAccountStatus": {
"id": "car-examplecreateaccountrequestid111",
"state": "FAILED",
"accountName": "****",
"failureReason": "EMAIL_ALREADY_EXISTS",
"requestedTimestamp": Jun 21, 2018 10:06:27 PM,
"completedTimestamp": Jun 21, 2018 10:07:15 PM
}
}
}
```
### Esempio di voce di registro: CreateOrganizationalUnit
L'esempio seguente mostra una voce di CloudTrail registro per una `CreateOrganizationalUnit` chiamata di esempio.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111111111111:user/diego",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "diego"
},
"eventTime": "2017-01-18T21:40:11Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateOrganizationalUnit",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36",
"requestParameters": {
"name": "OU-Developers-1",
"parentId": "r-a1b2"
},
"responseElements": {
"organizationalUnit": {
"arn": "arn:aws:organizations::111111111111:ou/o-aa111bb222/ou-examplerootid111-exampleouid111",
"id": "ou-examplerootid111-exampleouid111",
"name": "test-cloud-trail",
"path": "o-aa111bb222/r-a1b2/ou-examplerootid111-exampleouid111/"
}
},
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
### Esempio di voce di registro: InviteAccountToOrganization
L'esempio seguente mostra una voce di CloudTrail registro per una `InviteAccountToOrganization` chiamata di esempio.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111111111111:user/diego",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "diego"
},
"eventTime": "2017-01-18T21:41:17Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "InviteAccountToOrganization",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36",
"requestParameters": {
"notes": "This is a request for Mary's account to join Diego's organization.",
"target": {
"type": "ACCOUNT",
"id": "111111111111"
}
},
"responseElements": {
"handshake": {
"requestedTimestamp": "Jan 18, 2017 9:41:16 PM",
"state": "OPEN",
"arn": "arn:aws:organizations::111111111111:handshake/o-aa111bb222/invite/h-examplehandshakeid111",
"id": "h-examplehandshakeid111",
"parties": [
{
"type": "ORGANIZATION",
"id": "o-aa111bb222"
},
{
"type": "ACCOUNT",
"id": "222222222222"
}
],
"action": "invite",
"expirationTimestamp": "Feb 2, 2017 9:41:16 PM",
"resources": [
{
"resources": [
{
"type": "MASTER_EMAIL",
"value": "diego@example.com"
},
{
"type": "MASTER_NAME",
"value": "Management account for organization"
},
{
"type": "ORGANIZATION_FEATURE_SET",
"value": "ALL"
}
],
"type": "ORGANIZATION",
"value": "o-aa111bb222"
},
{
"type": "ACCOUNT",
"value": "222222222222"
},
{
"type": "NOTES",
"value": "This is a request for Mary's account to join Diego's organization."
}
]
}
},
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
### Esempio di voce di registro: AttachPolicy
L'esempio seguente mostra una voce di CloudTrail registro per una `AttachPolicy` chiamata di esempio. La risposta indica che la chiamata non è riuscita perché il tipo di policy richiesto non è abilitato nella root in cui si è verificato il tentativo di richiesta di collegamento.
```
{
"eventVersion": "1.06",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111111111111:user/diego",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "diego"
},
"eventTime": "2017-01-18T21:42:44Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "AttachPolicy",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36",
"errorCode": "PolicyTypeNotEnabledException",
"errorMessage": "The given policy type ServiceControlPolicy is not enabled on the current view",
"requestParameters": {
"policyId": "p-examplepolicyid111",
"targetId": "ou-examplerootid111-exampleouid111"
},
"responseElements": null,
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
### Esempio di voce di registro: politica effettiva non valida
L'esempio seguente mostra una voce di CloudTrail registro per un `EffectivePolicyValidation` evento di esempio. Questo evento viene inviato all'account di gestione dell'organizzazione ogni volta che un aggiornamento dell'organizzazione crea una politica efficace non valida per qualsiasi account.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-07-17T14:53:40Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "EffectivePolicyValidation",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": true,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111111111111",
"serviceEventDetails": {
"accountId": "111111111111",
"policyType": "BACKUP_POLICY",
"state": "INVALID",
"requestTimestamp": "Jul 17, 2025, 2:53:40 PM",
"info": "All validation errors listed",
"validationErrors": [
{
"accountPath": "o-aa111bb222/r-a1b2/111111111111/",
"evaluationTimestamp": "Jul 17, 2025, 2:53:40 PM",
"errorCode": "ELEMENTS_TOO_MANY",
"errorMessage": "'hourly_rule' exceeds the allowed maximum limit 10",
"pathToError": "plans/hourly-backup/rules/hourly_rule",
"contributingPolicies": [
"p-examplepolicyid111"
]
}
]
},
"eventCategory": "Management"
}
```
### Esempio di immissione nel registro: politica valida ed efficace
L'esempio seguente mostra una voce di CloudTrail registro per un `EffectivePolicyValidation` evento di esempio. Questo evento viene inviato all'account di gestione dell'organizzazione ogni volta che un aggiornamento dell'organizzazione corregge una politica efficace su un account che in precedenza non era valido.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111111111111",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-07-17T14:54:40Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "EffectivePolicyValidation",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": true,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111111111111",
"serviceEventDetails": {
"accountId": "111111111111",
"policyType": "BACKUP_POLICY",
"state": "VALID",
"requestTimestamp": "Jul 17, 2025, 2:54:40 PM",
"info": "Previous effective policy validation error(s) resolved for this account/policyType"
},
"eventCategory": "Management"
}
```
# Amazon EventBridge e AWS Organizations
AWS Organizations può lavorare con Amazon EventBridge, precedentemente Amazon CloudWatch Events, per generare eventi quando si verificano azioni specificate dall'amministratore in un'organizzazione. Ad esempio, data la sensibilità di tali operazioni, la maggior parte degli amministratori desidera essere avvisata ogni volta che un utente crea un nuovo account nell'organizzazione o quando un amministratore di un account membro tenta di lasciare l'organizzazione. Puoi configurare EventBridge regole che cercano queste azioni e quindi inviare gli eventi generati a destinazioni definite dall'amministratore. I target possono essere un argomento Amazon SNS che invia e-mail o messaggi di testo agli abbonati. È anche possibile creare una funzione AWS Lambda che registra i dettagli dell'operazione per un'analisi successiva.
Per un tutorial che mostra come EventBridge abilitare il monitoraggio delle attività chiave nell'organizzazione, consulta. [Tutorial: monitora le modifiche importanti alla tua organizzazione con Amazon EventBridge](orgs_tutorials_cwe.md)
**Importante**
Attualmente, AWS Organizations è ospitato solo nella regione degli Stati Uniti orientali (Virginia settentrionale) (anche se è disponibile a livello globale). Per eseguire i passaggi di questo tutorial, è necessario configurare l'utilizzo Console di gestione AWS di quella regione.
Per ulteriori informazioni EventBridge, incluso come configurarlo e abilitarlo, consulta la *[Amazon EventBridge User Guide](https://docs.aws.amazon.com/eventbridge/latest/userguide/)*.
# Convalida della conformità per AWS Organizations
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
# Resilienza in AWS Organizations
L'infrastruttura AWS globale è costruita attorno a Regioni AWS zone di disponibilità. Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture tradizionali a data center singolo o multiplo.
[Per ulteriori informazioni sulle zone di disponibilità, vedere Global Regioni AWS Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
# Sicurezza dell'infrastruttura in AWS Organizations
In quanto servizio gestito, AWS Organizations è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzi chiamate API AWS pubblicate per accedere a Organizations attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Se hai bisogno di moduli crittografici convalidati FIPS 140-2 per l'accesso AWS tramite un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).