

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Come AWS RAM funziona con IAM
<a name="security-iam-policies"></a>

Per impostazione predefinita, i responsabili IAM non sono autorizzati a creare o modificare AWS RAM risorse. Per consentire ai dirigenti IAM di creare o modificare risorse ed eseguire attività, esegui una delle seguenti operazioni. Queste azioni concedono il permesso di utilizzare risorse e azioni API specifiche. 

Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in AWS IAM Identity Center:

  Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:

  Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
  + Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
  + (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.

AWS RAM fornisce diverse politiche AWS gestite che è possibile utilizzare per soddisfare le esigenze di molti utenti. Per ulteriori informazioni su queste impostazioni, consulta [AWS politiche gestite per AWS Resource Access Manager](security-iam-awsmanpol.md).

Se hai bisogno di un controllo più preciso sulle autorizzazioni concesse ai tuoi utenti, puoi creare le tue policy nella console IAM. *Per informazioni sulla creazione di policy e sulla loro associazione ai ruoli e agli utenti IAM, consulta [Policies and permissions in IAM nella](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) User Guide.AWS Identity and Access Management *

Le seguenti sezioni forniscono i dettagli AWS RAM specifici per la creazione di una policy di autorizzazione IAM.

**Contents**
+ [Struttura delle policy](#structure)
  + [Effetto](#iam-policies-effect)
  + [Azione](#iam-policies-action)
  + [Risorsa](#iam-policies-resource)
  + [Condizione](#iam-policies-condition)

## Struttura delle policy
<a name="structure"></a>

Una policy di autorizzazione IAM è un documento JSON che include le seguenti dichiarazioni: Effect, Action, Resource e Condition. Una policy IAM assume in genere la forma seguente.

```
{
    "Statement":[{
        "Effect":"<effect>",
        "Action":"<action>",
        "Resource":"<arn>",
        "Condition":{
            "<comparison-operator>":{
                "<key>":"<value>"
            }
        }
    }]
}
```

### Effetto
<a name="iam-policies-effect"></a>

L'istruzione *Effect* indica se la policy consente o nega l'autorizzazione principale per eseguire un'azione. I valori possibili includono: `Allow` e`Deny`.

### Azione
<a name="iam-policies-action"></a>

L'istruzione *Action* specifica le azioni AWS RAM API per le quali la policy consente o nega l'autorizzazione. Per un elenco completo delle azioni consentite, consulta [Actions defined by AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-actions-as-permissions) nella *IAM User Guide*.

### Risorsa
<a name="iam-policies-resource"></a>

La dichiarazione *Resource* specifica le AWS RAM risorse interessate dalla policy. Per specificare una risorsa nell'istruzione, devi utilizzare il relativo Amazon Resource Name (ARN) univoco. Per un elenco completo delle risorse consentite, consulta [Resources defined by AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-resources-for-iam-policies) nella *IAM User Guide*.

### Condizione
<a name="iam-policies-condition"></a>

Le istruzioni sulle *condizioni* sono facoltative. Possono essere utilizzate per perfezionare ulteriormente le condizioni alle quali si applica la politica. AWS RAM supporta le seguenti chiavi di condizione:
+ `aws:RequestTag/${TagKey}`— Verifica se la richiesta di servizio include un tag con la chiave di tag specificata esiste e ha il valore specificato.
+ `aws:ResourceTag/${TagKey}`— Verifica se alla risorsa su cui si basa la richiesta di servizio è associata un'etichetta con una chiave di tag specificata nella policy.

  La condizione di esempio seguente verifica che la risorsa a cui si fa riferimento nella richiesta di servizio abbia un tag allegato con il nome chiave «Owner» e il valore «Dev Team».

  ```
  "Condition" : { 
      "StringEquals" : {
          "aws:ResourceTag/Owner" : "Dev Team" 
      } 
  }
  ```
+ `aws:TagKeys`— Speciifica le chiavi dei tag che devono essere utilizzate per creare o contrassegnare una condivisione di risorse.
+ `ram:AllowsExternalPrincipals`— Verifica se la condivisione di risorse nella richiesta di servizio consente la condivisione con responsabili esterni. Un principale esterno è una persona Account AWS esterna all'organizzazione in AWS Organizations. Se il risultato è positivo`False`, puoi condividere questa condivisione di risorse con gli account solo della stessa organizzazione.
+ `ram:PermissionArn`— Verifica se l'ARN di autorizzazione specificato nella richiesta di servizio corrisponde a una stringa ARN specificata nella policy.
+ `ram:PermissionResourceType`— Verifica se l'autorizzazione specificata nella richiesta di servizio è valida per il tipo di risorsa specificato nella politica. Specificate i tipi di risorse utilizzando il formato mostrato nell'elenco dei [tipi di risorse condivisibili](shareable.md).
+ `ram:Principal`— Verifica se l'ARN del principale specificato nella richiesta di servizio corrisponde a una stringa ARN specificata nella policy.
+ `ram:RequestedAllowsExternalPrincipals`— Verifica se la richiesta di servizio include il `allowExternalPrincipals` parametro e se il relativo argomento corrisponde al valore specificato nella politica.
+ `ram:RequestedResourceType`— Verifica se il tipo di risorsa su cui si agisce corrisponde a una stringa di tipo di risorsa specificata nella politica. Specificate i tipi di risorse utilizzando il formato mostrato nell'elenco dei [tipi di risorse condivisibili](shareable.md).
+ `ram:ResourceArn`— Verifica se l'ARN della risorsa su cui agisce la richiesta di servizio corrisponde a un ARN specificato nella policy.
+ `ram:ResourceShareName`— Verifica se il nome della condivisione di risorse su cui agisce la richiesta di servizio corrisponde a una stringa specificata nella policy.
+ `ram:ShareOwnerAccountId`— Verifica che il numero ID dell'account della condivisione di risorse su cui agisce la richiesta di servizio corrisponda a una stringa specificata nella politica.