Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Panoramica della gestione delle autorizzazioni di accesso alle risorse dell'IAM Identity Center
Ogni AWS risorsa è di proprietà di un Account AWS utente e le autorizzazioni per creare o accedere alle risorse sono regolate da politiche di autorizzazione. Per fornire l'accesso, un amministratore dell'account può aggiungere autorizzazioni alle identità IAM (ovvero utenti, gruppi e ruoli). Alcuni servizi (ad esempio AWS Lambda) supportano anche l'aggiunta di autorizzazioni alle risorse.
**Nota**
Un *amministratore account* (o un utente amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni, consultare la sezione [best practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.
**Topics**
+ [Risorse e operazioni di IAM Identity Center](#creatingiampolicies)
+ [Informazioni sulla proprietà delle risorse](#accesscontrolresourceowner)
+ [Gestione dell'accesso alle risorse](#accesscontrolmanagingaccess)
+ [Specificazione degli elementi della policy: azioni, effetti, risorse e principi](#policyactions)
+ [Specifica delle condizioni in una policy](#specifyiampolicyconditions)
## Risorse e operazioni di IAM Identity Center
In IAM Identity Center, le risorse principali sono le istanze delle applicazioni, i profili e i set di autorizzazioni.
## Informazioni sulla proprietà delle risorse
*Il proprietario della risorsa* è colui Account AWS che ha creato una risorsa. Cioè, il proprietario Account AWS della risorsa è l'*entità principale* (l'account, un utente o un ruolo IAM) che autentica la richiesta che crea la risorsa. Negli esempi seguenti viene illustrato il funzionamento:
+ Se Utente root dell'account AWS crea una risorsa IAM Identity Center, ad esempio un'istanza dell'applicazione o un set di autorizzazioni, sei Account AWS il proprietario di quella risorsa.
+ Se crei un utente nel tuo AWS account e concedi a quell'utente le autorizzazioni per creare risorse IAM Identity Center, l'utente può quindi creare risorse IAM Identity Center. Tuttavia, il tuo AWS account, a cui appartiene l'utente, possiede le risorse.
+ Se crei un ruolo IAM nel tuo AWS account con le autorizzazioni per creare risorse IAM Identity Center, chiunque possa assumere il ruolo può creare risorse IAM Identity Center. Il tuo Account AWS, a cui appartiene il ruolo, possiede le risorse dell'IAM Identity Center.
## Gestione dell'accesso alle risorse
La *policy delle autorizzazioni* descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.
**Nota**
Questa sezione illustra l'utilizzo di IAM nel contesto di IAM Identity Center. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta la pagina [Che cos'è IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) nella *Guida per l'utente di IAM*. Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consultare [Riferimento alle policy IAM di AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.
Le policy collegate a un'identità IAM sono denominate policy *basate su identità* (policy IAM). Le policy collegate a una risorsa sono denominate policy *basate sulle risorse*. IAM Identity Center supporta solo politiche basate sull'identità (politiche IAM).
**Topics**
+ [Policy basate su identità (policy IAM)](#accesscontrolidentitybased)
+ [Policy basate sulle risorse](#accesscontrolresourcebased)
### Policy basate su identità (policy IAM)
Puoi aggiungere autorizzazioni alle identità IAM. Ad esempio, puoi eseguire le operazioni seguenti:
+ **Allega una politica di autorizzazioni a un utente o a un gruppo del tuo Account AWS**: un amministratore dell'account può utilizzare una politica di autorizzazioni associata a un particolare utente per concedere a quell'utente le autorizzazioni per aggiungere una risorsa IAM Identity Center, come una nuova applicazione.
+ **Collega una policy di autorizzazione a un ruolo (assegnazione di autorizzazioni tra account)**: per concedere autorizzazioni tra più account, è possibile collegare una policy di autorizzazione basata su identità a un ruolo IAM.
Per ulteriori informazioni sull'uso di IAM per delegare le autorizzazioni, consultare [Gestione degli accessi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) nella *Guida per l'utente di IAM*.
La seguente policy di autorizzazione concede a un utente le autorizzazioni per eseguire tutte le operazioni che iniziano con `List`. Queste azioni mostrano informazioni su una risorsa IAM Identity Center, come un'istanza dell'applicazione o un set di autorizzazioni. Nota che il carattere jolly (\*) nell'`Resource`elemento indica che le azioni sono consentite per tutte le risorse IAM Identity Center di proprietà dell'account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"sso:List*",
"Resource":"*"
}
]
}
```
------
Per ulteriori informazioni sull'utilizzo di policy basate sull'identità con IAM Identity Center, consulta. [Esempi di policy basate sull'identità per IAM Identity Center](iam-auth-access-using-id-policies.md) Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consultare [Identità (utenti, gruppi e ruoli)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) nella *Guida per l'utente di IAM*.
### Policy basate sulle risorse
Anche altri servizi, ad esempio Amazon S3, supportano policy di autorizzazioni basate su risorse. Ad esempio, è possibile associare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket. IAM Identity Center non supporta policy basate sulle risorse.
## Specificazione degli elementi della policy: azioni, effetti, risorse e principi
Per ogni risorsa IAM Identity Center (vedi[Risorse e operazioni di IAM Identity Center](#creatingiampolicies)), il servizio definisce una serie di operazioni API. Per concedere le autorizzazioni per queste operazioni API, IAM Identity Center definisce una serie di azioni che è possibile specificare in una policy. Si noti che l'esecuzione di un'operazione API può richiedere le autorizzazioni per più di un'azione.
Di seguito sono elencati gli elementi di base di una policy:
+ **Risorsa**: in una policy si utilizza il nome della risorsa Amazon (ARN) per identificare la risorsa a cui si applica la policy stessa.
+ **Operazione**: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, l'`sso:DescribePermissionsPolicies`autorizzazione consente all'utente di eseguire l'operazione IAM Identity Center`DescribePermissionsPolicies`.
+ **Effetto**: l'effetto prodotto quando l'utente richiede l'operazione specifica, ovvero un'autorizzazione o un rifiuto. Se l'accesso a una risorsa non viene esplicitamente autorizzato (consentito), di fatto è implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.
+ **Principale** - Nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse). IAM Identity Center non supporta le policy basate sulle risorse.
Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consultare [AWS Riferimento alle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.
## Specifica delle condizioni in una policy
Quando concedi le autorizzazioni, puoi utilizzare la sintassi della/e policy di accesso per specificare le condizioni necessarie per l'applicazione di una policy. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy, consulta la sezione [Condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente di IAM*.
Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Non esistono chiavi di condizione specifiche per IAM Identity Center. Tuttavia, esistono chiavi di AWS condizione che è possibile utilizzare in modo appropriato. Per un elenco completo delle AWS chiavi, consulta [Available global condition keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys) nella *IAM User Guide*.