• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurazione di ruoli e autorizzazioni per Change Manager
<a name="change-manager-permissions"></a>

**Change Managermodifica della disponibilità**  
AWS Systems ManagerChange Managernon sarà più aperto a nuovi clienti a partire dal 7 novembre 2025. Se desideri utilizzarloChange Manager, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [AWS Systems ManagerChange Managerla pagina Modifica della disponibilità](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html). 

Per impostazione predefinita, Change Manager non è autorizzato a eseguire operazioni sulle tue risorse. È necessario concedere l'accesso utilizzando un ruolo di servizio AWS Identity and Access Management (IAM) o *assumere un ruolo*. Questo ruolo consente a Change Manager di eseguire in modo sicuro i flussi di lavoro dei runbook specificati in una richiesta di modifica approvata per tuo conto. Il ruolo concede AWS Security Token Service (AWS STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)fiducia aChange Manager.

Fornendo a un ruolo queste autorizzazioni per agire per conto degli utenti di un'organizzazione, non è necessario che agli utenti venga concessa tale serie di autorizzazioni. Le operazioni consentite dalle autorizzazioni sono limitate solo alle operazioni approvate.

Quando gli utenti dell'account o dell'organizzazione creano una richiesta di modifica, possono selezionare questo ruolo assunto per eseguire le operazioni di modifica.

Puoi creare un nuovo ruolo assunto per Change Manager oppure aggiornare un ruolo esistente con le autorizzazioni necessarie.

Se devi creare un ruolo di servizio per Change Manager, completa le seguenti attività. 

**Topics**
+ [Attività 1: creazione di una policy di ruolo assunto per Change Manager](#change-manager-role-policy)
+ [Attività 2: creazione di un ruolo assunto per Change Manager](#change-manager-role)
+ [Attività 3: collegamento della policy `iam:PassRole` ad altri ruoli](#change-manager-passpolicy)
+ [Attività 4: Aggiungere politiche in linea per assumere un ruolo per richiamarne altre Servizi AWS](#change-manager-role-add-inline-policy)
+ [Attività 5: configurazione dell'accesso utente a Change Manager](#change-manager-passrole)

## Attività 1: creazione di una policy di ruolo assunto per Change Manager
<a name="change-manager-role-policy"></a>

Utilizza la procedura seguente per creare la policy che sarà allegata al tuo ruolo assunto di Change Manager.

**Creazione di una policy di ruolo assunto per Change Manager**

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, seleziona **Policies (Policy)** e **Create Policy (Crea policy)**.

1. Sulla pagina **Create policy** (Crea policy), scegli la scheda **JSON** e sostituisci il contenuto di default con quanto segue, che modificherai per le tue operazioni di Change Managernelle fasi seguenti.
**Nota**  
Se stai creando una policy da utilizzare con una singola Account AWS organizzazione e non con più account e Regioni AWS, puoi omettere il primo blocco di rendiconti. L'autorizzazione `iam:PassRole` non è richiesta nel caso in cui un singolo account utilizzi Change Manager.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "iam:PassRole",
               "Resource": "arn:aws:iam::111122223333:role/AWS-SystemsManager-job-functionAdministrationRole",
               "Condition": {
                   "StringEquals": {
                       "iam:PassedToService": "ssm.amazonaws.com"
                   }
               }
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:DescribeDocument",
                   "ssm:GetDocument",
                   "ssm:StartChangeRequestExecution"
               ],
               "Resource": [
                   "arn:aws:ssm:us-east-1::document/template-name",
                   "arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:ListOpsItemEvents",
                   "ssm:GetOpsItem",
                   "ssm:ListDocuments",
                   "ssm:DescribeOpsItems"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

1. Per l'`iam:PassRole`azione, aggiorna il `Resource` valore per includere tutte le funzioni lavorative definite per l' ARNs organizzazione a cui desideri concedere le autorizzazioni per avviare i flussi di lavoro dei runbook.

1. Sostituisci i *job-function* segnaposti *region**account-id*,*template-name*,*delegated-admin-account-id*, e con i valori per le tue operazioni. Change Manager

1. Per la seconda istruzione di `Resource`, modifica l'elenco in modo da includere tutti i modelli di modifica per i quali desideri concedere le autorizzazioni. In alternativa, specifica `"Resource": "*"` per concedere le autorizzazioni per tutti i modelli di modifica nell'organizzazione.

1. Scegli **Successivo: Tag**.

1. (Facoltativo) Aggiungere una o più coppie tag chiave-valore per organizzare, monitorare o controllare l'accesso per questa policy. 

1. Scegli **Prossimo: Rivedi**.

1. Nella pagina **Review policy** (Rivedi policy), immetti un nome nella casella **Name** (Nome), ad esempio **MyChangeManagerAssumeRole**, quindi immetti una descrizione facoltativa.

1. Scegli **Create policy** (Crea policy) e continua con [Attività 2: creazione di un ruolo assunto per Change Manager](#change-manager-role).

## Attività 2: creazione di un ruolo assunto per Change Manager
<a name="change-manager-role"></a>

Utilizza la procedura seguente per creare un ruolo assunto di Change Manager, un tipo di ruolo di servizio, per Change Manager.

**Creazione di un ruolo assunto per Change Manager**

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.

1. Per **Select trusted entity** (Seleziona un'entità attendibile), effettua le seguenti selezioni:

   1. Per **Trusted entity type** (Tipo di entità attendibile), scegli **AWS service** (Servizio)

   1. Per **casi d'uso per altri Servizi AWS**, scegli **Systems Manager**

   1. Scegli **Systems Manager**, come mostrato nell'immagine seguente.  
![\[Schermata che illustra l'opzione Systems Manager selezionata come caso d'uso.\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)

1. Scegli **Next (Successivo)**.

1. Nella pagina **Attached permissions policy** (Policy delle autorizzazioni collegate), cerca la policy del ruolo da assegnare creato in [Attività 1: creazione di una policy di ruolo assunto per Change Manager](#change-manager-role-policy), ad esempio **MyChangeManagerAssumeRole**. 

1. Seleziona la casella di controllo accanto al nome della policy, quindi scegli **Next: Tags** (Successivo: Tag).

1. Per **Nome ruolo**, inserisci un nome per il nuovo profilo dell'istanza, ad esempio **MyChangeManagerAssumeRole**.

1. (Facoltativo) Per **Role description** (Descrizione ruolo), aggiorna la descrizione di questo ruolo dell'istanza.

1. (Facoltativo) Aggiungere una o più coppie tag chiave-valore per organizzare, monitorare o controllare l'accesso per questo ruolo. 

1. Scegli **Prossimo: Rivedi**.

1. (Facoltativo) Per **Tags** (Tag), aggiungi una o più coppie tag chiave-valore chiave per organizzare, monitorare o controllare l'accesso per questo ruolo, quindi scegli **Create role** (Crea ruolo). Il sistema ti riporta alla pagina **Ruoli**.

1. Scegliere **Create role** (Crea ruolo). Il sistema visualizza di nuovo la pagina **Roles** (Ruoli).

1. Nella pagina **Ruoli**, scegli il ruolo appena creato per aprire la pagina **Riepilogo**. 

## Attività 3: collegamento della policy `iam:PassRole` ad altri ruoli
<a name="change-manager-passpolicy"></a>

Procedi come segue per allegare la policy `iam:PassRole` a un profilo dell'istanza IAM o un ruolo di servizio IAM. (Il servizio Systems Manager utilizza i profili di istanza IAM per comunicare con le istanze EC2. Per i nodi gestiti non EC2 in un ambiente [ibrido e multicloud](operating-systems-and-machine-types.md#supported-machine-types), viene invece utilizzato un ruolo di servizio IAM).

Allegando la policy `iam:PassRole`, il servizio Change Manager può passare le autorizzazioni del ruolo assunto ad altri servizi o ad altri strumenti di Systems Manager durante l'esecuzione di flussi di lavoro dei runbook.

**Per collegare la policy `iam:PassRole` a un profilo dell'istanza IAM o a un ruolo di servizio**

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, seleziona **Ruoli**.

1. Cerca il ruolo assunto Change Manager creato, ad esempio **MyChangeManagerAssumeRole**, e selezionalo.

1. Nella pagina **Riepilogo** del ruolo assunto, scegli la scheda **Autorizzazioni**.

1. Scegli **Add permissions, Create inline policy** (Aggiungi autorizzazioni, Crea policy inline).

1. Nella pagina **Create Policy** (Crea policy), scegliere la scheda **Visual editor (Editor visivo)**.

1. Scegliere **Service** (Servizio), quindi **IAM**.

1. Nella casella di testo **Filtro azioni****PassRole**, immettete e scegliete l'**PassRole**opzione.

1. Espandi **Resources** (Risorse). Verifica che l'opzione **Specific** (Specifico) sia selezionata, quindi scegliere **Add ARN** (Aggiungi ARN).

1. Nel campo **Specify ARN for role** (Specifica ARN per il ruolo), immetti l'ARN del ruolo del profilo dell'istanza IAM o del ruolo di servizio IAM a cui desideri passare le autorizzazioni del ruolo assunto. Il sistema popola automaticamente i campi **Account** e **Role name with path (Nome ruolo con percorso)**. 

1. Scegliere **Add** (Aggiungi).

1. Scegliere **Review policy** (Rivedi policy).

1. Per **Name** (Nome), inserisci un nome per identificare questa policy, quindi scegli **Create policy** (Crea policy).

**Ulteriori informazioni**  
+ [Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager](setup-instance-permissions.md)
+ [Creazione di un ruolo di servizio IAM richiesto per System Manager in ambiente ibrido e multicloud](hybrid-multicloud-service-role.md)

## Attività 4: Aggiungere politiche in linea per assumere un ruolo per richiamarne altre Servizi AWS
<a name="change-manager-role-add-inline-policy"></a>

Quando una richiesta di modifica richiama altre persone Servizi AWS utilizzando il ruolo assume, il ruolo Change Manager assume deve essere configurato con l'autorizzazione a richiamare tali servizi. Questo requisito si applica a tutti i runbook di AWS automazione (runbook AWS-\$1) che potrebbero essere utilizzati in una richiesta di modifica, come, e runbook. `AWS-ConfigureS3BucketLogging` `AWS-CreateDynamoDBBackup` `AWS-RestartEC2Instance` Questo requisito si applica anche a tutti i runbook personalizzati creati che richiamano altri utenti Servizi AWS utilizzando azioni che richiamano altri servizi. Ad esempio, se utilizzi le operazioni `aws:executeAwsApi`, `aws:CreateStack` o `aws:copyImage`, allora dovrai configurare il ruolo di servizio con l'autorizzazione per richiamare questi servizi. Puoi concedere autorizzazioni ad altri Servizi AWS aggiungendo una policy in linea IAM al ruolo. 

**Per aggiungere una policy in linea a un assumi il ruolo di invocare altri Servizi AWS (console IAM)**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Nel riquadro di navigazione, seleziona **Ruoli**.

1. Nell'elenco, scegli il nome del ruolo assunto che desideri aggiornare, ad esempio `MyChangeManagerAssumeRole`.

1. Scegli la scheda **Autorizzazioni**.

1. Scegli **Add permissions, Create inline policy** (Aggiungi autorizzazioni, Crea policy inline).

1. Scegli la scheda **JSON**.

1. Inserisci un documento di policy JSON per il file Servizi AWS che desideri richiamare. Di seguito sono riportati due documenti della policy JSON di esempio.

   **Esempio di `PutObject` e `GetObject` di Amazon S3**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:PutObject",
                   "s3:GetObject"
               ],
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
           }
       ]
   }
   ```

------

   **Esempio di `CreateSnapshot` e `DescribeSnapShots` di Amazon EC2**

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement":[
         {
            "Effect":"Allow",
            "Action":"ec2:CreateSnapshot",
            "Resource":"*"
         },
         {
            "Effect":"Allow",
            "Action":"ec2:DescribeSnapshots",
            "Resource":"*"
         }
      ]
   }
   ```

------

    Per informazioni sul linguaggio della policy IAM consulta [Riferimento alle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente IAM*.

1. Al termine, seleziona **Review policy (Rivedi policy)**. In [Policy Validator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) (Validatore di policy) vengono segnalati eventuali errori di sintassi.

1. Per **Name** (Nome), inserisci un nome per identificare la policy che stai creando. Consulta il **Riepilogo** della policy per visualizzare le autorizzazioni concesse dalla policy. Seleziona **Create policy** (Crea policy) per salvare il proprio lavoro.

1. Una volta creata, una policy inline viene automaticamente incorporata nel ruolo.

## Attività 5: configurazione dell'accesso utente a Change Manager
<a name="change-manager-passrole"></a>

Se al tuo utente, gruppo o ruolo sono assegnate le autorizzazioni come amministratore, allora hai accesso a Change Manager. Se non disponi delle autorizzazioni di amministratore, un amministratore dovrà assegnare la policy gestita `AmazonSSMFullAccess` oppure una policy che conceda autorizzazioni analoghe all'utente, al gruppo o al ruolo.

Completa la procedura seguente per configurare un utente per l'utilizzo di Change Manager. L'utente scelto disporrà dell'autorizzazione necessaria per configurare ed eseguire Change Manager. 

A seconda dell'applicazione di identità utilizzata nell'organizzazione, è possibile selezionare una delle tre opzioni disponibili per configurare l'accesso degli utenti. Durante la configurazione dell'accesso utente, assegna o aggiungi quanto segue: 

1. Assegna la policy `AmazonSSMFullAccess` o una policy analoga che autorizzi l'accesso a Systems Manager.

1. Assegna la policy `iam:PassRole`.

1. Aggiungi l'ARN per il ruolo di assunzione Change Manager che hai copiato alla fine del [Attività 2: creazione di un ruolo assunto per Change Manager](#change-manager-role).

Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in: AWS IAM Identity Center

  Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:

  Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
  + Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
  + (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.

A questo punto, la configurazione dei ruoli richiesti per Change Manager è stata completata. Ora puoi utilizzare l'ARN del ruolo assunto di Change Manager nelle operazioni di Change Manager.