# AWS Policy gestite da per AWS Well-Architected Tool
<a name="security-iam-awsmanpol"></a>

Una policy gestita da AWS è una policy standalone creata e amministrata da AWS. Le policy gestite da AWS sono progettate per fornire autorizzazioni per molti casi d’uso comuni in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Si ricorda che le policy gestite da AWS potrebbero non concedere autorizzazioni con privilegi minimi per i casi d’uso specifici perché possono essere utilizzate da tutti i clienti AWS. Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d’uso.

Non è possibile modificare le autorizzazioni definite nelle policy gestite da AWS. Se AWS aggiorna le autorizzazioni definite in una policy gestita da AWS, l’aggiornamento riguarda tutte le identità principali (utenti, gruppi e ruoli) a cui è collegata la policy. È molto probabile che AWS aggiorni una policy gestita da AWS quando viene lanciato un nuovo Servizio AWS o nuove operazioni API diventano disponibili per i servizi esistenti.

Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l’utente di IAM*.

## AWS Policy gestita da: WellArchitectedConsoleFullAccess
<a name="security-iam-awsmanpol-WellArchitectedConsoleFullAccess"></a>

È possibile allegare la policy `WellArchitectedConsoleFullAccess` alle identità IAM.

Questa policy concede l’accesso completo ad AWS Well-Architected Tool. 

**Dettagli delle autorizzazioni**

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement" : [  
     {
     "Effect" : "Allow",
     "Action" : [
          "wellarchitected:*"
     ],
     "Resource": "*"
     }
   ]
}
```

------

## AWS Policy gestita da: WellArchitectedConsoleReadOnlyAccess
<a name="security-iam-awsmanpol-WellArchitectedConsoleReadOnlyAccess"></a>

È possibile allegare la policy `WellArchitectedConsoleReadOnlyAccess` alle identità IAM.

Questa policy concede l’accesso in sola lettura a AWS Well-Architected Tool. 

**Dettagli delle autorizzazioni**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wellarchitected:Get*",
                "wellarchitected:List*",
                "wellarchitected:ExportLens"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## AWS Policy gestita da: AWSWellArchitectedOrganizationsServiceRolePolicy
<a name="security-iam-awsmanpol-AWSWellArchitectedOrganizationsServiceRolePolicy"></a>

È possibile allegare la policy `AWSWellArchitectedOrganizationsServiceRolePolicy` alle identità IAM.

Questa policy concede le autorizzazioni amministrative in AWS Well-Architected Tool che sono necessarie per supportare l’integrazione di AWS Organizations con Organizations. Queste autorizzazioni consentono all’account di gestione dell’organizzazione di abilitare la condivisione delle risorse con AWS WA Tool. 

**Dettagli delle autorizzazioni**

Questa policy include le seguenti autorizzazioni:
+ `organizations:ListAWSServiceAccessForOrganization`: consente ai principali di verificare se l’accesso al servizio AWS è abilitato per AWS WA Tool. 
+ `organizations:DescribeAccount`: consente ai principali di recuperare informazioni su un account nell’organizzazione.
+ `organizations:DescribeOrganization`: consente ai principali di recuperare informazioni sulla configurazione dell’organizzazione.
+ `organizations:ListAccounts`: consente ai principali di recuperare l’elenco degli account che appartengono a un’organizzazione.
+ `organizations:ListAccountsForParent`: consente ai principali di recuperare l’elenco degli account che appartengono a un’organizzazione da un determinato nodo root dell’organizzazione.
+ `organizations:ListChildren`: consente ai principali di recuperare l’elenco degli account e delle unità organizzative che appartengono a un’organizzazione da un determinato nodo root dell’organizzazione.
+ `organizations:ListParents`: consente ai principali di recuperare l’elenco degli elementi padre diretti specificati dall’unità organizzativa o dall’account all’interno di un’organizzazione.
+ `organizations:ListRoots`: consente ai principali di recuperare l’elenco di tutti i nodi root all’interno di un’organizzazione.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:ListRoots"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Policy gestita da AWS: AWSWellArchitectedDiscoveryServiceRolePolicy
<a name="security-iam-awsmanpol-AWSWellArchitectedDiscoveryServiceRolePolicy"></a>

È possibile allegare la policy `AWSWellArchitectedDiscoveryServiceRolePolicy` alle identità IAM.

Questa policy consente allo AWS Well-Architected Tool di accedere alle risorse e ai servizi AWS correlati alle risorse di AWS WA Tool. 

**Dettagli delle autorizzazioni**

Questa policy include le seguenti autorizzazioni:
+ `trustedadvisor:DescribeChecks`: elenca i controlli Trusted Advisor disponibili. 
+ `trustedadvisor:DescribeCheckItems`: recupera i dati di controllo di Trusted Advisor, inclusi lo stato e le risorse contrassegnati da Trusted Advisor.
+ `servicecatalog:GetApplication`: recupera i dettagli di un’applicazione AppRegistry.
+ `servicecatalog:ListAssociatedResources`: elenca le risorse associate a un’applicazione AppRegistry. 
+ `cloudformation:DescribeStacks`: ottiene i dettagli degli stack CloudFormation.
+ `cloudformation:ListStackResources`: elenca le risorse associate agli stack CloudFormation. 
+ `resource-groups:ListGroupResources`: elenca le risorse di un ResourceGroup. 
+ `tag:GetResources`: richiesta per ListGroupResources.
+ `servicecatalog:CreateAttributeGroup`: crea un gruppo di attributi gestito dal servizio quando richiesto.
+ `servicecatalog:AssociateAttributeGroup`: associa un gruppo di attributi gestito dal servizio a un’applicazione AppRegistry.
+ `servicecatalog:UpdateAttributeGroup`: aggiorna un gruppo di attributi gestito dal servizio.
+ `servicecatalog:DisassociateAttributeGroup`: dissocia un gruppo di attributi gestito dal servizio da un’applicazione AppRegistry.
+ `servicecatalog:DeleteAttributeGroup`: elimina un gruppo di attributi gestito dal servizio quando richiesto.

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeChecks",
				"trustedadvisor:DescribeCheckItems"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"cloudformation:DescribeStacks",
				"cloudformation:ListStackResources",
				"resource-groups:ListGroupResources",
				"tag:GetResources"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:ListAssociatedResources",
				"servicecatalog:GetApplication",
				"servicecatalog:CreateAttributeGroup"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:AssociateAttributeGroup",
				"servicecatalog:DisassociateAttributeGroup"
			],
			"Resource": [
				"arn:*:servicecatalog:*:*:/applications/*",
				"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:UpdateAttributeGroup",
				"servicecatalog:DeleteAttributeGroup"
			],
			"Resource": [
				"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
			]
		}
	]
}
```

------

## Aggiornamenti di AWS WA Tool alle policy gestite da AWS
<a name="security-iam-awsmanpol-updates"></a>

Visualizza i dettagli sugli aggiornamenti alle policy gestite da AWS per AWS WA Tool da quando questo servizio ha iniziato a tenere traccia delle modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, abbonati al feed RSS nella pagina della [Revisione dei documenti](document-revisions.md) di AWS WA Tool.


| Modifica | Descrizione | Data | 
| --- | --- | --- | 
| AWS WA Tool: modifica della policy gestita | Aggiunto `"wellarchitected:Export*"` a ` WellArchitectedConsoleReadOnlyAccess`. | 22 giugno 2023 | 
|  AWS WA Tool: aggiunta della policy del ruolo di servizio  |  È stato aggiunto `AWSWellArchitectedDiscoveryServiceRolePolicy` per consentire allo AWS Well-Architected Tool di accedere alle risorse e ai servizi AWS correlati alle risorse di AWS WA Tool.  | 3 maggio 2023 | 
|  AWS WA Tool: aggiunta di autorizzazioni  |  È stata aggiunta una nuova azione per concedere le autorizzazioni a `ListAWSServiceAccessForOrganization` per consentire allo AWS WA Tool di verificare se l’accesso al servizio AWS è abilitato per AWS WA Tool.  | 22 luglio 2022 | 
|  AWS WA Tool ha iniziato il rilevamento delle modifiche  |  AWS WA Tool ha iniziato il rilevamento delle modifiche per le relative policy gestite da AWS.  | 22 luglio 2022 |