# Gestione delle identità e degli accessi per l’ AWS Well-Architected Tool
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) è un Servizio AWS che consente agli amministratori di controllare in modo sicuro l’accesso alle risorse AWS. Gli amministratori IAM controllano chi è *autenticato* (accesso effettuato) e *autorizzato* (dispone di autorizzazioni) a utilizzare risorse AWS WA Tool. IAM è un Servizio AWS utilizzabile senza alcun costo aggiuntivo.

**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso con l’utilizzo delle policy](#security_iam_access-manage)
+ [Funzionamento di AWS Well-Architected Tool con IAM](security_iam_service-with-iam.md)
+ [AWS Well-Architected ToolEsempi di policy di basate su identità](security_iam_id-based-policy-examples.md)
+ [AWS Policy gestite da per AWS Well-Architected Tool](security-iam-awsmanpol.md)
+ [Risoluzione dei problemi di identità e accesso in AWS Well-Architected Tool](security_iam_troubleshoot.md)

## Destinatari
<a name="security_iam_audience"></a>

Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi di identità e accesso in AWS Well-Architected Tool](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Funzionamento di AWS Well-Architected Tool con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [AWS Well-Architected ToolEsempi di policy di basate su identità](security_iam_id-based-policy-examples.md))

## Autenticazione con identità
<a name="security_iam_authentication"></a>

L’autenticazione è la procedura di accesso ad AWScon le credenziali di identità. È necessaria l’autenticazione come Utente root dell'account AWS, un utente IAM o assumendo un ruolo IAM.

Puoi accedere come identità federata utilizzando credenziali provenienti da un’origine di identità come AWS IAM Identity Center (Centro identità AWS IAM), autenticazione Single Sign-On o credenziali Google/Facebook. Per ulteriori informazioni sull’accesso, consulta [Come accedere all’Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS*.

Per l’accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.

### Account AWSUtente root di un
<a name="security_iam_authentication-rootuser"></a>

 Quando si crea un Account AWS, si inizia con una singola identità di accesso chiamata *utente root* Account AWS che ha accesso completo a tutti i Servizi AWS e a tutte le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*. 

### Identità federata
<a name="security_iam_authentication-federated"></a>

Come best practice, chiedi agli utenti fisici di utilizzare la federazione con un provider di identità per accedere ad Servizi AWS con credenziali temporanee.

Un’*identità federata* è un utente della directory aziendale, un provider di identità web o Directory Service che accede ai Servizi AWS utilizzando credenziali fornite tramite un’origine di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.

Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center*.

### Utenti e gruppi IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per maggiori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere a AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella *Guida per l’utente di IAM*.

Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.

### Ruoli IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi quindi assumere un ruolo [passando da un utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html), chiamando l’AWS CLI o un’operazione API AWS. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.

I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.

## Gestione dell’accesso con l’utilizzo delle policy
<a name="security_iam_access-manage"></a>

Per controllare l’accesso a AWS è possibile creare policy e collegarle a identità o risorse AWS. Una policy definisce le autorizzazioni se associata a un’identità o a una risorsa. AWS valuta queste policy quando un principale effettua una richiesta. La maggior parte delle policy viene archiviata in AWS sotto forma di documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.

Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.

Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.

### Policy basate sull’identità
<a name="security_iam_access-manage-id-based-policies"></a>

Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.

Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.

### Policy basate sulle risorse
<a name="security_iam_access-manage-resource-based-policies"></a>

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).

Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy gestite da AWS da IAM in una policy basata su risorse.

### Altri tipi di policy
<a name="security_iam_access-manage-other-policies"></a>

AWS supporta tipi di policy aggiuntivi che possono impostare il numero massimo di autorizzazioni concesse dai tipi di policy più comuni.
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Policy di controllo dei servizi (SCP)**: specifica il numero massimo di autorizzazioni per un’organizzazione o un’unità organizzativa (OU) in AWS Organizations. Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations*.
+ **Policy di controllo delle risorse (RCP)**: imposta le autorizzazioni massime disponibili per le risorse degli account. Per ulteriori informazioni, consulta [Policy di controllo delle risorse (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l’utente di AWS Organizations*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.

### Più tipi di policy
<a name="security_iam_access-manage-multiple-policies"></a>

Quando più tipi di policy si applicano a una richiesta, le autorizzazioni risultanti sono più complicate da comprendere. Per informazioni su come AWSdetermina se consentire una richiesta quando sono coinvolti più tipi di policy, consultare [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *Guida per l’utente di IAM*.

# Funzionamento di AWS Well-Architected Tool con IAM
<a name="security_iam_service-with-iam"></a>

Prima di utilizzare IAM per gestire l’accesso a AWS WA Tool, scopri quali funzionalità di IAM sono disponibili per l’uso con AWS WA Tool.


**Funzionalità IAM che è possibile utilizzare con AWS Well-Architected Tool**  

| Funzionalità IAM | AWS WA ToolSupporto  | 
| --- | --- | 
|  [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies)  |   Sì  | 
|  [Policy basate sulle risorse](#security_iam_service-with-iam-resource-based-policies)  |   No   | 
|  [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions)  |   Sì  | 
|  [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources)  |   Sì  | 
|  [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Sì  | 
|  [Liste di controllo degli accessi (ACL](#security_iam_service-with-iam-acls)  |   No   | 
|  [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags)  |   Sì  | 
|  [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds)  |   Sì  | 
|  [Autorizzazioni delle entità principali](#security_iam_service-with-iam-principal-permissions)  |   Sì  | 
|  [Ruoli di servizio](#security_iam_service-with-iam-roles-service)  |   No   | 
|  [Ruoli collegati ai servizi](#security_iam_service-with-iam-roles-service-linked)  |   No   | 

Per ottenere un quadro generale del funzionamento di AWS WA Tool e altri servizi AWS con la maggior parte delle caratteristiche di IAM, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.

## AWS WA ToolPolicy basate su identità
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Supporta le operazioni di policy:** si

Gli amministratori possono utilizzare le policy JSON di AWS per specificare gli accessi ai diversi elementi. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l’accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.

## Policy basate su risorse all’interno di AWS WA Tool
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Supporta le policy basate su risorse:** no 

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Le entità principali possono includere account, utenti, ruoli, utenti federati o Servizi AWS.

Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.

## Operazioni di policy per AWS WA Tool
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Supporta le operazioni di policy:** si

Gli amministratori possono utilizzare le policy JSON di AWS per specificare gli accessi ai diversi elementi. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l’accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni di eseguire l’operazione associata.

Le operazioni delle policy in AWS WA Tool utilizzano il seguente prefisso prima dell’operazione: `wellarchitected:`. Ad esempio, per consentire a un’entità di definire un carico di lavoro, un amministratore deve collegare una policy che consenta operazioni `wellarchitected:CreateWorkload`. Analogamente, per evitare che un’entità elimini i carichi di lavoro, l’amministratore può collegare una policy che non consenta le operazioni `wellarchitected:DeleteWorkload`. Le istruzioni delle policy devono includere un elemento `Action` o `NotAction`. AWS WA Tool definisce una propria serie di operazioni che descrivono le attività eseguibili con questo servizio.

Per visualizzare un elenco di operazioni AWS WA Tool, consulta [Operazioni definite da AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#awswell-architectedtool-actions-as-permissions) in *Riferimento per l’autorizzazione del servizio*. 

## Risorse di policy
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Supporta le risorse relative alle policy:** sì

Gli amministratori possono utilizzare le policy JSON di AWS per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.

```
"Resource": "*"
```

Per visualizzare un elenco di tipi di risorse AWS WA Tool e dei relativi ARN, consulta [Risorse definite da AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#your_service-resources-for-iam-policies) nella *Guida di riferimento sull’autorizzazione del servizio*. Per informazioni sulle operazioni con cui è possibile specificare l’ARN di ogni risorsa, consulta la sezione [Operazioni definite da AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#your_service-actions-as-permissions).

La risorsa del carico di lavoro AWS WA Tool ha il seguente ARN:

```
arn:${Partition}:wellarchitected:${Region}:${Account}:workload/${ResourceId} 
```

Per ulteriori informazioni sul formato degli ARN, consulta [Nome della risorsa Amazon (ARN) e spazi dei nomi del servizio AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

L’ARN può essere trovato nella pagina delle **proprietà del carico di lavoro** dei un carico di lavoro. Ad esempio, per specificare un carico di lavoro specifico:

```
"Resource": "arn:aws:wellarchitected:us-west-2:123456789012:workload/11112222333344445555666677778888" 
```

Per specificare tutti i carichi di lavoro che appartengono a un account specifico, utilizza il carattere jolly (\$1):

```
"Resource": "arn:aws:wellarchitected:us-west-2:123456789012:workload/*" 
```

Alcune operazioni AWS WA Tool, ad esempio quelle per la creazione e l’elencazione di carichi di lavoro, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (\$1).

```
"Resource": "*"
```

Per visualizzare un elenco di tipi di risorse AWS WA Tool e dei relativi ARN, consulta [Risorse definite da AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#awswell-architectedtool-resources-for-iam-policies) nella *Guida di riferimento sull’autorizzazione del servizio*. Per informazioni sulle operazioni con cui è possibile specificare l’ARN di ogni risorsa, consulta [Operazioni definite da AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#awswell-architectedtool-actions-as-permissions).

## Chiavi di condizione delle policy per AWS WA Tool
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì

Gli amministratori possono utilizzare le policy JSON di AWS per specificare gli accessi ai diversi elementi. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione globali di AWS, consultare [Chiavi di contesto delle condizioni globali di AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *Guida per l’utente IAM*.

AWS WA Tool fornisce una chiave di condizione specifica del servizio (`wellarchitected:JiraProjectKey`) e supporta l’utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione globali di AWS, consulta [AWS Global Condition Context Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *Guida di riferimento per l’autorizzazione del servizio*.

Gli amministratori possono utilizzare le policy JSON di AWS per specificare gli accessi ai diversi elementi. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione globali di AWS, consultare [Chiavi di contesto delle condizioni globali di AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *Guida per l’utente IAM*.

## Liste di controllo degli accessi in AWS WA Tool
<a name="security_iam_service-with-iam-acls"></a>

**Supporta le ACL:** no 

Le liste di controllo degli accessi (ACL) controllano quali principali (membri, utenti o ruoli dell’account) hanno le autorizzazioni per accedere a una risorsa. Le ACL sono simili alle policy basate su risorse, sebbene non utilizzino il formato del documento di policy JSON.

## Autorizzazione basata su tag AWS WA Tool
<a name="security_iam_service-with-iam-tags"></a>

**Supporta ABAC (tag nelle policy):** sì

Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi collegare tag alle entità IAM e alle risorse AWS, quindi progettare policy ABAC per consentire operazioni quando il tag del principale corrisponde al tag sulla risorsa.

Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.

Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.

Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consultare [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente IAM*.

## Utilizzo di credenziali temporanee con AWS WA Tool
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Supporta le credenziali temporanee:** sì

Le credenziali temporanee forniscono l’accesso a breve termine alle risorse AWS e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare credenziali temporanee in modo dinamico anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nelle *Guida per l’utente IAM*.

## Autorizzazioni del principale tra servizi per AWS WA Tool
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Supporta l’inoltro delle sessioni di accesso (FAS):** sì

 La tecnologia FAS utilizza le autorizzazioni dell’entità principale che effettua la chiamata a un Servizio AWS, combinate con la richiesta di un Servizio AWS, per effettuare richieste a servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta la pagina [Inoltro sessioni di accesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Ruoli di servizio per AWS WA Tool
<a name="security_iam_service-with-iam-roles-service"></a>

**Supporta i ruoli di servizio:** no 

 Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta la sezione [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*. 

## Ruoli collegati al servizio per AWS WA Tool
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Supporta i ruoli collegati ai servizi:** no 

 Un ruolo collegato al servizio è un tipo di ruolo di servizio che è collegato a un Servizio AWS. Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati ai servizi sono visualizzati nell’account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle. 

Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

# AWS Well-Architected ToolEsempi di policy di basate su identità
<a name="security_iam_id-based-policy-examples"></a>

Per impostazione predefinita, gli utenti e i ruoli non dispongono dell’autorizzazione per creare o modificare risorse AWS WA Tool. Inoltre, non sono in grado di eseguire attività utilizzando la Console di gestione AWS, AWS CLI o un’API AWS. Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l’autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L’amministratore devi quindi collegare queste policy a utenti o gruppi che richiedono tali autorizzazioni.

Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l’utente IAM*.

**Topics**
+ [Best practice delle policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console AWS WA Tool](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Concessione dell’accesso completo ai carichi di lavoro](#security_iam_id-based-policy-examples-full-access)
+ [Concessione dell’accesso in sola lettura ai carichi di lavoro](#security_iam_id-based-policy-examples-readonly-access)
+ [Accesso a un carico di lavoro](#security_iam_id-based-policy-examples-access-one-workload)
+ [Utilizzo di una chiave di condizione specifica del servizio per AWS Well-Architected Tool Connector for Jira](#security_iam_id-based-policy-examples-service-specific-condition-key)

## Best practice delle policy
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Le policy basate su identità determinano se qualcuno può creare, accedere o eliminare risorse AWS WA Tool nel tuo account. Queste operazioni possono comportare costi aggiuntivi per l’Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Nozioni di base sulle policy gestite da AWS e passaggio alle autorizzazioni con privilegio minimo** - Per iniziare a concedere le autorizzazioni a utenti e carichi di lavoro, utilizza le *policy gestite da AWS* che concedono le autorizzazioni per molti casi d’uso comuni. Sono disponibili all’interno dell’Account AWS. Consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente di AWS specifiche per i propri casi d’uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. È possibile inoltre utilizzare le condizioni per concedere l’accesso alle azioni di servizio, ma solo se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiesta dell’autenticazione a più fattori (MFA)** - Se ci si trova di fronte a uno scenario che richiede utenti IAM o utenti root nell’Account AWS, attivare MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.

Per maggiori informazioni sulle best practice in IAM, consultare [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente IAM*.

## Utilizzo della console AWS WA Tool
<a name="security_iam_id-based-policy-examples-console"></a>

Per accedere alla console AWS Well-Architected Tool è necessario disporre di un insieme di autorizzazioni minimo. Queste autorizzazioni devono consentire di elencare e visualizzare i dettagli relativi alle risorse AWS WA Tool nel tuo Account AWS. Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.

Per garantire che tali entità possano ancora utilizzare la console AWS WA Tool, collega anche la seguente policy gestita AWS alle entità:

```
WellArchitectedConsoleReadOnlyAccess
```

Per consentire la possibilità di creare, modificare ed eliminare carichi di lavoro, collegare la seguente policy gestita AWS alle entità:

```
WellArchitectedConsoleFullAccess
```

Per ulteriori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.

Non sono necessarie le autorizzazioni minime della console per gli utenti che effettuano chiamate solo all’API di AWS CLI o di AWS. Al contrario, è possibile accedere solo alle operazioni che soddisfano l’operazione API che stai cercando di eseguire.

## Consentire agli utenti di visualizzare le loro autorizzazioni
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Tale policy include le autorizzazioni per completare questa azione sulla console o a livello di codice utilizzando la AWS CLI o l’API AWS.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Concessione dell’accesso completo ai carichi di lavoro
<a name="security_iam_id-based-policy-examples-full-access"></a>

In questo esempio, si desidera concedere a un utente nel tuo Account AWS l’accesso completo ai carichi di lavoro. L’accesso completo consente all’utente di eseguire tutte le operazioni in AWS WA Tool. Questo accesso è necessario per definire, eliminare, visualizzare e aggiornare i carichi di lavoro.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement" : [  
     {
     "Effect" : "Allow",
     "Action" : [
          "wellarchitected:*"
     ],
     "Resource": "*"
     }
   ]
}
```

------

## Concessione dell’accesso in sola lettura ai carichi di lavoro
<a name="security_iam_id-based-policy-examples-readonly-access"></a>

In questo esempio, desideri concedere a un utente nell’Account AWS l’accesso in sola lettura ai carichi di lavoro. L’accesso in sola lettura consente all’utente di visualizzare i carichi di lavoro in AWS WA Tool.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement" : [  
     {
     "Effect" : "Allow",
     "Action" : [
          "wellarchitected:Get*",
          "wellarchitected:List*"
     ],
     "Resource": "*"
     }
   ]
}
```

------

## Accesso a un carico di lavoro
<a name="security_iam_id-based-policy-examples-access-one-workload"></a>

In questo esempio, desideri concedere a un utente nell’Account AWS l’accesso in sola lettura a uno dei carichi di lavoro, `99999999999955555555555566666666`, nella Regione `us-west-2`. L’ID dell’account è `777788889999`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement" : [  
     {
     "Effect" : "Allow",
     "Action" : [
          "wellarchitected:Get*",
          "wellarchitected:List*"
     ],
     "Resource": "arn:aws:wellarchitected:us-west-2:777788889999:workload/999999999999555555555555666666666"
     }
   ]
}
```

------

## Utilizzo di una chiave di condizione specifica del servizio per AWS Well-Architected Tool Connector for Jira
<a name="security_iam_id-based-policy-examples-service-specific-condition-key"></a>

 In questo esempio viene illustrato come utilizzare la chiave di condizione specifica del servizio `wellarchitected:JiraProjectKey` per controllare quali progetti Jira possono essere collegati ai carichi di lavoro nel tuo account. 

 Di seguito vengono descritti gli usi pertinenti della chiave di condizione: 
+  **`CreateWorkload:`** quando applichi `wellarchitected:JiraProjectKey` a `CreateWorkload`, puoi definire i progetti Jira personalizzati che possono essere collegati a qualsiasi carico di lavoro creato dall’utente. Ad esempio, se un utente tenta di creare un nuovo carico di lavoro con il progetto ABC, ma la policy specifica solo il progetto PQR, l’azione viene negata. 
+  **`UpdateWorkload:`** quando applichi `wellarchitected:JiraProjectKey` a `UpdateWorkload`, puoi definire i progetti Jira personalizzati che possono essere collegati a un determinato carico di lavoro oppure a qualsiasi carico di lavoro. Ad esempio, se un utente tenta di aggiornare un carico di lavoro esistente con il progetto ABC, ma la policy specifica il progetto PQR, l’azione viene negata. Inoltre, se l’utente ha un carico di lavoro collegato al progetto PQR e tenta di aggiornare il carico di lavoro per collegarlo al progetto ABC, l’azione viene negata. 
+  **`UpdateGlobalSettings:`** quando applichi `wellarchitected:JiraProjectKey` a `UpdateGlobalSettings`, puoi definire i progetti Jira personalizzati che possono essere collegati all’Account AWS. L’impostazione a livello di account protegge i carichi di lavoro del tuo account che non sostituiscono le impostazioni di Jira a livello di account. Ad esempio, se un utente ha accesso a `UpdateGlobalSettings`, non può collegare i carichi di lavoro del tuo account ai progetti che non sono specificati nella policy. 

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "VisualEditor0",
			"Effect": "Allow",
			"Action": [
				"wellarchitected:UpdateGlobalSettings",
				"wellarchitected:CreateWorkload"
			],
			"Resource": "*",
			"Condition": {
				"StringEqualsIfExists": {
					"wellarchitected:JiraProjectKey": ["ABC, PQR"]
				}
			}
		},
		{
			"Sid": "VisualEditor1",
			"Effect": "Allow",
			"Action": [
				"wellarchitected:UpdateWorkload"
			],
			"Resource": "arn:aws:wellarchitected:us-east-1:111122223333:workload/example-workload",
			"Condition": {
				"StringEqualsIfExists": {
					"wellarchitected:JiraProjectKey": ["ABC, PQR"]
				}
			}
		}
	]
}
```

------

# AWS Policy gestite da per AWS Well-Architected Tool
<a name="security-iam-awsmanpol"></a>

Una policy gestita da AWS è una policy standalone creata e amministrata da AWS. Le policy gestite da AWS sono progettate per fornire autorizzazioni per molti casi d’uso comuni in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Si ricorda che le policy gestite da AWS potrebbero non concedere autorizzazioni con privilegi minimi per i casi d’uso specifici perché possono essere utilizzate da tutti i clienti AWS. Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d’uso.

Non è possibile modificare le autorizzazioni definite nelle policy gestite da AWS. Se AWS aggiorna le autorizzazioni definite in una policy gestita da AWS, l’aggiornamento riguarda tutte le identità principali (utenti, gruppi e ruoli) a cui è collegata la policy. È molto probabile che AWS aggiorni una policy gestita da AWS quando viene lanciato un nuovo Servizio AWS o nuove operazioni API diventano disponibili per i servizi esistenti.

Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l’utente di IAM*.

## AWS Policy gestita da: WellArchitectedConsoleFullAccess
<a name="security-iam-awsmanpol-WellArchitectedConsoleFullAccess"></a>

È possibile allegare la policy `WellArchitectedConsoleFullAccess` alle identità IAM.

Questa policy concede l’accesso completo ad AWS Well-Architected Tool. 

**Dettagli delle autorizzazioni**

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement" : [  
     {
     "Effect" : "Allow",
     "Action" : [
          "wellarchitected:*"
     ],
     "Resource": "*"
     }
   ]
}
```

------

## AWS Policy gestita da: WellArchitectedConsoleReadOnlyAccess
<a name="security-iam-awsmanpol-WellArchitectedConsoleReadOnlyAccess"></a>

È possibile allegare la policy `WellArchitectedConsoleReadOnlyAccess` alle identità IAM.

Questa policy concede l’accesso in sola lettura a AWS Well-Architected Tool. 

**Dettagli delle autorizzazioni**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wellarchitected:Get*",
                "wellarchitected:List*",
                "wellarchitected:ExportLens"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## AWS Policy gestita da: AWSWellArchitectedOrganizationsServiceRolePolicy
<a name="security-iam-awsmanpol-AWSWellArchitectedOrganizationsServiceRolePolicy"></a>

È possibile allegare la policy `AWSWellArchitectedOrganizationsServiceRolePolicy` alle identità IAM.

Questa policy concede le autorizzazioni amministrative in AWS Well-Architected Tool che sono necessarie per supportare l’integrazione di AWS Organizations con Organizations. Queste autorizzazioni consentono all’account di gestione dell’organizzazione di abilitare la condivisione delle risorse con AWS WA Tool. 

**Dettagli delle autorizzazioni**

Questa policy include le seguenti autorizzazioni:
+ `organizations:ListAWSServiceAccessForOrganization`: consente ai principali di verificare se l’accesso al servizio AWS è abilitato per AWS WA Tool. 
+ `organizations:DescribeAccount`: consente ai principali di recuperare informazioni su un account nell’organizzazione.
+ `organizations:DescribeOrganization`: consente ai principali di recuperare informazioni sulla configurazione dell’organizzazione.
+ `organizations:ListAccounts`: consente ai principali di recuperare l’elenco degli account che appartengono a un’organizzazione.
+ `organizations:ListAccountsForParent`: consente ai principali di recuperare l’elenco degli account che appartengono a un’organizzazione da un determinato nodo root dell’organizzazione.
+ `organizations:ListChildren`: consente ai principali di recuperare l’elenco degli account e delle unità organizzative che appartengono a un’organizzazione da un determinato nodo root dell’organizzazione.
+ `organizations:ListParents`: consente ai principali di recuperare l’elenco degli elementi padre diretti specificati dall’unità organizzativa o dall’account all’interno di un’organizzazione.
+ `organizations:ListRoots`: consente ai principali di recuperare l’elenco di tutti i nodi root all’interno di un’organizzazione.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:ListRoots"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Policy gestita da AWS: AWSWellArchitectedDiscoveryServiceRolePolicy
<a name="security-iam-awsmanpol-AWSWellArchitectedDiscoveryServiceRolePolicy"></a>

È possibile allegare la policy `AWSWellArchitectedDiscoveryServiceRolePolicy` alle identità IAM.

Questa policy consente allo AWS Well-Architected Tool di accedere alle risorse e ai servizi AWS correlati alle risorse di AWS WA Tool. 

**Dettagli delle autorizzazioni**

Questa policy include le seguenti autorizzazioni:
+ `trustedadvisor:DescribeChecks`: elenca i controlli Trusted Advisor disponibili. 
+ `trustedadvisor:DescribeCheckItems`: recupera i dati di controllo di Trusted Advisor, inclusi lo stato e le risorse contrassegnati da Trusted Advisor.
+ `servicecatalog:GetApplication`: recupera i dettagli di un’applicazione AppRegistry.
+ `servicecatalog:ListAssociatedResources`: elenca le risorse associate a un’applicazione AppRegistry. 
+ `cloudformation:DescribeStacks`: ottiene i dettagli degli stack CloudFormation.
+ `cloudformation:ListStackResources`: elenca le risorse associate agli stack CloudFormation. 
+ `resource-groups:ListGroupResources`: elenca le risorse di un ResourceGroup. 
+ `tag:GetResources`: richiesta per ListGroupResources.
+ `servicecatalog:CreateAttributeGroup`: crea un gruppo di attributi gestito dal servizio quando richiesto.
+ `servicecatalog:AssociateAttributeGroup`: associa un gruppo di attributi gestito dal servizio a un’applicazione AppRegistry.
+ `servicecatalog:UpdateAttributeGroup`: aggiorna un gruppo di attributi gestito dal servizio.
+ `servicecatalog:DisassociateAttributeGroup`: dissocia un gruppo di attributi gestito dal servizio da un’applicazione AppRegistry.
+ `servicecatalog:DeleteAttributeGroup`: elimina un gruppo di attributi gestito dal servizio quando richiesto.

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeChecks",
				"trustedadvisor:DescribeCheckItems"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"cloudformation:DescribeStacks",
				"cloudformation:ListStackResources",
				"resource-groups:ListGroupResources",
				"tag:GetResources"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:ListAssociatedResources",
				"servicecatalog:GetApplication",
				"servicecatalog:CreateAttributeGroup"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:AssociateAttributeGroup",
				"servicecatalog:DisassociateAttributeGroup"
			],
			"Resource": [
				"arn:*:servicecatalog:*:*:/applications/*",
				"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:UpdateAttributeGroup",
				"servicecatalog:DeleteAttributeGroup"
			],
			"Resource": [
				"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
			]
		}
	]
}
```

------

## Aggiornamenti di AWS WA Tool alle policy gestite da AWS
<a name="security-iam-awsmanpol-updates"></a>

Visualizza i dettagli sugli aggiornamenti alle policy gestite da AWS per AWS WA Tool da quando questo servizio ha iniziato a tenere traccia delle modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, abbonati al feed RSS nella pagina della [Revisione dei documenti](document-revisions.md) di AWS WA Tool.


| Modifica | Descrizione | Data | 
| --- | --- | --- | 
| AWS WA Tool: modifica della policy gestita | Aggiunto `"wellarchitected:Export*"` a ` WellArchitectedConsoleReadOnlyAccess`. | 22 giugno 2023 | 
|  AWS WA Tool: aggiunta della policy del ruolo di servizio  |  È stato aggiunto `AWSWellArchitectedDiscoveryServiceRolePolicy` per consentire allo AWS Well-Architected Tool di accedere alle risorse e ai servizi AWS correlati alle risorse di AWS WA Tool.  | 3 maggio 2023 | 
|  AWS WA Tool: aggiunta di autorizzazioni  |  È stata aggiunta una nuova azione per concedere le autorizzazioni a `ListAWSServiceAccessForOrganization` per consentire allo AWS WA Tool di verificare se l’accesso al servizio AWS è abilitato per AWS WA Tool.  | 22 luglio 2022 | 
|  AWS WA Tool ha iniziato il rilevamento delle modifiche  |  AWS WA Tool ha iniziato il rilevamento delle modifiche per le relative policy gestite da AWS.  | 22 luglio 2022 | 

# Risoluzione dei problemi di identità e accesso in AWS Well-Architected Tool
<a name="security_iam_troubleshoot"></a>

Utilizza le informazioni seguenti per diagnosticare e risolvere i problemi comuni che possono verificarsi durante l’utilizzo di AWS WA Tool e di IAM.

**Topics**
+ [Non sono autorizzato a eseguire un’operazione in AWS WA Tool](#security_iam_troubleshoot-no-permissions)

## Non sono autorizzato a eseguire un’operazione in AWS WA Tool
<a name="security_iam_troubleshoot-no-permissions"></a>

Se la Console di gestione AWS indica che non sei autorizzato a eseguire un’azione, devi contattare l’amministratore per ricevere assistenza. L’amministratore è colui che ti ha fornito le credenziali di accesso.

L’esempio di errore seguente viene visualizzato quando l’utente *mateojackson* cerca di utilizzare la console per eseguire lazione `DeleteWorkload`, ma non dispone delle autorizzazioni necessarie.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: wellarchitected:DeleteWorkload on resource: 11112222333344445555666677778888
```

Per questo esempio, devi contattare l’amministratore per l’aggiornamento delle policy in modo che venga autorizzato l’accesso alla risorsa `11112222333344445555666677778888` utilizzando l’operazione `wellarchitected:DeleteWorkload`.