Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Politiche e autorizzazioni in AWS Identity and Access Management
Gestisci l'accesso AWS creando policy e collegandole a identità o risorse IAM (utenti, gruppi di utenti o ruoli). AWS Una policy è un oggetto AWS che, se associato a un'identità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste politiche quando un responsabile IAM (utente o ruolo) effettua una richiesta. Le autorizzazioni nelle policy determinano l’approvazione o il rifiuto della richiesta. La maggior parte delle policy viene archiviata AWS come documenti JSON. AWS supporta nove tipi di policy: policy basate sull'identità, policy basate sulle risorse, policy sugli endpoint VPC, limiti di autorizzazioni, policy di controllo dei servizi (SCP), policy di controllo delle risorse (RCP) AWS Organizations , liste di controllo degli accessi (ACL) AWS Organizations , condivisioni Resource Access Manager (RAM) e policy di sessione.
Le policy IAM definiscono le autorizzazioni relative a un’operazione, indipendentemente dal metodo utilizzato per eseguirla. Ad esempio, se una policy consente l'[GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)azione, un utente con quella policy può ottenere informazioni sull'utente dall'API, dall'o dall'API. Console di gestione AWS AWS CLI AWS Nella creazione di un utente IAM, è possibile scegliere di consentire l'accesso programmatico o alla console. Se è consentito l'accesso alla console, l'utente IAM può accedere alla console con le proprie credenziali di accesso. Se è consentito l'accesso programmatico, l'utente può utilizzare le chiavi di accesso per utilizzare la CLI o l'API.
## Tipi di policy
I tipi di policy elencati di seguito in ordine da quello utilizzato più frequentemente a quello meno frequentemente sono disponibili per l'uso in AWS. Per ulteriori informazioni, consulta le sezioni seguenti per ogni tipo di policy.
+ **[Identity-basedpolicy](#policies_id-based)**: collega policy [gestite](#managedpolicy) e [in linea](#inline) alle identità IAM (utenti, gruppi a cui appartengono gli utenti o ruoli). Identity-based le politiche concedono le autorizzazioni a un'identità.
+ **[Resource-basedpolitiche](#policies_resource-based)**: collega le politiche in linea alle risorse. Gli esempi più comuni di policy basate sulle risorse sono le bucket policy di Amazon S3 e le policy IAM role trust. Resource-based le politiche concedono le autorizzazioni al principale specificato nella politica. Le entità principali possono essere nello stesso account della risorsa o in altri account.
+ Policy **[degli endpoint VPC: collega a un endpoint VPC per controllare quali responsabili possono utilizzare le policy](#policies_vpc-endpoint)** degli endpoint VPC e a quali risorse è possibile accedere tramite esse. Le policy degli endpoint VPC fungono da limite di accesso aggiuntivo limitato al traffico che attraversa l'endpoint.
+ **[Limiti delle autorizzazioni](#policies_bound)**: utilizza una policy gestita come limite delle autorizzazioni per un'entità IAM (utente o ruolo). Questa policy definisce il numero massimo di autorizzazioni che la policy basata su identità può concedere a un'entità, ma non concede autorizzazioni. I limiti delle autorizzazioni non definiscono il numero massimo di autorizzazioni che una policy basata su risorse può concedere a un'entità.
+ **[AWS Organizations SCP](#policies_scp)**: utilizza una policy di controllo dei AWS Organizations servizi (SCP) per definire le autorizzazioni massime per gli utenti IAM e i ruoli IAM all'interno degli account dell'organizzazione o dell'unità organizzativa (OU). Le SCP limitano le autorizzazioni che le policy basate su identità o le policy basate su risorse concedono a utenti IAM o ruoli IAM all'interno dell'account. Le SCP non concedono autorizzazioni.
+ **[AWS Organizations RCP](#policies_rcp)**: utilizza una politica di controllo AWS Organizations delle risorse (RCP) per definire le autorizzazioni massime per le risorse all'interno degli account dell'organizzazione o dell'unità organizzativa (OU). Le RCP limitano le autorizzazioni che le policy basate su identità e le policy basate sulle risorse possono concedere alle risorse degli account all'interno dell'organizzazione. Le RCP non concedono autorizzazioni.
+ **[Liste di controllo accessi (ACL)](#policies_acl)**: utilizza le ACL per controllare quali entità principali in altri account possono accedere alla risorsa a cui è collegata l'ACL. Le ACL sono simili alle policy basate su risorse, anche se sono l'unico tipo di policy che non utilizza la struttura del documento di policy JSON. Le ACL sono policy di autorizzazione tra più account che concedono le autorizzazioni all'identità principale specificata. Le ACL non possono concedere autorizzazioni a entità nello stesso account.
+ **[AWS Condivisioni di risorse RAM](#policies_ram)**: utilizza AWS Resource Access Manager per condividere risorse tra Account AWS unità organizzative o un'intera organizzazione senza scrivere politiche individuali basate sulle risorse per ogni risorsa condivisa.
+ **[Criteri](#policies_session)** di sessione: applica criteri di sessione avanzati quando utilizzi l' AWS API AWS CLI o per assumere un ruolo o un utente federato. Le policy di sessione limitano le autorizzazioni che le policy basate su identità dell'utente o del ruolo concedono alla sessione. Le policy di sessione limitano le autorizzazioni per una sessione creata, ma non possono concedere autorizzazioni. Per ulteriori informazioni, consulta la sezione relativa alle [policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session).
### Identity-based politiche
Identity-based le politiche sono documenti di policy sulle autorizzazioni JSON che controllano quali azioni può eseguire un'identità (utenti, gruppi di utenti e ruoli), su quali risorse e in quali condizioni. Identity-based le politiche possono essere ulteriormente classificate:
+ **Politiche gestite: politiche** autonome basate sull'identità che puoi allegare a più utenti, gruppi e ruoli nel tuo. Account AWS Sono disponibili due tipi di policy gestite.
+ **AWS politiche gestite: politiche** gestite create e gestite da. AWS
+ **Policy gestite dal cliente**: le policy gestite che sono create e gestite nel tuo Account AWS. Le politiche gestite dal cliente forniscono un controllo più preciso sulle politiche rispetto alle politiche AWS gestite.
+ **Policy inline**: le policy che vengono aggiunte direttamente a un singolo utente, gruppo o ruolo. Le policy in linea sono utili per mantenere una stretta relazione uno a uno tra una policy e un'identità. Vengono eliminate quando elimini l'identità.
Per informazioni su come scegliere tra una policy gestita o una policy in linea, consulta [Scegliere tra policy gestite e policy in linea](access_policies-choosing-managed-or-inline.md).
### Resource-based politiche
Resource-based le policy sono documenti di policy JSON che alleghi a una risorsa come un bucket Amazon S3. Queste politiche concedono l'autorizzazione principale specificata per eseguire azioni specifiche su quella risorsa e definiscono a quali condizioni ciò si applica. Resource-basedle politiche sono politiche in linea. Non esistono policy basate su risorse gestite.
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. L’aggiunta di un’entità principale multi-account a una policy basata sulle risorse rappresenta solo una parte della relazione di trust. Quando il principale e la risorsa sono separati Account AWS, è inoltre necessario utilizzare una politica basata sull'identità per concedere l'accesso principale alla risorsa. Tuttavia, se una policy basata su risorse concede l’accesso a un principale nello stesso account, non sono richieste ulteriori policy basate sull’identità. Per istruzioni dettagliate sulla concessione dell'accesso tra servizi, consulta [Tutorial IAM: delega l'accesso tra AWS account utilizzando i ruoli IAM](tutorial_cross-account-with-roles.md).
Il servizio IAM supporta solo un tipo di policy basata su risorse detta *policy di attendibilità* del ruolo, collegata a un ruolo IAM. Un ruolo IAM è sia un'identità che una risorsa che supporta le policy basate sulle risorse. Per questo motivo, è necessario collegare sia una policy di attendibilità sia una policy basata su identità a un ruolo IAM. Le policy di attendibilità definiscono quali entità principali (account, utenti, ruoli e utenti federati) possono assumere il ruolo. Per capire in che modo i ruoli IAM si differenziano da altre policy basate su risorse, consulta [Accesso alle risorse multi-account in IAM](access_policies-cross-account-resource-access.md).
Per scoprire quali altri servizi supportano le policy basate su risorse, consulta [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md). Per ulteriori informazioni sulle policy basate su risorse, consulta la pagina [Identity-based politiche e politiche basate sulle risorse](access_policies_identity-vs-resource.md). Per capire se i principali negli account esterni alla zona di attendibilità (organizzazione o account attendibile) dispongono dell'accesso per assumere i ruoli, consulta [Cos'è IAM Access Analyzer?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html).
### Policy di endpoint VPC
Una policy degli endpoint VPC è una policy basata sulle risorse che si collega a un endpoint VPC per controllare quali principali possono utilizzare l'endpoint e a quali risorse è possibile accedere tramite esso. Le policy degli endpoint VPC non sovrascrivono o sostituiscono le policy basate sull'identità o le policy basate sulle risorse collegate al servizio di destinazione, ma fungono da limite di accesso aggiuntivo per il traffico che attraversa l'endpoint. Le policy degli endpoint VPC vengono utilizzate per garantire che solo le identità affidabili AWS Organizations dell'organizzazione possano accedere a risorse attendibili tramite gli endpoint VPC. Se non alleghi una policy personalizzata per gli endpoint, AWS allega una policy predefinita che consente l'accesso completo. *Per ulteriori informazioni sulle policy degli endpoint, consulta [Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella Guida.AWS PrivateLink*
### Limiti delle autorizzazioni IAM
Un limite delle autorizzazioni è una funzione avanzata in cui si imposta il numero massimo di autorizzazioni che una policy basata su identità può concedere a un'entità IAM. Quando si imposta un limite delle autorizzazioni per un’entità, l’entità può eseguire solo le operazioni consentite dalle sue policy basate su identità e dai suoi limiti delle autorizzazioni. Se si specifica una sessione del ruolo o un utente nell'elemento principale di una policy basata sulle risorse, non è richiesta un'autorizzazione esplicita nel limite delle autorizzazioni. Tuttavia, se si specifica un ARN del ruolo nell'elemento principale di una policy basata sulle risorse, è richiesta un'autorizzazione esplicita nel limite delle autorizzazioni. In entrambi i casi, è effettiva una negazione esplicita nel limite dell'autorizzazione. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l’autorizzazione. Per ulteriori informazioni sui limiti delle autorizzazioni, consultare [Limiti delle autorizzazioni per le entità IAM](access_policies_boundaries.md).
### AWS Organizations politiche di controllo dei servizi (SCP)
Se abiliti tutte le funzionalità in un’organizzazione, è possibile applicare le policy di controllo dei servizi (SCP) a uno o tutti i tuoi account. Le SCP sono policy JSON che specificano il numero massimo di autorizzazioni per gli utenti IAM e i ruoli IAM all'interno di account di un'organizzazione o un'unità organizzativa (UO). L'SCP limita le autorizzazioni per i principali account dei membri, inclusi ciascuno. Utente root dell'account AWS Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione nelle altre policy.
*Per ulteriori informazioni sugli SCP, consulta AWS Organizations le [politiche di controllo dei servizi (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella Guida per l'utente.AWS Organizations *
### AWS Organizations politiche di controllo delle risorse (RCP)
Se si abilitano tutte le funzionalità in un'organizzazione, è possibile utilizzare le policy di controllo delle risorse (RCP) per applicare centralmente i controlli degli accessi alle risorse su più Account AWS. Le policy di controllo delle risorse (RCP) sono policy JSON che possono essere utilizzate per impostare il numero massimo di autorizzazioni disponibili per le risorse nei tuoi account senza aggiornare le policy IAM collegate a ciascuna risorsa di tua proprietà. L'RCP limita le autorizzazioni per le risorse negli account dei membri e può influire sulle autorizzazioni effettive per le identità, incluse le Utente root dell'account AWS, indipendentemente dal fatto che appartengano o meno all'organizzazione. Un rifiuto esplicito in qualsiasi RCP applicabile ha la precedenza su un'autorizzazione in altre policy che potrebbero essere associate a singole identità o risorse.
*Per ulteriori informazioni sugli AWS Organizations RCP, incluso un elenco di quelli Servizi AWS che supportano gli RCP, consulta le [politiche di controllo delle risorse](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) (RCP) nella Guida per l'utente.AWS Organizations *
### Liste di controllo degli accessi (ACL)
Le liste di controllo accessi (ACL) sono policy di servizio che consentono di controllare quali principali in un altro account possono accedere a una risorsa. Le ACL non possono essere utilizzate per controllare l'accesso per un'entità principale all'interno dello stesso account. Le ACL sono simili alle policy basate su risorse, anche se sono l'unico tipo di policy che non utilizza il formato del documento di policy JSON. Amazon S3 e Amazon VPC sono esempi di servizi che supportano gli ACL. AWS WAF Per maggiori informazioni sulle ACL, consulta la pagina [Access Control List (ACL) overview](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Guida per gli sviluppatori di Amazon Simple Storage Service*.
### AWS Resource Access Manager (AWS RAM) condivisioni di risorse
AWS Resource Access Manager (AWS RAM) consente di condividere le risorse create in un'unica unità organizzativa Account AWS con altre Account AWS unità organizzative o con un'intera organizzazione AWS Organizations, senza scrivere politiche individuali basate sulle risorse per ogni risorsa condivisa. Sebbene sia possibile concedere l'accesso a più account allegando una politica basata sulle risorse direttamente a una risorsa, la AWS RAM offre un'alternativa gestita e centralizzata che elimina la necessità di enumerare gli ID degli account nelle politiche o di mantenere documenti di policy identici tra gli account. Con la RAM, gli account consumatori vedono le risorse condivise in modo nativo nelle loro console di servizio, i proprietari delle risorse mantengono la piena proprietà e visibilità su chi ha accesso e le autorizzazioni gestite definiscono le azioni massime che i consumatori possono eseguire, il tutto regolato da un'unica condivisione delle risorse anziché da politiche per risorsa. I casi d'uso più comuni includono la condivisione di sottoreti VPC, allegati AWS Transit Gateway, regole Route 53 Resolver e configurazioni di License Manager tra account. Per ulteriori informazioni, vedere [Cos'è AWS Resource Access Manager?](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) nella *Guida per l'utente della AWS RAM*.
### Policy di sessione
I criteri di sessione sono criteri avanzati che vengono passati come parametro quando si crea a livello di codice una sessione temporanea per un ruolo o un utente principale AWS STS federato. Le autorizzazioni per una sessione sono l'intersezione delle policy basate su identità per l'entità IAM (utente o ruolo) utilizzate per creare la sessione e delle policy di sessione. Le autorizzazioni possono anche provenire da una policy basata su risorse. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l’autorizzazione.
Puoi creare una sessione del ruolo e passare policy di sessione a livello di programmazione utilizzando le operazioni API `AssumeRole`, `AssumeRoleWithSAML` o `AssumeRoleWithWebIdentity`. Puoi passare un singolo documento della policy di sessione inline JSON utilizzando il parametro `Policy`. Puoi utilizzare il parametro `PolicyArns` per specificare fino a 10 policy di sessione gestite. Per ulteriori informazioni sulla creazione di una sessione del ruolo, consulta [Autorizzazioni per le credenziali di sicurezza temporanee](id_credentials_temp_control-access.md).
Quando crei una sessione principale per utenti AWS STS federati, utilizzi le chiavi di accesso dell'utente IAM per chiamare in modo programmatico l'operazione API. `GetFederationToken` È inoltre necessario passare policy di sessione. Le autorizzazioni della sessione risultanti sono l'intersezione tra la policy basata su identità e la policy di sessione. Per ulteriori informazioni sulla creazione di una sessione per l'utente federato, consulta [Richiesta di credenziali tramite un gestore di identità personalizzato](id_credentials_temp_request.md#api_getfederationtoken).
Una policy basata sulle risorse è in grado di specificare l'ARN dell'utente o del ruolo come un principale. In questo caso, le autorizzazioni della policy basata sulle risorse vengono aggiunte alla policy basata su identità dell'utente o del ruolo prima che la sessione venga creata. La policy di sessione limita le autorizzazioni totali concesse dalla policy basata sulle risorse e dalla policy basata su identità. Le autorizzazioni della sessione risultante sono l'intersezione delle policy di sessione e della policy basata sulle risorse più l'intersezione delle policy di sessione e delle policy basate su identità.
Una policy basata sulle risorse è in grado di specificare l'ARN della sessione come un principale. In questo caso, le autorizzazioni della policy basata sulle risorse vengono aggiunte dopo che la sessione viene creata. Le autorizzazioni della policy basate sulle risorse non sono limitate dalla policy di sessione. La sessione risultante dispone di tutte le autorizzazioni della policy basata sulle risorse *più* l'intersezione della policy basata su identità e della policy di sessione.
Un limite delle autorizzazioni è in grado di impostare il numero massimo di autorizzazioni per un utente o un ruolo che viene utilizzato per creare una sessione. In tal caso, le autorizzazioni della sessione risultante sono l'intersezione della policy di sessione, il limite delle autorizzazioni e la policy basata su identità. Tuttavia, un limite delle autorizzazioni non limita le autorizzazioni concesse da una policy basata sulle risorse che specifica l'ARN della sessione risultante.
## Policy e utente root
Utente root dell'account AWS È influenzato da alcuni tipi di policy ma non da altri. Non è possibile collegare policy basate su identità all'utente root e non è possibile impostare il limite delle autorizzazioni per questo utente. Tuttavia, è possibile specificare l'utente root come principale in una policy basata su risorse o un'ACL. Un utente root è ancora membro di un account. Se l'account è membro di un'organizzazione in AWS Organizations, l'utente root è interessato dagli SCP e dagli RCP relativi all'account.
## Panoramica delle policy JSON
La maggior parte delle politiche viene archiviata AWS come documenti JSON. Identity-based le politiche e le politiche utilizzate per impostare i limiti delle autorizzazioni sono documenti di policy JSON allegati a un utente o a un ruolo. Resource-based le politiche sono documenti di policy JSON allegati a una risorsa. SCP e RCP sono documenti di policy JSON con sintassi limitata che è possibile allegare alla radice dell'organizzazione, all' AWS Organizations unità organizzativa (OU) o a un account. Anche le ACL vengono collegate a una risorsa, ma è necessario utilizzare una sintassi differente. Le policy di sessione sono le policy JSON fornite quando si assume un ruolo o una sessione per l'utente federato.
Non è necessario conoscere la sintassi JSON. È possibile utilizzare l'editor visivo in Console di gestione AWS per creare e modificare le politiche gestite dai clienti senza mai utilizzare JSON. Tuttavia, se utilizzi policy inline per gruppi o policy complesse, devi comunque creare e modificare tali policy nell'editor JSON tramite la console. Per ulteriori informazioni sull'uso dell'editor grafico, consultare [Definire le autorizzazioni IAM personalizzate con policy gestite dal cliente](access_policies_create.md) e [Modificare le policy IAM](access_policies_manage-edit.md).
Quando crei o modifichi una policy JSON, IAM può eseguire la convalida delle policy per facilitare la creazione di una policy efficace. IAM identificherà gli errori di sintassi JSON, mentre IAM Access Analyzer fornisce ulteriori controlli delle policy con suggerimenti che consentono di perfezionare ulteriormente le policy. Per ulteriori informazioni sulla convalida delle policy, consulta [Convalida delle policy IAM](access_policies_policy-validator.md). Per ulteriori informazioni cui controlli delle policy di IAM Access Analyzer e sui suggerimenti utili, consulta [Convalida delle policy di IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).
### Struttura dei documenti di policy JSON
Come illustrato nella figura di seguito, un documento di policy JSON include questi elementi:
+ Informazioni opzionali sulla policy nella parte superiore del documento
+ Una o più istruzioni singole**
Ogni istruzione include informazioni su una singola autorizzazione. Se una politica include più istruzioni, AWS applica una logica a `OR` tutte le istruzioni durante la valutazione. Se a una richiesta si applicano più politiche, AWS applica una logica a `OR` tutte quelle politiche durante la valutazione.
Le informazioni di un'istruzione sono contenute all'interno di una serie di elementi.
+ **Version**: specifica la versione del linguaggio di policy che desideri utilizzare. Consigliamo di utilizzare la versione `2012-10-17 ` più recente. Per ulteriori informazioni, consulta [Elementi delle policy JSON IAM: Version](reference_policies_elements_version.md)
+ **Statement**: utilizza questo elemento principale della policy come container per i seguenti elementi. Puoi includere più istruzioni in una policy.
+ **Sid** (facoltativo): includi un ID istruzione opzionale per distinguere le varie istruzioni.
+ **Effect**: utilizza `Allow` o `Deny` per indicare se la policy consente l'accesso o lo rifiuta.
+ **Principal**(Obbligatorio in alcune circostanze): se si crea una politica basata sulle risorse, è necessario indicare l'account, l'utente, il ruolo o l'utente principale AWS STS federato a cui si desidera consentire o negare l'accesso. Nella creazione di una policy di autorizzazioni IAM da collegare a un utente o un ruolo, non è possibile includere questo elemento. L'entità principale è implicita come l'utente o il ruolo.
+ **Action**: includi un elenco delle operazioni consentite o rifiutate dalla policy.
+ **Resource** (obbligatorio solo in alcune circostanze): se crei una policy di autorizzazioni IAM, devi specificare un elenco di risorse a cui si applicano le operazioni. Se crei una policy basata sulle risorse, dipende dalla risorsa che stai utilizzando se questo elemento è obbligatorio o meno.
+ **Condition** (facoltativo): specifica le circostanze in base alle quali la policy concede l'autorizzazione.
Per informazioni su questi e altri elementi di policy più avanzati, consulta [Documentazione di riferimento degli elementi delle policy JSON IAM](reference_policies_elements.md).
### Istruzioni e policy multiple
Per definire più di un'autorizzazione per un'entità (utente o ruolo), puoi utilizzare più istruzioni in una singola policy. Puoi anche collegare più policy. Se tenti di definire più autorizzazioni in un'unica istruzione, la policy potrebbe non concedere l'accesso come previsto. Ti consigliamo di suddividere le policy in base al tipo di risorsa.
A causa delle [dimensioni limitate delle policy](reference_iam-quotas.md), può essere necessario utilizzare più policy per le autorizzazioni più complesse. È inoltre consigliabile creare raggruppamenti funzionali di autorizzazioni in una policy gestita dal cliente separata. Ad esempio, crea una policy per la gestione degli utenti IAM, una per la gestione automatica e un'altra per la gestione dei bucket S3. Indipendentemente dalla combinazione di più dichiarazioni e più politiche, AWS [valuta](reference_policies_evaluation-logic.md) le politiche allo stesso modo.
Ad esempio, la policy seguente include tre istruzioni, ciascuna delle quali definisce un set di autorizzazioni separato all'interno di un unico account. Le istruzioni definiscono quanto segue:
+ La prima istruzione, con un `Sid` (ID istruzione) di `FirstStatement`, consente all'utente con la policy collegata di modificare la propria password. In questa istruzione l'elemento `Resource` è `*` (che significa "tutte le risorse"). Tuttavia, in pratica, l'operazione API `ChangePassword` (o il comando CLI `change-password` equivalente) influisce solo sulla password per l'utente che effettua la richiesta.
+ La seconda istruzione consente all'utente di elencare tutti i bucket Amazon S3 del proprio Account AWS. In questa istruzione l'elemento `Resource` è `"*"` (che significa "tutte le risorse"). Tuttavia, poiché le policy non concedono l'accesso alle risorse di altri account, l'utente può elencare solo i bucket del proprio Account AWS.
+ La terza istruzione consente all'utente di elencare e recuperare qualsiasi oggetto all'interno di un bucket denominato `amzn-s3-demo-bucket-confidential-data`, ma solo quando l'utente viene autenticato con la multi-factor authentication (MFA). L'elemento `Condition` della policy applica l'autenticazione MFA.
Quando un'istruzione della policy contiene un elemento `Condition`, l'istruzione risulta valida solo se per l'elemento `Condition` viene restituito un valore True. In questo caso, `Condition` restituisce true quando l'utente lo è. MFA-authenticated Se l'utente non lo è MFA-authenticated, viene `Condition` restituito falso. In tal caso, la terza istruzione della policy non è applicabile e l'utente non può accedere al bucket `amzn-s3-demo-bucket-confidential-data`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FirstStatement",
"Effect": "Allow",
"Action": ["iam:ChangePassword"],
"Resource": "*"
},
{
"Sid": "SecondStatement",
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "*"
},
{
"Sid": "ThirdStatement",
"Effect": "Allow",
"Action": [
"s3:List*",
"s3:Get*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket-confidential-data",
"arn:aws:s3:::amzn-s3-demo-bucket-confidential-data/*"
],
"Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
}
]
}
```
------
### Esempi di sintassi di policy JSON
La policy basata sulle identità riportata di seguito consente all'entità principale implicita di elencare un singolo bucket Amazon S3 denominato `amzn-s3-demo-bucket`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
}
}
```
------
La policy basata su risorse riportata di seguito può essere collegata a un bucket Amazon S3. La policy consente ai membri di uno specifico utente di Account AWS eseguire qualsiasi azione di Amazon S3 nel bucket denominato. `amzn-s3-demo-bucket` Consente qualsiasi operazione che possa essere eseguita su un bucket o sugli oggetti in esso contenuti. Poiché la policy concede la fiducia solo agli account, i singoli utenti dell'account dovranno comunque ricevere le autorizzazioni per le operazioni Amazon S3 specificate.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{111122223333}}:root"
]
},
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
Per alcuni esempi di policy per scenari comuni, consulta [Esempi di policy basate su identità IAM](access_policies_examples.md).
## Grant least privilege
Quando crei le policy IAM, segui i consigli di sicurezza standard sulla concessione di *privilegi minimi* o sulla concessione delle sole autorizzazioni richieste per eseguire un'attività. Determina i compiti di utenti e ruoli, quindi crea policy che consentono loro di eseguire *solo* tali attività.
Inizia con un set di autorizzazioni minimo e concedi autorizzazioni aggiuntive quando necessario. Questo è più sicuro che iniziare con autorizzazioni che siano troppo permissive e cercare di limitarle in un secondo momento.
In alternativa al minimo privilegio, puoi usare le autorizzazioni di [policy gestite da AWS](access_policies_managed-vs-inline.md#aws-managed-policies) o policy con carattere jolly `*` per iniziare a utilizzare le policy. Considera il rischio per la sicurezza di concedere ai principali più autorizzazioni di quelle necessarie per svolgere il proprio lavoro. Monitora tali principali per sapere quali autorizzazioni stanno utilizzando. Quindi scrivi le policy con il privilegio minimo.
IAM fornisce diverse opzioni che consentono di perfezionare le autorizzazioni concesse.
+ **Informazioni sui raggruppamenti a livello di accesso**: puoi utilizzare i raggruppamenti a livello di accesso per comprendere il livello di accesso concesso da una policy. Le [operazioni delle policy](reference_policies_elements_action.md) sono classificate come `List`, `Read`, `Write`, `Permissions management` o `Tagging`. Ad esempio, è possibile selezionare operazioni dai livelli di accesso `List` e `Read` per concedere accesso in sola lettura agli utenti. Per ulteriori informazioni su come utilizzare i riepiloghi delle policy per comprendere le autorizzazioni a livello di accesso, consultare [Livelli di accesso nei riepiloghi delle policy](access_policies_understand-policy-summary-access-level-summaries.md).
+ **Convalida le policy**: puoi eseguire la convalida delle policy utilizzando IAM Access Analyzer quando crei e modifichi le policy JSON. Consigliamo di rivedere e convalidare tutte le policy esistenti. Per convalidare le policy, IAM Access Analyzer fornisce oltre 100 controlli delle policy. Genera avvisi di sicurezza quando una istruzione nella tua policy consente l'accesso che consideriamo eccessivamente permissivo. È possibile utilizzare i suggerimenti utili forniti tramite gli avvisi di sicurezza mentre si lavora per concedere il minimo privilegio. Per ulteriori informazioni sui controlli delle policy di IAM Access Analyzer e sui suggerimenti utili, consulta [Convalida delle policy di IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).
+ **Genera una policy basata sull'attività di accesso**: per ottimizzare le autorizzazioni concesse, puoi generare una policy IAM basata sull'attività di accesso per un'entità IAM (utente o ruolo). IAM Access Analyzer esamina AWS CloudTrail i log e genera un modello di policy che contiene le autorizzazioni utilizzate dall'entità nel periodo di tempo specificato. È possibile utilizzare il modello per creare una policy gestita con autorizzazioni granulari e quindi collegarla al ruolo IAM. In questo modo, concedi solo le autorizzazioni necessarie all'utente o al ruolo per interagire con le AWS risorse per il tuo caso d'uso specifico. Per ulteriori informazioni, consulta [Generazione di policy per Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).
+ **Utilizza informazioni sull'ultimo accesso**: un'altra funzionalità che può aiutarti con il minimo privilegio è*Informazioni sull'ultimo accesso*. Visualizza queste informazioni nella scheda **Access Advisor** nella pagina dei dettagli della console IAM per un utente, un gruppo, un ruolo o una policy IAM. Le informazioni sull'ultimo accesso includono anche informazioni sulle azioni a cui si è effettuato l'ultimo accesso per alcuni servizi, ad esempio Amazon EC2, IAM, Lambda e Amazon S3. Se accedi utilizzando le credenziali dell'account di AWS Organizations gestione, puoi visualizzare le informazioni sull'ultimo accesso al servizio nella **AWS Organizations**sezione della console IAM. Puoi anche utilizzare l' AWS API AWS CLI or per recuperare un report relativo alle informazioni relative all'ultimo accesso per entità o policy in IAM o. AWS Organizations Puoi utilizzare queste informazioni per identificare le autorizzazioni non necessarie in modo da perfezionare il tuo IAM o AWS Organizations le tue policy per aderire meglio al principio del privilegio minimo. Per ulteriori informazioni, consulta [Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso](access_policies_last-accessed.md).
+ **Rivedi gli eventi dell'account in AWS CloudTrail****: per ridurre ulteriormente le autorizzazioni, puoi visualizzare gli eventi del tuo account nella Cronologia degli eventi. AWS CloudTrail ** CloudTrail i registri degli eventi includono informazioni dettagliate sugli eventi che puoi utilizzare per ridurre le autorizzazioni della politica. I log includono solo le operazioni e le risorse richieste dalle entità IAM. Per ulteriori informazioni, vedere [Visualizzazione CloudTrail degli eventi nella CloudTrail console nella Guida](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) per l'*AWS CloudTrail utente*.
Per ulteriori informazioni, consulta i seguenti argomenti di policy per singoli servizi, che forniscono esempi di come scrivere policy per le risorse specifiche del servizio.
+ [Utilizzo di policy basate sulle risorse per DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/access-control-resource-based.html) nella *Guida per gli sviluppatori di Amazon DynamoDB*
+ [Policy del bucket per Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
+ [Panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Guida per l'utente di Amazon Simple Storage Service*