Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Generazione di policy per Sistema di analisi degli accessi IAM
In qualità di amministratore o sviluppatore, puoi concedere autorizzazioni a entità IAM (utenti o ruoli) che vanno oltre quanto richiesto. IAM fornisce diverse opzioni che consentono di perfezionare le autorizzazioni concesse. Un'opzione consiste nel generare una policy IAM basata sull'attività di accesso per un'entità. IAM Access Analyzer esamina AWS CloudTrail i log e genera un modello di policy che contiene le autorizzazioni utilizzate dall'entità nell'intervallo di date specificato. È possibile utilizzare il modello per creare una policy con autorizzazioni granulari che concedono solo le autorizzazioni necessarie per supportare il caso d'uso specifico.
**Topics**
+ [Come funziona la generazione di policy](#access-analyzer-policy-generation-howitworks)
+ [Informazioni sul servizio e sul livello di azione](#access-analyzer-policy-generation-service-action)
+ [Da sapere sulla generazione di policy](#access-analyzer-policy-generation-know)
+ [Autorizzazioni richieste per generare una policy](#access-analyzer-policy-generation-perms)
+ [Genera una policy basata sull' CloudTrail attività (console)](#access-analyzer-policy-generation-console)
+ [Genera una politica utilizzando AWS CloudTrail i dati di un altro account](#access-analyzer-policy-generation-cross-account)
+ [Generazione di una policy basata sull' CloudTrail attività (AWS CLI)](#access-analyzer-policy-generation-cli)
+ [Genera una politica basata sull' CloudTrail attività (API)AWS](#access-analyzer-policy-generation-api)
+ [Servizi di generazione di policy per Sistema di analisi degli accessi IAM](access-analyzer-policy-generation-action-last-accessed-support.md)
## Come funziona la generazione di policy
IAM Access Analyzer analizza CloudTrail gli eventi per identificare le azioni e i servizi che sono stati utilizzati da un'entità IAM (utente o ruolo). Viene quindi generata una policy IAM basata su tale attività. È possibile perfezionare le autorizzazioni di un'entità quando si sostituisce una policy di autorizzazioni generali associata all'entità con la policy generata. Di seguito si riporta una panoramica di alto livello del processo di generazione della policy.
+ **Configurazione per la generazione di modelli di policy**: specifichi un periodo di tempo fino a 90 giorni per consentire a IAM Access Analyzer di analizzare gli eventi storici. AWS CloudTrail È necessario specificare un ruolo del servizio esistente o crearne uno nuovo. Il ruolo di servizio consente a IAM Access Analyzer di accedere al CloudTrail percorso e alle informazioni sull'ultimo accesso al servizio per identificare i servizi e le azioni utilizzati. È necessario specificare il CloudTrail percorso che registra gli eventi per l'account prima di poter generare una policy. Per ulteriori informazioni sulle quote di dati di IAM Access Analyzer, consulta le CloudTrail quote di [IAM Access](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_access-analyzer-quotas) Analyzer.
+ **Genera policy**: IAM Access Analyzer genera una policy basata sull'attività di accesso nei tuoi eventi. CloudTrail
+ **Esaminare e personalizzare la policy** – Dopo la generazione della policy, è possibile esaminare i servizi e le azioni utilizzati dall'entità durante l'intervallo di date specificato. È possibile personalizzare ulteriormente la policy, aggiungendo o rimuovendo autorizzazioni, specificando risorse e aggiungendo condizioni al modello di policy.
+ **Creare e allegare policy** – È possibile salvare la policy generata creando una policy gestita. È possibile allegare la policy creata all'utente o al ruolo la cui attività è stata utilizzata per generare la policy.
## Informazioni sul servizio e sul livello di azione
Quando Sistema di analisi degli accessi AWS IAM genera una policy IAM, vengono restituite informazioni che consentono di personalizzare ulteriormente la policy. Quando viene generata una policy, è possibile restituire due categorie di informazioni:
+ **Policy con informazioni a livello di azione:** per alcuni AWS servizi, come Amazon EC2, IAM Access Analyzer è in grado di identificare le azioni rilevate nei CloudTrail tuoi eventi ed elenca le azioni utilizzate nella policy che genera. Per un elenco dei servizi supportati, consulta [Servizi di generazione di policy per Sistema di analisi degli accessi IAM](access-analyzer-policy-generation-action-last-accessed-support.md). Per alcuni servizi, Sistema di analisi degli accessi IAM richiede l'aggiunta azioni per i servizi alla policy generata.
+ **Policy con informazioni sui livelli di servizio –** Sistema di analisi degli accessi IAM utilizza le informazioni relative [all'ultimo accesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html) per creare un modello di policy con tutti i servizi utilizzati di recente. Quando utilizzi Console di gestione AWS, ti chiediamo di esaminare i servizi e aggiungere azioni per completare la policy.
Per un elenco delle azioni in ogni servizio, consulta [Azioni, risorse e chiavi di condizione per AWS i servizi](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) nel riferimento di autorizzazione del servizio.
## Da sapere sulla generazione di policy
Prima di generare una policy, esaminare i dettagli importanti riportati di seguito.
+ **Abilita un CloudTrail percorso**: devi avere un CloudTrail percorso abilitato affinché il tuo account generi una politica basata sull'attività di accesso. Quando crei un CloudTrail trail, CloudTrail invia gli eventi relativi al tuo trail a un bucket Amazon S3 da te specificato. Per informazioni su come creare un CloudTrail trail, consulta [Creazione di un trail per il tuo AWS account nella Guida](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) per l'*AWS CloudTrail utente*.
+ **Eventi dati non disponibili**: Sistema di analisi degli accessi IAM non identifica l'attività a livello di azione per eventi di dati, ad esempio eventi di dati di Amazon S3, nelle policy generate.
+ **PassRole**— L'`iam:PassRole`azione non viene tracciata CloudTrail e non è inclusa nelle politiche generate.
+ **Ridurre il tempo di generazione della policy ** – Per generare più rapidamente una policy, ridurre l'intervallo di date specificato durante la configurazione per la generazione delle policy.
+ **Utilizzo CloudTrail per il controllo: non utilizzate la** generazione di policy per scopi di controllo, ma utilizzate invece. CloudTrail Per ulteriori informazioni sull'utilizzo CloudTrail, consulta [Registrazione delle chiamate IAM e AWS STS API](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html) con. AWS CloudTrail
+ **Azioni negate**: la generazione delle policy esamina tutti CloudTrail gli eventi, comprese le azioni negate.
+ **Una console IAM di policy** – È possibile generare una policy alla volta nella console IAM.
+ **Console IAM per la disponibilità di policy generate ** – È possibile esaminare una policy generata nella console IAM per un massimo di 7 giorni dopo la sua generazione. Dopo 7 giorni, è necessario generare una nuova policy.
+ **Quote di generazione di policy**: per ulteriori informazioni sulle quote di generazione delle policy di Sistema di analisi degli accessi IAM, consulta [Quote di Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_access-analyzer-quotas).
+ Si **applicano le tariffe standard di Amazon S3**: quando utilizzi la funzionalità di generazione delle policy, IAM Access Analyzer esamina CloudTrail i log nel tuo bucket S3. Non sono previsti costi di archiviazione aggiuntivi per accedere ai log e generare le policy. CloudTrail AWS addebita le tariffe standard di Amazon S3 per le richieste e il trasferimento di dati dei CloudTrail log archiviati nel bucket S3.
+ **AWS Control Tower supporto** — La generazione di policy non supporta l'utilizzo di AWS CloudTrail trail AWS Control Tower creati durante la generazione delle policy, per i seguenti motivi:
+ I CloudTrail dati dell'organizzazione vengono registrati in un altro account, l'account AWS Control Tower Log Archive.
+ Le autorizzazioni per il bucket S3 in cui sono archiviati questi log non possono essere riconfigurate a causa delle restrizioni sul bucket di registrazione S3 impostate dalle politiche di controllo del servizio (). AWS Control Tower SCPs
## Autorizzazioni richieste per generare una policy
Le autorizzazioni necessarie per generare una policy per la prima volta differiscono da quelle necessarie per generare una policy per usi successivi. Per ulteriori informazioni, consulta [Guida introduttiva con AWS Identity and Access Management Access Analyzer](access-analyzer-getting-started.md).
**Configurazioni per generare la policy la prima volta**
Quando si genera una policy per la prima volta, è necessario scegliere un [ruolo del servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) esistente appropriato nell'account o crearne uno nuovo. Il ruolo di servizio consente a IAM Access Analyzer di accedere alle informazioni a cui si accede per ultimo nel tuo account e di CloudTrail servizio. Solo gli amministratori devono disporre delle autorizzazioni necessarie per creare e configurare i ruoli. Pertanto, è consigliabile che un amministratore crei il ruolo del servizio durante la prima configurazione. Per ulteriori informazioni sulle autorizzazioni necessarie per creare ruoli di servizio, consulta [Creazione di un ruolo per delegare le autorizzazioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) a un servizio. AWS
### Autorizzazioni richieste per il ruolo del servizio
Quando si crea un ruolo del servizio, si configurano due policy per il ruolo. Si allega una *policy di autorizzazioni* IAM al ruolo che specifica le operazioni che il ruolo può eseguire. È inoltre possibile allegare una *policy di attendibilità del ruolo* al ruolo che specifica l'entità che può utilizzare il ruolo.
La prima policy di esempio mostra la policy di autorizzazioni per il ruolo del servizio necessario per generare una policy. Nella seconda policy di esempio viene illustrata la policy di attendibilità del ruolo necessaria per il ruolo del servizio. Puoi utilizzare queste politiche per aiutarti a creare un ruolo di servizio quando utilizzi l' AWS API o AWS CLI per generare una policy. Quando si utilizza la console IAM per creare un ruolo del servizio come parte del processo di generazione della policy, vengono generate automaticamente queste policy.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudtrail:GetTrail",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetServiceLastAccessedDetails",
"iam:GenerateServiceLastAccessedDetails"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
La policy di esempio seguente mostra la policy di attendibilità del ruolo con le autorizzazioni che consentono a Sistema di analisi degli accessi IAM di assumere il ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "access-analyzer.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
**Usi successivi**
Per generare policy in Console di gestione AWS, un utente IAM deve disporre di una policy di autorizzazioni che gli consenta di trasferire il ruolo di servizio utilizzato per la generazione delle policy a IAM Access Analyzer. `iam:PassRole`di solito è accompagnata da`iam:GetRole`, in modo che l'utente possa ottenere i dettagli del ruolo da assegnare. In questo esempio, l'utente può passare solo i ruoli esistenti nell'account specificato con nomi che iniziano con `AccessAnalyzerMonitorServiceRole*`. Per ulteriori informazioni sul passaggio dei ruoli IAM ai AWS servizi, consulta [Concessione a un utente delle autorizzazioni per passare un ruolo a un AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) servizio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUserToPassRole",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::123456789012:role/service-role/AccessAnalyzerMonitorServiceRole*"
}
]
}
```
------
È inoltre necessario disporre delle seguenti autorizzazioni IAM Access Analyzer per generare policy nell' AWS API Console di gestione AWS, o AWS CLI come illustrato nella seguente dichiarazione di policy.
```
{
"Sid": "AllowUserToGeneratePolicy",
"Effect": "Allow",
"Action": [
"access-analyzer:CancelPolicyGeneration",
"access-analyzer:GetGeneratedPolicy",
"access-analyzer:ListPolicyGenerations",
"access-analyzer:StartPolicyGeneration"
],
"Resource": "*"
}
```
**Per i primi utilizzi e per quelli successivi**
Quando utilizzi il Console di gestione AWS per generare una policy, devi avere l'`cloudtrail:ListTrails`autorizzazione a elencare i CloudTrail percorsi nel tuo account, come mostrato nella seguente informativa sulla politica.
```
{
"Sid": "AllowUserToListTrails",
"Effect": "Allow",
"Action": [
"CloudTrail:ListTrails"
],
"Resource": "*"
}
```
## Genera una policy basata sull' CloudTrail attività (console)
È possibile generare una policy per un utente IAM o un ruolo.
### Fase 1: Generare una politica basata sull' CloudTrail attività
Nella procedura seguente viene illustrato come generare una policy per un ruolo utilizzando il Console di gestione AWS.
**Generare una policy per un ruolo IAM**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione sulla sinistra, scegliere **Roles (Ruoli)**.
**Nota**
I passaggi per generare una policy basata sull'attività di un utente IAM sono quasi identici. A tale scopo, scegliere **Users (Utenti)** anziché **Roles (Ruoli)**.
1. Nell'elenco dei ruoli dell'account, scegliere il nome del ruolo di cui si desidera utilizzare l'attività per generare una policy.
1. Nella scheda **Autorizzazioni**, nella sezione **Genera policy basata su CloudTrail eventi**, seleziona **Genera policy**.
1. Nella pagina **Genera policy**, specifica il periodo di tempo in cui desideri che IAM Access Analyzer analizzi i tuoi CloudTrail eventi per verificare le azioni intraprese con il ruolo. Puoi scegliere un intervallo fino a 90 giorni. Ti consigliamo di scegliere il periodo di tempo più breve possibile per ridurre il tempo di generazione delle polizze.
1. Nella sezione **CloudTrail accesso**, scegli un ruolo esistente adatto o crea un nuovo ruolo se non esiste un ruolo adatto. Il ruolo fornisce a IAM Access Analyzer le autorizzazioni per accedere ai tuoi CloudTrail dati per tuo conto, per esaminare le attività di accesso e identificare i servizi e le azioni che sono stati utilizzati. Consulta [Autorizzazioni richieste per generare una policy](#access-analyzer-policy-generation-perms) per ulteriori informazioni sulle autorizzazioni necessarie per questo ruolo.
1. Nella sezione **CloudTrail Trail to be analyzed (Percorso da analizzare)**, specificare il percorso CloudTrail che registra gli eventi per l'account.
Se scegli un CloudTrail percorso che memorizza i log in un account diverso, viene visualizzata una casella informativa sull'accesso tra account. L'accesso tra account richiede una configurazione aggiuntiva. Per ulteriori informazioni, consulta [Choose a role for cross-account access](#chooserole) più avanti in questo argomento.
1. Scegliere **Generate policy (Genera policy)**.
1. Mentre è in corso la generazione della policy, l'utente viene rimandato alla pagina **Roles (Ruoli)** **Summary (Riepilogo)** nella scheda **Permissions (Autorizzazioni)**. Attendere che lo stato nella sezione **Policy request details (Dettagli richiesta policy)** mostri **Success (Operazione riuscita)**, quindi scegliere **View generated policy (Visualizza policy generata)**. È possibile visualizzare la policy generata per un massimo di 7 giorni. Se si genera un'altra policy, la policy esistente viene sostituita con quella nuova generata.
### Passaggio 2: Esaminare le autorizzazioni e aggiungere azioni per i servizi utilizzati
Esaminare i servizi e le azioni che Sistema di analisi degli accessi IAM ha identificato come utilizzati dal ruolo. È possibile aggiungere azioni per tutti i servizi utilizzati nel modello di policy generata.
1. Leggere le seguenti sezioni:
+ Nella pagina **Review permissions (Esamina le autorizzazioni)**, controllare l'elenco delle **azioni incluse nella policy generata**. Nell'elenco vengono visualizzati i servizi *e* le operazioni che Sistema di analisi degli accessi IAM ha identificato come utilizzati dal ruolo nell'intervallo di date specificato.
+ La sezione **Services used (Servizi utilizzati)** mostra i servizi aggiuntivi che Sistema di analisi degli accessi IAM ha identificato come utilizzati dal ruolo nell'intervallo di date specificato. Le informazioni sulle azioni utilizzate potrebbero non essere disponibili per i servizi elencati in questa sezione. Utilizzare i menu per ciascun servizio elencato per scegliere manualmente le azioni che si desidera includere nella policy.
1. Dopo avere terminato di aggiungere le azioni, scegliere **Next (Avanti)**.
### Passaggio 3: Personalizzare ulteriormente la policy generata
È possibile personalizzare ulteriormente la policy aggiungendo o rimuovendo autorizzazioni o specificando risorse.
**Per personalizzare la policy generata**
1. Aggiornare il modello della policy. Il modello della policy contiene i segnaposto ARN della risorsa per le azioni che supportano le autorizzazioni a livello di risorsa, come illustrato nell'immagine seguente. Il concetto di *autorizzazioni a livello di risorsa* indica la possibilità di specificare le risorse su cui gli utenti sono autorizzati a eseguire operazioni. Si consiglia di utilizzare questa opzione [ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns)per specificare le singole risorse nella politica per le azioni che supportano le autorizzazioni a livello di risorsa. Puoi sostituire la risorsa segnaposto ARNs con una risorsa valida per il tuo caso d'uso. ARNs
Se un'operazione non supporta le autorizzazioni a livello di risorsa, bisogna utilizzare il carattere jolly (`*`) per specificare che tutte le risorse possono essere interessate dall'operazione. [Per scoprire quali AWS servizi supportano le autorizzazioni a livello di risorsa, consulta i servizi che funzionano con IAM.AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) Per un elenco delle operazioni in ciascun servizio e per sapere quali operazioni supportano le autorizzazioni a livello di risorsa, consultare [Actions, Resources, and Condition Keys for Services AWS (Operazioni, risorse e chiavi di condizione per i servizi)](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html).
![\[Segnaposto ARN della risorsa nel modello della policy\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/res_plc_lg.png)
1. (Facoltativo) Aggiungere, modificare o rimuovere le istruzioni della policy JSON nel modello. Per ulteriori informazioni sulla scrittura di policy JSON, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).
1. Al termine della personalizzazione del modello della policy, sono disponibili le seguenti opzioni:
+ (Facoltativo) È possibile copiare la JSON nel modello da utilizzare separatamente all'esterno della pagina **Generated policy (Policy generata)**. Ad esempio, se si desidera utilizzare la JSON per creare una policy in un account diverso. Se la policy nel modello supera il limite di 6.144 caratteri per le policy JSON, viene suddivisa in più policy.
+ Scegliere **Next (Avanti)** per riesaminare e creare una policy gestita nello stesso account.
### Passaggio 4: Esaminare e creare una policy gestita
Se si dispone delle autorizzazioni per creare e allegare policy IAM, è possibile creare una policy gestita dalla policy generata. È quindi possibile allegare la policy a un utente o a un ruolo nel proprio account.
**Per rivedere e creare una policy**
1. Nella pagina **Review and create managed policy (Rivedi e crea una policy gestita)** digitare i valori per **Name (Nome)** e **Description (Descrizione)** (facoltativa) per la policy che si sta creando.
1. (Facoltativo) Nella sezione **Summary (Riepilogo)** è possibile esaminare le autorizzazioni che verranno incluse nella policy.
1. (Facoltativo) Aggiungere metadati alla policy collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag con IAM, consulta [Tagging delle risorse IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html).
1. Al termine, effettuare una delle seguenti operazioni:
+ È possibile allegare la nuova policy direttamente al ruolo utilizzato per generare la policy. **Per fare ciò, nella parte inferiore della pagina, seleziona la casella di controllo accanto alla politica Allega a. *YourRoleName*** Quindi scegliere **Create and attach policy (Crea e allega policy)**.
+ In caso contrario, selezionare **Create policy (Crea policy)**. È possibile trovare la policy creata nell'elenco di policy nel riquadro di navigazione **Policies (Policy)** della console IAM.
1. È possibile allegare la policy creata a un'entità nel proprio account. Dopo aver collegato la policy, è possibile rimuovere tutte le altre policy di carattere troppo generale che potrebbero essere collegate all'entità. Per sapere come collegare una policy gestita, consulta [Aggiunta di autorizzazioni di identità IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console).
## Genera una politica utilizzando AWS CloudTrail i dati di un altro account
È possibile creare CloudTrail percorsi che archiviano i dati in account centrali per semplificare le attività di governo. Ad esempio, è possibile AWS Organizations creare un percorso che registri tutti gli eventi per tutti i membri dell' Account AWS organizzazione. Il percorso appartiene a un account centrale. Se desideri generare una politica per un utente o un ruolo in un account diverso da quello in cui sono archiviati i dati di CloudTrail registro, devi concedere l'accesso tra più account. Per fare ciò, sono necessarie sia una policy di ruolo che una bucket policy che conceda a IAM Access Analyzer le autorizzazioni per i log. CloudTrail Per ulteriori informazioni sulla creazione di percorsi dell'organizzazione, consulta [Creazione di un percorso per un'organizzazione](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html).
In questo esempio, supponiamo di voler generare una policy per un utente o un ruolo nell'account A. La CloudTrail traccia nell'account A memorizza CloudTrail i log in un bucket dell'account B. Prima di poter generare una policy, devi apportare i seguenti aggiornamenti:
1. Scegli un ruolo esistente o crea un nuovo ruolo di servizio che conceda a IAM Access Analyzer l'accesso al bucket dell'account B (dove sono archiviati i CloudTrail log).
1. Verifica la tua policy di proprietà degli oggetti del bucket Amazon S3 e di autorizzazioni del bucket nell'account B per consentire a Sistema di analisi degli accessi IAM di accedere agli oggetti nel bucket.
**Fase 1: Scelta o creazione di un ruolo per l'accesso tra account**
+ Nella schermata **Genera policy**, l'opzione **Utilizza un ruolo esistente** è preselezionata se nel tuo account esiste già un ruolo con le autorizzazioni richieste. In caso contrario, scegli **Crea e utilizza un nuovo ruolo di servizio**. Il nuovo ruolo viene utilizzato per concedere a IAM Access Analyzer l'accesso ai log nell'account B. CloudTrail
**Fase 2: verifica o aggiornamento della configurazione del bucket Amazon S3 nell'account B**
1. Accedi a Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Nell'elenco dei **bucket**, scegli il nome del bucket in cui sono archiviati i log dei CloudTrail percorsi.
1. Scegli la scheda **Permissions** (Autorizzazioni) e individua la sezione **Object Ownership** (Proprietà dell'oggetto).
Utilizza le impostazioni di proprietà degli oggetti del bucket Amazon S3 per controllare la proprietà dei nuovi oggetti che vengono caricati nei tuoi bucket. Per impostazione predefinita, quando altri oggetti Account AWS caricano nel tuo bucket, l'account di caricamento possiede gli oggetti. Per generare una policy, il proprietario del bucket deve possedere tutti gli oggetti all'interno del bucket. A seconda del caso d'uso dell'ACL, potrebbe essere necessario modificare l'impostazione **Object Ownership** (Proprietà dell'oggetto) del bucket. Imposta **Object Ownership** (Proprietà dell'oggetto) su una delle seguenti opzioni.
+ **Bucket owner enforced** (Proprietario del bucket applicato) (opzione consigliata)
+ **Bucket owner preferred** (Proprietario del bucket preferito)
**Importante**
Per generare correttamente una policy, gli oggetti del bucket devono essere di proprietà del proprietario del bucket. Se scegli di utilizzare **Bucket owner preferred** (Proprietario del bucket preferito), puoi generare una policy solo per il periodo di tempo successivo alla modifica della proprietà dell'oggetto.
*Per ulteriori informazioni sulla proprietà degli oggetti in Amazon S3, consulta [Controlling ownership of objects and disabling ACLs for your bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) nella Amazon S3 User Guide.*
1. Aggiungi le autorizzazioni alla tua policy del bucket Amazon S3 nell'account B per consentire l'accesso al ruolo nell'account A.
La policy di esempio seguente consente `ListBucket` e `GetObject` per il bucket denominato `amzn-s3-demo-bucket`. Consente l'accesso se il ruolo che accede al bucket appartiene a un account dell'organizzazione e ha un nome che inizia con `AccessAnalyzerMonitorServiceRole`. L'uso di [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalarn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalarn) come `Condition` nell'elemento `Resource` assicura che il ruolo possa accedere all'attività per l'account solo se appartiene all'account A. Puoi sostituire `amzn-s3-demo-bucket` con il nome del bucket, `optional-prefix` con un prefisso facoltativo per il bucket e `organization-id` con l'ID dell'organizzazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PolicyGenerationBucketPolicy",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/optional-prefix/AWSLogs/organization-id/${aws:PrincipalAccount}/*"
],
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam:::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*"
}
}
}
]
}
```
------
1. Se crittografi i log utilizzando AWS KMS, aggiorna la policy delle AWS KMS chiavi nell'account in cui li CloudTrail memorizzi per consentire a IAM Access Analyzer di utilizzare la tua chiave, come mostrato nel seguente esempio di policy. Sostituisci `CROSS_ACCOUNT_ORG_TRAIL_FULL_ARN` con l'ARN per il tuo percorso e `organization-id` con l'ID dell'organizzazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:cloudtrail:arn": "CROSS_ACCOUNT_ORG_TRAIL_FULL_ARN",
"aws:PrincipalOrgID": "organization-id"
},
"StringLike": {
"kms:ViaService": [
"access-analyzer.*.amazonaws.com",
"s3.*.amazonaws.com"
]
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam:::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*"
}
}
}
]
}
```
------
## Generazione di una policy basata sull' CloudTrail attività (AWS CLI)
È possibile utilizzare i seguenti comandi per generare una policy utilizzando AWS CLI.
**Per generare una policy**
+ [aws accessanalyzer start-policy-generation](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/start-policy-generation.html)
**Per visualizzare una policy generata**
+ [aws access analyzer get-generated-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/get-generated-policy.html)
**Per annullare una richiesta di generazione di policy**
+ [aws access analyzer cancel-policy-generation](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/cancel-policy-generation.html)
**Per visualizzare un elenco di richieste di generazione di policy**
+ [aws access analyzer list-policy-generations](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/list-policy-generations.html)
## Genera una politica basata sull' CloudTrail attività (API)AWS
È possibile utilizzare le seguenti operazioni per generare una politica utilizzando l' AWS API.
**Per generare una policy**
+ [StartPolicyGeneration](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_StartPolicyGeneration.html)
**Per visualizzare una policy generata**
+ [GetGeneratedPolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetGeneratedPolicy.html)
**Per annullare una richiesta di generazione di policy**
+ [CancelPolicyGeneration](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CancelPolicyGeneration.html)
**Per visualizzare un elenco di richieste di generazione di policy**
+ [ListPolicyGenerations](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListPolicyGenerations.html)