Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Riferimento per il controllo di convalida delle policy IAM
Puoi convalidare le tue politiche utilizzando la convalida AWS Identity and Access Management Access Analyzer delle politiche. Puoi creare o modificare una policy utilizzando l' AWS API o AWS CLI l'editor di policy JSON nella console IAM. Sistema di analisi degli accessi IAM convalida la policy rispetto alla [sintassi delle policy](reference_policies_grammar.md) IAM e alle [best practice AWS](best-practices.md). È possibile visualizzare i risultati del controllo della convalida delle policy che includono avvisi di sicurezza, errori, avvisi generali e suggerimenti per la policy. Questi risultati forniscono suggerimenti utili che consentono di creare policy funzionali e conformi alle best practice per la sicurezza. L'elenco dei controlli di base delle policy forniti da Sistema di analisi degli accessi IAM è disponibile di seguito. L'esecuzione dei controlli di convalida delle policy non comporta costi aggiuntivi. Per ulteriori informazioni sulla convalida delle policy tramite l'apposito procedimento, consulta [Convalidare le policy con Sistema di analisi degli accessi IAM](access-analyzer-policy-validation.md).
## Errore: account ARN non consentito
**Codice del problema: **ARN\$1ACCOUNT\$1NOT\$1ALLOWED
**Tipo di esito: **ERROR
**Trovare i dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
ARN account not allowed: The service {{service}} does not support specifying an account ID in the resource ARN.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The service {{service}} does not support specifying an account ID in the resource ARN."
```
**Risoluzione dell'errore**
Rimuovi l'ID account dall'ARN della risorsa. La risorsa ARNs per alcuni AWS servizi non supporta la specificazione di un ID account.
Ad esempio, Amazon S3 non supporta un ID account come namespace nel bucket. ARNs Il nome di un bucket Amazon S3 è unico a livello globale e lo spazio dei nomi è condiviso da tutti gli account. AWS Per visualizzare tutti i tipi di risorse disponibili in Amazon S3, consulta [Tipi di risorse definiti da Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies) in *Service Authorization Reference*.
**Termini correlati**
+ [Risorse relative alle policy](reference_policies_elements_resource.md)
+ [Identificatori account](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)
+ [Risorsa ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS risorse di servizio con formati ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Errore: regione ARN non consentita
**Codice del problema: **ARN\$1REGION\$1NOT\$1ALLOWED
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
ARN Region not allowed: The service {{service}} does not support specifying a Region in the resource ARN.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The service {{service}} does not support specifying a Region in the resource ARN."
```
**Risoluzione dell'errore**
Rimuovi la regione dall'ARN della risorsa. La risorsa ARNs per alcuni AWS servizi non supporta la specificazione di una regione.
Ad esempio, IAM è un servizio globale. La parte della regione di un ARN della risorsa IAM viene sempre mantenuta vuota. Le risorse IAM sono globali, come lo è oggi un AWS account. Ad esempio, dopo aver effettuato l'accesso come utente IAM, puoi accedere ai AWS servizi in qualsiasi area geografica.
+ [Risorse relative alle policy](reference_policies_elements_resource.md)
+ [Risorsa ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS risorse di servizio con formati ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Errore: mancata corrispondenza del tipo di dati
**Codice del problema: **DATA\$1TYPE\$1MISMATCH
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Data type mismatch: The text does not match the expected JSON data type {{data_type}}.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The text does not match the expected JSON data type {{data_type}}."
```
**Risoluzione dell'errore**
Aggiorna il testo per utilizzare il tipo di dati supportato.
Ad esempio, la chiave di condizione globale di `Version` richiede un tipo di dati `String`. Se specifichi una data o un numero intero, il tipo di dati non corrisponderà.
**Termini correlati**
+ [Chiavi della condizione globale](reference_policies_condition-keys.md)
+ [Elementi della policy JSON IAM: operatori di condizione](reference_policies_elements_condition_operators.md)
## Errore: chiavi duplicate con un diverso formato maiuscolo/minuscolo
**Codice del problema: **DUPLICATE\$1KEYS\$1WITH\$1DIFFERENT\$1CASE
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Duplicate keys with different case: The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys."
```
**Risoluzione dell'errore**
Esamina le chiavi di condizione simili all'interno dello stesso blocco di condizione e utilizza lo stesso formato maiuscolo/minuscolo per tutte le istanze.
Un *blocco di condizione* è il testo all'interno dell'elemento `Condition` di una istruzione della policy. I *nomi* delle chiavi di condizione non distinguono tra maiuscole e minuscole. La distinzione tra maiuscole e minuscole dei *valori* delle chiavi di condizione dipende dall'operatore di condizione utilizzato. Per ulteriori informazioni sul formato maiuscolo/minuscolo per le chiavi di condizione, consulta [Elementi delle policy JSON IAM: Condition](reference_policies_elements_condition.md).
**Termini correlati**
+ [Condizioni](reference_policies_elements_condition.md)
+ [Blocco di condizione](reference_policies_elements_condition.md#AccessPolicyLanguage_ConditionBlock)
+ [Chiavi della condizione globale](reference_policies_condition-keys.md)
+ [AWS chiavi delle condizioni di servizio](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Errore: operazione non valida
**Codice del problema: **INVALID\$1ACTION
**Tipo di esito: **ERROR
**Trovare i dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid action: The action {{action}} does not exist. Did you mean {{valid_action}}?
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The action {{action}} does not exist. Did you mean {{valid_action}}?"
```
**Risoluzione dell'errore**
L'azione specificata non è valida. Ciò può verificarsi se si digita male il prefisso del servizio o il nome dell'operazione. Per alcuni problemi comuni, il controllo delle policy restituisce un'operazione suggerita.
**Termini correlati**
+ [Operazioni di policy](reference_policies_elements_action.md)
+ [AWS azioni di servizio](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
### AWS politiche gestite con questo errore
[AWS le politiche gestite](access_policies_managed-vs-inline.md#aws-managed-policies) consentono di iniziare con l'assegnazione AWS di autorizzazioni in base a casi AWS d'uso generali.
Le seguenti politiche AWS gestite includono azioni non valide nelle relative dichiarazioni di policy. Le operazioni non valide non influenzano le autorizzazioni concesse dalla policy. Quando si utilizza una politica AWS gestita come riferimento per creare una politica gestita, si AWS consiglia di rimuovere le azioni non valide dalla politica.
+ [Amazon EMRFull AccessPolicy v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2)
+ [CloudWatchSyntheticsFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchSyntheticsFullAccess)
## Errore. account ARN non valido
**Codice del problema: **INVALID\$1ARN\$1ACCOUNT
**Tipo di esito: **ERROR
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid ARN account: The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID."
```
**Risoluzione dell'errore**
Aggiorna l'ID account nell'ARN della risorsa. IDs Gli account sono numeri interi a 12 cifre. Per informazioni su come visualizzare l'ID del tuo account, vedi [Trovare l'ID del tuo AWS](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingYourAccountIdentifiers) account.
**Termini correlati**
+ [Risorse relative alle policy](reference_policies_elements_resource.md)
+ [Identificatori account](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)
+ [Risorsa ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS risorse di servizio con formati ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Errore: prefisso ARN non valido
**Codice del problema: **INVALID\$1ARN\$1PREFIX
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid ARN prefix: Add the required prefix (arn) to the resource ARN.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Add the required prefix (arn) to the resource ARN."
```
**Risoluzione dell'errore**
AWS la risorsa ARNs deve includere il `arn:` prefisso richiesto.
**Termini correlati**
+ [Risorse relative alle policy](reference_policies_elements_resource.md)
+ [Risorsa ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS risorse di servizio con formati ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Errore: regione ARN non valida
**Codice del problema: **INVALID\$1ARN\$1REGION
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid ARN Region: The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region."
```
**Risoluzione dell'errore**
Il tipo di risorsa non è supportato nella regione specificata. Per una tabella dei AWS servizi supportati in ogni regione, consulta la [tabella delle regioni.](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)
**Termini correlati**
+ [Risorse relative alle policy](reference_policies_elements_resource.md)
+ [Risorsa ARNs](reference_identifiers.md#identifiers-arns)
+ [Nomi e codici delle regioni](https://docs.aws.amazon.com/general/latest/gr/rande.html#region-names-codes)
## Errore: risorsa ARN non valida
**Codice del problema: **INVALID\$1ARN\$1RESOURCE
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid ARN resource: Resource ARN does not match the expected ARN format. Update the resource portion of the ARN.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Resource ARN does not match the expected ARN format. Update the resource portion of the ARN."
```
**Risoluzione dell'errore**
L'ARN della risorsa deve corrispondere alle specifiche per i tipi di risorse noti. Per visualizzare il formato ARN previsto per un servizio, vedere [Azioni, risorse e chiavi di condizione per i AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) servizi. Sceglie il nome del servizio per visualizzarne i tipi di risorse e i formati ARN.
**Termini correlati**
+ [Risorse relative alle policy](reference_policies_elements_resource.md)
+ [Risorsa ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS risorse di servizio con formati ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Errore: caso di servizio ARN non valido
**Codice del problema: **INVALID\$1ARN\$1SERVICE\$1CASE
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid ARN service case: Update the service name {{service}} in the resource ARN to use all lowercase letters.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Update the service name {{service}} in the resource ARN to use all lowercase letters."
```
**Risoluzione dell'errore**
Il servizio nell'ARN della risorsa deve corrispondere alle specifiche (incluso il formato maiuscolo/minuscolo) per i prefissi del servizio. Per visualizzare il prefisso di un servizio, consulta [Azioni, risorse e chiavi di condizione per i AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) servizi. Scegli il nome del servizio e individua il suo prefisso nella prima frase.
**Termini correlati**
+ [Risorse relative alle policy](reference_policies_elements_resource.md)
+ [Risorsa ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS risorse di servizio con formati ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Errore: tipo di dati di condizione non valido
**Codice del problema: **INVALID\$1CONDITION\$1DATA\$1TYPE
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid condition data type: The condition value data types do not match. Use condition values of the same JSON data type.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The condition value data types do not match. Use condition values of the same JSON data type."
```
**Risoluzione dell'errore**
Il valore nella coppia chiave-valore condizione deve corrispondere al tipo di dati della chiave di condizione e dell'operatore di condizione. Per visualizzare il tipo di dati della chiave di condizione per un servizio, vedi [Azioni, risorse e chiavi di condizione per AWS i servizi](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Scegli il nome del servizio per visualizzarne le chiavi di condizione.
Ad esempio, la chiave di condizione globale di [`CurrentTime`](reference_policies_condition-keys.md#condition-keys-currenttime) supporta l'operatore di condizione `Date`. Se si specifica una stringa o un numero intero per il valore nel blocco di condizione, il tipo di dati non corrisponderà.
**Termini correlati**
+ [Condizioni](reference_policies_elements_condition.md)
+ [Blocco di condizione](reference_policies_elements_condition.md#AccessPolicyLanguage_ConditionBlock)
+ [Elementi della policy JSON IAM: operatori di condizione](reference_policies_elements_condition_operators.md)
+ [Chiavi della condizione globale](reference_policies_condition-keys.md)
+ [AWS chiavi delle condizioni di servizio](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Errore: formato della chiave di condizione non valido
**Codice del problema: **INVALID\$1CONDITION\$1KEY\$1FORMAT
**Tipo di esito: **ERROR
**Trovare i dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid condition key format: The condition key format is not valid. Use the format service:keyname.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The condition key format is not valid. Use the format service:keyname."
```
**Risoluzione dell'errore**
La chiave nella coppia chiave-valore condizione deve corrispondere alle specifiche del servizio. Per visualizzare le chiavi di condizione per un servizio, consulta [Azioni, risorse e chiavi di condizione per AWS i servizi](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Scegli il nome del servizio per visualizzarne le chiavi di condizione.
**Termini correlati**
+ [Condizioni](reference_policies_elements_condition.md)
+ [Chiavi della condizione globale](reference_policies_condition-keys.md)
+ [AWS chiavi delle condizioni di servizio](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Errore: booleano multiplo della condizione non valida
**Codice del problema: **INVALID\$1CONDITION\$1MULTIPLE\$1BOOLEAN
**Tipo di esito: **ERROR
**Trovare i dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid condition multiple Boolean: The condition key does not support multiple Boolean values. Use a single Boolean value.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The condition key does not support multiple Boolean values. Use a single Boolean value."
```
**Risoluzione dell'errore**
La chiave nella coppia chiave-valore della condizione prevede un singolo valore booleano. Quando si forniscono più valori booleani, la corrispondenza della condizione potrebbe non restituire i risultati previsti.
Per visualizzare le chiavi di condizione per un servizio, consulta [Azioni, risorse e chiavi di condizione per AWS i servizi](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Scegli il nome del servizio per visualizzarne le chiavi di condizione.
+ [Condizioni](reference_policies_elements_condition.md)
+ [Chiavi della condizione globale](reference_policies_condition-keys.md)
+ [AWS chiavi delle condizioni di servizio](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Errore: operatore di condizione non valido
**Codice del problema: **INVALID\$1CONDITION\$1OPERATOR
**Tipo di esito: **ERROR
**Trovare i dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid condition operator: The condition operator {{operator}} is not valid. Use a valid condition operator.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The condition operator {{operator}} is not valid. Use a valid condition operator."
```
**Risoluzione dell'errore**
Aggiorna la condizione per utilizzare un operatore di condizione supportato.
**Termini correlati**
+ [Elementi della policy JSON IAM: operatori di condizione](reference_policies_elements_condition_operators.md)
+ [Elemento condizione](reference_policies_elements_condition.md)
+ [Panoramica delle policy JSON](access_policies.md#access_policies-json)
## Errore: effetto non valido
**Codice del problema: **INVALID\$1EFFECT
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid effect: The effect {{effect}} is not valid. Use Allow or Deny.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The effect {{effect}} is not valid. Use Allow or Deny."
```
**Risoluzione dell'errore**
Aggiorna l'elemento `Effect` per utilizzare un effetto valido. I valori validi di `Effect` sono **Allow** e **Deny**.
**Termini correlati**
+ [Elemento Effetto](reference_policies_elements_effect.md)
+ [Panoramica delle policy JSON](access_policies.md#access_policies-json)
## Errore: chiave di condizione globale non valida
**Codice del problema: **INVALID\$1GLOBAL\$1CONDITION\$1KEY
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid global condition key: The condition key {{key}} does not exist. Use a valid condition key.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The condition key {{key}} does not exist. Use a valid condition key."
```
**Risoluzione dell'errore**
Aggiorna la chiave di condizione nella coppia chiave-valore della condizione per utilizzare una chiave di condizione globale supportata.
Le chiavi di condizione globali sono chiavi di condizione con un `aws:` prefisso. AWS i servizi possono supportare chiavi di condizione globali o fornire chiavi specifiche del servizio che includono il relativo prefisso di servizio. Ad esempio, le chiavi di condizione IAM includono il prefisso `iam:`. Per ulteriori informazioni, consulta [Azioni, risorse e chiavi di condizione per AWS i servizi](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) e scegli il servizio di cui desideri visualizzare le chiavi.
**Termini correlati**
+ [Chiavi della condizione globale](reference_policies_condition-keys.md)
## Errore: partizione non valida
**Codice del problema: **INVALID\$1PARTITION
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid partition: The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}"
```
**Risoluzione dell'errore**
Aggiorna l'ARN della risorsa per includere una partizione supportata. Se hai incluso una partizione supportata, il servizio o la risorsa potrebbe non supportare la partizione inclusa.
Una *partizione* è un gruppo di regioni. AWS Ogni AWS account è limitato a una partizione. Nelle regioni classiche, utilizza la partizione `aws`. Nelle regioni della Cina, utilizza `aws-cn`.
**Termini correlati**
+ [Amazon Resource Names (ARNs) - Partizioni](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)
## Errore: elemento della policy non valido
**Codice del problema: **INVALID\$1POLICY\$1ELEMENT
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid policy element: The policy element {{element}} is not valid.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The policy element {{element}} is not valid."
```
**Risoluzione dell'errore**
Aggiorna la policy per includere solo gli elementi della policy JSON supportati.
**Termini correlati**
+ [Elementi delle policy JSON](reference_policies_elements.md)
## Errore: formato principale non valido
**Codice del problema: **INVALID\$1PRINCIPAL\$1FORMAT
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid principal format: The Principal element contents are not valid. Specify a key-value pair in the Principal element.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The Principal element contents are not valid. Specify a key-value pair in the Principal element."
```
**Risoluzione dell'errore**
Aggiorna il principale per utilizzare un formato di coppia chiave-valore supportato.
Puoi specificare un principale in una policy basata sulle risorse, ma non in una policy basata sulle identità.
Ad esempio, per definire l'accesso per tutti gli utenti di un AWS account, utilizza il seguente principio nella tua politica:
```
"Principal": { "AWS": "123456789012" }
```
**Termini correlati**
+ [Elementi delle policy JSON: principale](reference_policies_elements_principal.md)
+ [Policy basate sulle identità e policy basate su risorse](access_policies_identity-vs-resource.md)
## Errore: chiave principale non valida
**Codice del problema: **INVALID\$1PRINCIPAL\$1KEY
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid principal key: The principal key {{principal-key}} is not valid.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The principal key {{principal-key}} is not valid."
```
**Risoluzione dell'errore**
Aggiorna la chiave nella coppia chiave-valore del principale per utilizzare una chiave principale supportata. Le chiavi principali supportate sono le seguenti:
+ AWS
+ CanonicalUser
+ Federato
+ Servizio
**Termini correlati**
+ [Elemento principale](reference_policies_elements_principal.md)
## Errore: regione non valida
**Codice del problema: **INVALID\$1REGION
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid Region: The Region {{region}} is not valid. Update the condition value to a supported Region.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The Region {{region}} is not valid. Update the condition value to a supported Region."
```
**Risoluzione dell'errore**
Aggiorna il valore della coppia chiave-valore della condizione per includere una regione supportata. Per una tabella dei AWS servizi supportati in ogni regione, consulta la [tabella delle regioni.](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)
**Termini correlati**
+ [Risorse relative alle policy](reference_policies_elements_resource.md)
+ [Risorsa ARNs](reference_identifiers.md#identifiers-arns)
+ [Nomi e codici delle regioni](https://docs.aws.amazon.com/general/latest/gr/rande.html#region-names-codes)
## Errore: servizio non valido
**Codice del problema: **INVALID\$1SERVICE
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid service: The service {{service}} does not exist. Use a valid service name.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The service {{service}} does not exist. Use a valid service name."
```
**Risoluzione dell'errore**
Il prefisso del servizio nell'operazione o nella chiave di condizione deve corrispondere alle specifiche (incluso il formato maiuscolo/minuscolo) per i prefissi del servizio. Per visualizzare il prefisso di un servizio, consulta [Azioni, risorse e chiavi di condizione per i AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) servizi. Scegli il nome del servizio e individua il suo prefisso nella prima frase.
**Termini correlati**
+ [Servizi noti e relative operazioni, risorse e chiavi di condizione](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Errore: chiave di condizione del servizio non valida
**Codice del problema: **INVALID\$1SERVICE\$1CONDITION\$1KEY
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid service condition key: The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key."
```
**Risoluzione dell'errore**
Aggiorna la chiave nella coppia chiave-valore della condizione per utilizzare una chiave di condizione nota per il servizio. Le chiavi di condizione globali sono chiavi di condizione con un prefisso `aws`. I servizi AWS possono fornire chiavi specifiche del servizio che includono il prefisso del servizio. Per visualizzare il prefisso di un servizio, consulta [Azioni, risorse e chiavi di condizione per i AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) servizi.
**Termini correlati**
+ [Chiavi della condizione globale](reference_policies_condition-keys.md)
+ [Servizi noti e relative operazioni, risorse e chiavi di condizione](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Errore: servizio non valido nell'operazione
**Codice del problema: **INVALID\$1SERVICE\$1IN\$1ACTION
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid service in action: The service {{service}} specified in the action does not exist. Did you mean {{service2}}?
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The service {{service}} specified in the action does not exist. Did you mean {{service2}}?"
```
**Risoluzione dell'errore**
Il prefisso del servizio nell'operazione deve corrispondere alle specifiche (incluso il formato maiuscolo/minuscolo) per i prefissi del servizio. Per visualizzare il prefisso di un servizio, consulta [Azioni, risorse e chiavi di condizione per i AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) servizi. Scegli il nome del servizio e individua il suo prefisso nella prima frase.
**Termini correlati**
+ [Elemento dell'operazione](reference_policies_elements_action.md)
+ [Servizi noti e relative operazioni](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Errore: variabile non valida per l'operatore
**Codice del problema: **INVALID\$1VARIABLE\$1FOR\$1OPERATOR
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid variable for operator: Policy variables can only be used with String and ARN operators.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Policy variables can only be used with String and ARN operators."
```
**Risoluzione dell'errore**
Le variabili di policy possono essere utilizzate nell'elemento `Resource` e per confrontare stringhe nell'elemento `Condition`. Le condizioni supportano le variabili quando si utilizzano operatori stringa o operatori ARN. Gli operatori stringa includono `StringEquals`, `StringLike` e `StringNotLike`. Gli operatori ARN includono `ArnEquals` e `ArnLike`. Non è possibile utilizzare una variabile della policy con altri operatori, ad esempio Numeric, Date, Boolean, Binary, IP Address o Null.
**Termini correlati**
+ [Utilizzo delle variabili delle policy nell'elemento Condizione](reference_policies_variables.md#policy-vars-conditionelement)
+ [Elemento condizione](reference_policies_elements_condition.md)
## Errore: versione non valida
**Codice del problema: **INVALID\$1VERSION
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid version: The version {{version}} is not valid. Use one of the following versions: {{versions}}
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The version {{version}} is not valid. Use one of the following versions: {{versions}}"
```
**Risoluzione dell'errore**
L'elemento `Version` policy specifica le regole di sintassi del linguaggio AWS utilizzate per elaborare una policy. Per utilizzare tutte le funzionalità della policy disponibili, includi il seguente elemento `Version` prima dell'elemento `Statement` in tutte le policy.
```
"Version": "2012-10-17"
```
**Termini correlati**
+ [Elemento della versione](reference_policies_elements_version.md)
## Errore: errore di sintassi JSON
**Codice del problema: **JSON\$1SYNTAX\$1ERROR
**Tipo di esito: **ERROR
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Json syntax error: Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}."
```
**Risoluzione dell'errore**
La policy include un errore di sintassi. Controlla la sintassi JSON.
**Termini correlati**
+ [Validatore JSON](https://json-validate.com/)
+ [Documentazione di riferimento degli elementi delle policy JSON IAM](reference_policies_elements.md)
+ [Panoramica delle policy JSON](access_policies.md#access_policies-json)
## Errore: errore di sintassi JSON
**Codice del problema: **JSON\$1SYNTAX\$1ERROR
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Json syntax error: Fix the JSON syntax error.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Fix the JSON syntax error."
```
**Risoluzione dell'errore**
La policy include un errore di sintassi. Controlla la sintassi JSON.
**Termini correlati**
+ [Validatore JSON](https://json-validate.com/)
+ [Documentazione di riferimento degli elementi delle policy JSON IAM](reference_policies_elements.md)
+ [Panoramica delle policy JSON](access_policies.md#access_policies-json)
## Errore: operazione mancante
**Codice del problema: **MISSING\$1ACTION
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Missing action: Add an Action or NotAction element to the policy statement.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Add an Action or NotAction element to the policy statement."
```
**Risoluzione dell'errore**
AWS Le politiche JSON devono includere un elemento `Action` or`NotAction`.
**Termini correlati**
+ [Elemento dell'operazione](reference_policies_elements_action.md)
+ [NotAction elemento](reference_policies_elements_notaction.md)
+ [Panoramica delle policy JSON](access_policies.md#access_policies-json)
## Errore: campo ARN mancante
**Codice del problema: **MISSING\$1ARN\$1FIELD
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Missing ARN field: Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource"
```
**Risoluzione dell'errore**
Tutti i campi nell'ARN della risorsa devono corrispondere alle specifiche per i tipi di risorse noti. Per visualizzare il formato ARN previsto per un servizio, vedere [Azioni, risorse e chiavi di condizione per i AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) servizi. Sceglie il nome del servizio per visualizzarne i tipi di risorse e i formati ARN.
**Termini correlati**
+ [Risorse relative alle policy](reference_policies_elements_resource.md)
+ [Risorsa ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS risorse di servizio con formati ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Errore: regione ARN mancante
**Codice del problema: **MISSING\$1ARN\$1REGION
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Missing ARN Region: Add a Region to the {{service}} resource ARN.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Add a Region to the {{service}} resource ARN."
```
**Risoluzione dell'errore**
La risorsa ARNs per la maggior parte AWS dei servizi richiede la specificazione di una regione. Per una tabella dei AWS servizi supportati in ogni regione, consulta la [tabella delle regioni](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
**Termini correlati**
+ [Risorse relative alle policy](reference_policies_elements_resource.md)
+ [Risorsa ARNs](reference_identifiers.md#identifiers-arns)
+ [Nomi e codici delle regioni](https://docs.aws.amazon.com/general/latest/gr/rande.html#region-names-codes)
## Errore: effetto mancante
**Codice del problema: **MISSING\$1EFFECT
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Missing effect: Add an Effect element to the policy statement with a value of Allow or Deny.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Add an Effect element to the policy statement with a value of Allow or Deny."
```
**Risoluzione dell'errore**
AWS Le politiche JSON devono includere un `Effect` elemento con un valore di **Allow** e. **Deny**
**Termini correlati**
+ [Elemento Effetto](reference_policies_elements_effect.md)
+ [Panoramica delle policy JSON](access_policies.md#access_policies-json)
## Errore: principale mancante
**Codice del problema: **MISSING\$1PRINCIPAL
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Missing principal: Add a Principal element to the policy statement.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Add a Principal element to the policy statement."
```
**Risoluzione dell'errore**
Le policy basate sulle risorse devono includere un elemento `Principal`.
Ad esempio, per definire l'accesso per tutti gli utenti di un AWS account, utilizza il seguente principio nella tua politica:
```
"Principal": { "AWS": "123456789012" }
```
**Termini correlati**
+ [Elemento principale](reference_policies_elements_principal.md)
+ [Policy basate sulle identità e policy basate su risorse](access_policies_identity-vs-resource.md)
## Errore: qualificatore mancante
**Codice del problema: **MISSING\$1QUALIFIER
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Missing qualifier: The request context key {{key}} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The request context key {{key}} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy."
```
**Risoluzione dell'errore**
Nell'elemento `Condition` è possibile creare espressioni in cui utilizzare operatori condizionali ("uguale a", "minore di" e così via) per confrontare le chiavi e i valori della policy rispetto alle chiavi e ai valori del contesto della richiesta. Per le richieste che includono più valori per una singola chiave, è necessario racchiudere le condizioni tra parentesi come un array ("Key2":["Value2A", "Value2B"]). È inoltre necessario utilizzare gli operatori su set `ForAllValues` o `ForAnyValue` con l'operatori di condizione `StringLike`. Questi qualificatori aggiungono funzionalità di operazione set all'operatore della condizione, in modo che sia possibile testare più valori di richieste con più valori di condizione.
**Termini correlati**
+ [Chiavi di contesto multivalore](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)
+ [Elemento condizione](reference_policies_elements_condition.md)
### AWS politiche gestite con questo errore
[AWS le politiche gestite](access_policies_managed-vs-inline.md#aws-managed-policies) consentono di iniziare con l'assegnazione AWS di autorizzazioni in base a casi AWS d'uso generali.
Le seguenti politiche AWS gestite includono un qualificatore mancante per le chiavi di condizione nelle relative dichiarazioni politiche. Quando si utilizza la politica AWS gestita come riferimento per creare una politica gestita dai clienti, si AWS consiglia di aggiungere i qualificatori chiave `ForAllValues` o `ForAnyValue` condizionali all'elemento. `Condition`
+ [AWSGlueConsoleSageMakerNotebookFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleSageMakerNotebookFullAccess)
## Errore: risorsa mancante
**Codice del problema: **MISSING\$1RESOURCE
**Tipo di esito: **ERROR
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Missing resource: Add a Resource or NotResource element to the policy statement.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Add a Resource or NotResource element to the policy statement."
```
**Risoluzione dell'errore**
Tutte le policy, ad eccezione delle policy di attendibilità dei ruoli, devono includere un elemento `Resource` o `NotResource`.
**Termini correlati**
+ [Elemento risorsa](reference_policies_elements_resource.md)
+ [NotResource elemento](reference_policies_elements_notresource.md)
+ [Policy basate sulle identità e policy basate su risorse](access_policies_identity-vs-resource.md)
+ [Panoramica delle policy JSON](access_policies.md#access_policies-json)
## Errore: istruzione mancante
**Codice del problema: **MISSING\$1STATEMENT
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Missing statement: Add a statement to the policy
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Add a statement to the policy"
```
**Risoluzione dell'errore**
Una policy JSON deve includere un'istruzione.
**Termini correlati**
+ [Elementi delle policy JSON](reference_policies_elements.md)
## Errore: null con if esiste
**Codice del problema: **NULL\$1WITH\$1IF\$1EXISTS
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Null with if exists: The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix."
```
**Risoluzione dell'errore**
È possibile aggiungere `IfExists` alla fine di qualsiasi nome dell'operatore di condizione ad eccezione dell'operatore di condizione `Null`. Utilizza un operatore di condizione `Null` per verificare se una chiave di condizione è presente al momento dell'autorizzazione. Utilizza `...ifExists` per dichiarare che "Se la chiave di policy è presente nel contesto della richiesta, la chiave deve essere elaborata come specificato nella policy. Se la chiave non è presente, l'elemento della condizione viene valutato come "true".
**Termini correlati**
+ [... IfExists operatori di condizionamento](reference_policies_elements_condition_operators.md#Conditions_IfExists)
+ [Operatore di condizione null](reference_policies_elements_condition_operators.md#Conditions_Null)
+ [Elemento condizione](reference_policies_elements_condition.md)
## Errore: carattere jolly dell'operazione con errore di sintassi SCP
**Codice del problema: **SCP\$1SYNTAX\$1ERROR\$1ACTION\$1WILDCARD
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
SCP syntax error action wildcard: SCP actions can include wildcards (*) only at the end of a string. Update {{action}}.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "SCP actions can include wildcards (*) only at the end of a string. Update {{action}}."
```
**Risoluzione dell'errore**
AWS Organizations le politiche di controllo del servizio (SCPs) supportano la specificazione di valori negli elementi `Action` or`NotAction`. Tuttavia, questi valori possono includere caratteri jolly (\$1) solo alla fine della stringa. Ciò significa che puoi specificare `iam:Get*` ma non `iam:*role`.
Per specificare più azioni, AWS consiglia di elencarle singolarmente.
**Termini correlati**
+ [Azioni ed NotAction elementi SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_syntax.html#scp-syntax-action)
+ [Valutazione SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html)
+ [AWS Organizations politiche di controllo del servizio](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ [Elementi delle policy JSON IAM: Action](reference_policies_elements_action.md)
## Errore: principale dell'errore di sintassi SCP
**Codice del problema: **SCP\$1SYNTAX\$1ERROR\$1PRINCIPAL
**Tipo di esito: **ERROR
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
SCP syntax error principal: SCPs do not support specifying principals. Remove the Principal or NotPrincipal element.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "SCPs do not support specifying principals. Remove the Principal or NotPrincipal element."
```
**Risoluzione dell'errore**
AWS Organizations le politiche di controllo del servizio (SCPs) non supportano gli `NotPrincipal` elementi `Principal` or.
Puoi specificare l'Amazon Resource Name (ARN) utilizzando la chiave di condizione globale `aws:PrincipalArn` nell'elemento `Condition`.
**Termini correlati**
+ [Sintassi delle SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_syntax.html)
+ [Chiavi di condizione globali per i principali](reference_policies_condition-keys.md#condition-keys-principalarn)
## Errore: sid univoci richiesti
**Codice del problema: **UNIQUE\$1SIDS\$1REQUIRED
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Unique Sids required: Duplicate statement IDs are not supported for this policy type. Update the Sid value.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Duplicate statement IDs are not supported for this policy type. Update the Sid value."
```
**Risoluzione dell'errore**
Per alcuni tipi di policy, la dichiarazione IDs deve essere unica. L'elemento `Sid` (ID istruzione) consente di immettere un identificatore opzionale fornito per l'istruzione della policy. Puoi assegnare un valore ID di istruzione a ogni istruzione in una matrice di istruzioni utilizzando l'elemento `SID`. Nei servizi che consentono di specificare un elemento ID, ad esempio SQS e SNS, il valore `Sid` è semplicemente un ID secondario dell'ID del documento di policy. Ad esempio, in IAM il valore `Sid` deve essere univoco all'interno di una policy JSON.
**Termini correlati**
+ [Elementi delle policy JSON IAM: Sid](reference_policies_elements_sid.md)
## Errore: operazione non supportata nella policy
**Codice del problema: **UNSUPPORTED\$1ACTION\$1IN\$1POLICY
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."
```
**Risoluzione dell'errore**
Alcune operazioni non sono supportate nell'elemento `Action` nella policy basata su risorse collegato a un tipo di risorsa diverso. Ad esempio, AWS Key Management Service le azioni non sono supportate nelle policy dei bucket di Amazon S3. Specificare un'operazione supportata dal tipo di risorsa collegato alla policy basata su risorse.
**Termini correlati**
+ [Elementi delle policy JSON: Action](reference_policies_elements_action.md)
## Errore: combinazione di elementi non supportata
**Codice del problema: **UNSUPPORTED\$1ELEMENT\$1COMBINATION
**Tipo di esito: **ERROR
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Unsupported element combination: The policy elements {{element1}} and {{element2}} can not be used in the same statement. Remove one of these elements.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The policy elements {{element1}} and {{element2}} can not be used in the same statement. Remove one of these elements."
```
**Risoluzione dell'errore**
Alcune combinazioni di elementi delle policy JSON non possono essere utilizzate insieme. Ad esempio, non è possibile utilizzare `Action` e `NotAction` nella stessa dichiarazione di policy. Altre coppie che si escludono reciprocamente sono `Principal/NotPrincipal` e `Resource/NotResource`.
**Termini correlati**
+ [Documentazione di riferimento degli elementi delle policy JSON IAM](reference_policies_elements.md)
+ [Panoramica delle policy JSON](access_policies.md#access_policies-json)
## Errore: chiave di condizione globale non supportata
**Codice del problema: **UNSUPPORTED\$1GLOBAL\$1CONDITION\$1KEY
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Unsupported global condition key: The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead."
```
**Risoluzione dell'errore**
AWS non supporta l'utilizzo della chiave di condizione globale specificata. A seconda del tuo caso d'uso, puoi utilizzare le chiavi di condizione globali `aws:PrincipalArn` o `aws:SourceArn`. Ad esempio, invece di `aws:ARN` utilizza `aws:PrincipalArn` per confrontare l'Amazon Resource Name (ARN del principale che ha effettuato la richiesta con l'ARN specificato nella policy. In alternativa, utilizza la chiave `aws:SourceArn` global condition per confrontare l'Amazon Resource Name (ARN) della risorsa che effettua una service-to-service richiesta con l'ARN specificato nella policy.
**Termini correlati**
+ [AWS chiavi di contesto della condizione globale](reference_policies_condition-keys.md)
## Errore: principale non supportato
**Codice del problema: **UNSUPPORTED\$1PRINCIPAL
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Unsupported principal: The policy type {{policy_type}} does not support the Principal element. Remove the Principal element.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The policy type {{policy_type}} does not support the Principal element. Remove the Principal element."
```
**Risoluzione dell'errore**
L'elemento `Principal` specifica il principale a cui è consentito o rifiutato l'accesso a una risorsa. Non è possibile utilizzare l'elemento `Principal` in una policy basata sull'identità IAM. Puoi usarlo nelle policy di attendibilità per i ruoli IAM e nelle policy basate sulle risorse. Le policy basate su risorse sono policy che vengono incorporate direttamente in una risorsa. Ad esempio, puoi incorporare le policy in un bucket Amazon S3 o AWS in una chiave KMS.
**Termini correlati**
+ [AWS Elementi delle policy JSON: principale](reference_policies_elements_principal.md)
+ [Accesso alle risorse multi-account in IAM](access_policies-cross-account-resource-access.md)
## Errore: ARN della risorsa non supportata nella policy
**Codice del problema: **UNSUPPORTED\$1RESOURCE\$1ARN\$1IN\$1POLICY
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."
```
**Risoluzione dell'errore**
Alcune risorse ARNs non sono supportate nell'`Resource`elemento della politica basata sulle risorse quando la politica è associata a un tipo di risorsa diverso. Ad esempio, AWS KMS ARNs non sono supportati nell'`Resource`elemento per le policy dei bucket di Amazon S3. Specificare un ARN della risorsa supportato da un tipo di risorsa collegato alla policy basata sulle risorse.
**Termini correlati**
+ [Elementi delle policy JSON: Action](reference_policies_elements_action.md)
## Errore: sid non supportato
**Codice del problema: **UNSUPPORTED\$1SID
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Unsupported Sid: Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]"
```
**Risoluzione dell'errore**
L'elemento `Sid` supporta lettere maiuscole, lettere minuscole e numeri.
**Termini correlati**
+ [Elementi delle policy JSON IAM: Sid](reference_policies_elements_sid.md)
## Errore: carattere jolly non supportato nel principale
**Codice del problema: **UNSUPPORTED\$1WILDCARD\$1IN\$1PRINCIPAL
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Unsupported wildcard in principal: Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value."
```
**Risoluzione dell'errore**
La struttura dell'elemento `Principal` supporta l'utilizzo di una coppia chiave-valore. Il valore del principale specificato nella policy include un carattere jolly (\$1). Non è possibile includere un carattere jolly con la chiave del principale specificata. Ad esempio, quando specifichi gli utenti in un elemento `Principal`, non è possibile utilizzare un carattere jolly che indica "tutti gli utenti". Assegna un nome a uno o più utenti specifici. Allo stesso modo, quando si specifica una sessione con assunzione di ruolo, non è possibile utilizzare un carattere jolly (\$1) per indicare "tutte le sessioni". È necessario assegnare un nome a una sessione specifica. Non è possibile utilizzare un carattere jolly per associare parte di un nome o di un ARN.
Per risolvere questo risultato, rimuovi il carattere jolly e fornisci un principale più specifico.
**Termini correlati**
+ [AWS Elementi delle policy JSON: principale](reference_policies_elements_principal.md)
## Errore: parentesi mancante nella variabile
**Codice del problema: **MISSING\$1BRACE\$1IN\$1VARIABLE
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Missing brace in variable: The policy variable is missing a closing curly brace. Add } after the variable text.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The policy variable is missing a closing curly brace. Add } after the variable text."
```
**Risoluzione dell'errore**
La struttura delle variabili delle policy supporta l'utilizzo di un prefisso `$` seguito da una coppia di parentesi graffe (`{ }`). All'interno dei caratteri `${ }`, includi il nome del valore ricavato dalla richiesta da utilizzare nella policy.
Per risolvere questo risultato, aggiungi la parentesi graffa mancante per assicurarti che sia presente il set completo di parentesi graffe di apertura e chiusura.
**Termini correlati**
+ [Elementi delle policy IAM: variabili](reference_policies_variables.md)
## Errore: virgoletta mancante nella variabile
**Codice del problema: **MISSING\$1QUOTE\$1IN\$1VARIABLE
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Missing quote in variable: The policy variable default value must begin and end with a single quote. Add the missing quote.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The policy variable default value must begin and end with a single quote. Add the missing quote."
```
**Risoluzione dell'errore**
Quando aggiungi una variabile alla policy, puoi specificare un valore di default per la variabile. Se una variabile non è presente, AWS utilizza il testo predefinito fornito dall'utente.
Per aggiungere un valore di default a una variabile, racchiudi il valore di default tra virgolette singole (`' '`) e separa il testo della variabile e il valore di default con una virgola e uno spazio (`, `).
Ad esempio, se un principale è contrassegnato con `team=yellow`, possono accedere al bucket Amazon S3 `amzn-s3-demo-bucket` con il nome`amzn-s3-demo-bucket-yellow`. Una policy con questa risorsa potrebbe consentire ai membri del team di accedere alle proprie risorse, ma non a quelle di altri team. Per gli utenti senza tag dei team, puoi impostare un valore di default di`company-wide`. Questi utenti possono accedere solo al bucket `amzn-s3-demo-bucket-company-wide`, dove possono visualizzare informazioni generali, come le istruzioni per entrare a far parte di un team.
```
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket-${aws:PrincipalTag/team, 'company-wide'}"
```
**Termini correlati**
+ [Elementi delle policy IAM: variabili](reference_policies_variables.md)
## Errore: spazio non supportato nella variabile
**Codice del problema: **UNSUPPORTED\$1SPACE\$1IN\$1VARIABLE
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Unsupported space in variable: A space is not supported within the policy variable text. Remove the space.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "A space is not supported within the policy variable text. Remove the space."
```
**Risoluzione dell'errore**
La struttura delle variabili delle policy supporta l'utilizzo di un prefisso `$` seguito da una coppia di parentesi graffe (`{ }`). All'interno dei caratteri `${ }`, includi il nome del valore ricavato dalla richiesta da utilizzare nella policy. Sebbene sia possibile includere uno spazio quando si specifica una variabile di default, non è possibile includere uno spazio nel nome della variabile.
**Termini correlati**
+ [Elementi delle policy IAM: variabili](reference_policies_variables.md)
## Errore: variabile vuota
**Codice del problema: **EMPTY\$1VARIABLE
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Empty variable: Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure."
```
**Risoluzione dell'errore**
La struttura delle variabili delle policy supporta l'utilizzo di un prefisso `$` seguito da una coppia di parentesi graffe (`{ }`). All'interno dei caratteri `${ }`, includi il nome del valore ricavato dalla richiesta da utilizzare nella policy.
**Termini correlati**
+ [Elementi delle policy IAM: variabili](reference_policies_variables.md)
## Errore: variabile non supportata nell'elemento
**Codice del problema: **VARIABLE\$1UNSUPPORTED\$1IN\$1ELEMENT
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Variable unsupported in element: Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element."
```
**Risoluzione dell'errore**
Le variabili di policy possono essere utilizzate nell'elemento `Resource` e per confrontare stringhe nell'elemento `Condition`.
**Termini correlati**
+ [Elementi delle policy IAM: variabili](reference_policies_variables.md)
## Errore: variabile non supportata nella versione
**Codice del problema: **VARIABLE\$1UNSUPPORTED\$1IN\$1VERSION
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Variable unsupported in version: To include variables in your policy, use the policy version 2012-10-17 or later.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "To include variables in your policy, use the policy version 2012-10-17 or later."
```
**Risoluzione dell'errore**
Per usare le variabili di policy, è necessario che l'elemento `Version` sia incluso in una istruzione e impostato su una versione che supporti le variabili di policy. Le variabili sono state introdotte a partire dalla versione `2012-10-17`. Le versioni precedenti del linguaggio di policy non supportano le variabili. Se non imposti la `Version` su `2012-10-17` o una versione successiva, le variabili come `${aws:username}` nella policy vengono trattate come stringhe letterali.
Un elemento di policy `Version` è diverso da una versione di policy. L'elemento di policy `Version` viene utilizzato all'interno di una policy e definisce la versione del linguaggio di policy. Una versione della policy viene creata quando si modifica una policy gestita dal cliente in IAM. La policy modificata non viene sovrascritta a quella precedente. IAM crea invece una nuova versione della policy gestita.
**Termini correlati**
+ [Elementi delle policy IAM: variabili](reference_policies_variables.md)
+ [Elementi delle policy JSON IAM: Version](reference_policies_elements_version.md)
## Errore: indirizzo IP privato
**Codice del problema: **PRIVATE\$1IP\$1ADDRESS
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Private IP address: aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses."
```
**Risoluzione dell'errore**
La chiave di condizione globale `aws:SourceIp` funziona solo per intervalli di indirizzi IP pubblici. Questo errore viene visualizzato quando la policy consente solo indirizzi IP privati. In questo caso, la condizione non corrisponderà mai.
+ [aws: chiave di condizione SourceIp globale](reference_policies_condition-keys.md#condition-keys-sourceip)
+ [Elementi della policy JSON IAM: Condition](reference_policies_elements_condition.md)
## Errore: privato NotIpAddress
**Codice del problema: **PRIVATE\$1NOT\$1IP\$1ADDRESS
**Tipo di esito: **ERROR
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Private NotIpAddress: The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses."
```
**Risoluzione dell'errore**
La chiave di condizione globale `aws:SourceIp` funziona solo per intervalli di indirizzi IP pubblici. Questo errore viene visualizzato quando si utilizza l'operatore di condizione `NotIpAddress` e sono riportati solo gli indirizzi IP privati. In questo caso, la condizione corrispondere sempre ed è inefficace.
+ [aws: chiave di condizione SourceIp globale](reference_policies_condition-keys.md#condition-keys-sourceip)
+ [Elementi della policy JSON IAM: Condition](reference_policies_elements_condition.md)
## Errore: la dimensione della policy supera la quota della SCP
**Codice del problema: **POLICY\$1SIZE\$1EXCEEDS\$1SCP\$1QUOTA
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Policy size exceeds SCP quota: The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies."
```
**Risoluzione dell'errore**
AWS Organizations le politiche di controllo del servizio (SCPs) supportano la specificazione di valori negli elementi `Action` or`NotAction`. Tuttavia, questi valori possono includere caratteri jolly (\$1) solo alla fine della stringa. Ciò significa che puoi specificare `iam:Get*` ma non `iam:*role`.
Per specificare più azioni, AWS consiglia di elencarle singolarmente.
**Termini correlati**
+ [Quote per le organizzazioni AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html)
+ [AWS Organizations politiche di controllo del servizio](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
## Errore: formato principale del servizio non valido
**Codice del problema: **INVALID\$1SERVICE\$1PRINCIPAL\$1FORMAT
**Tipo di esito: **ERROR
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid service principal format: The service principal does not match the expected format. Use the format {{expectedFormat}}.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The service principal does not match the expected format. Use the format {{expectedFormat}}."
```
**Risoluzione dell'errore**
Il valore nella coppia chiave-valore della condizione deve corrispondere a un formato di principale di servizio definito.
Un'*entità servizio* è un identificatore che viene utilizzato per concedere autorizzazioni a un servizio. Puoi specificare un principale di servizio nell'elemento `Principal` o come valore per alcune chiavi di condizione globali e chiavi specifiche del servizio. Il principale del servizio è definito da ciascun servizio.
L'identificatore di un principale del servizio include il nome del servizio ed è solitamente nel formato seguente con tutte le lettere minuscole:
`service-name.amazonaws.com`
Alcune chiavi specifiche del servizio possono utilizzare un formato diverso per i principali di servizio. Ad esempio, la chiave di condizione `kms:ViaService` richiede il seguente formato per i principali del servizio con tutte le lettere minuscole:
`service-name.AWS_region.amazonaws.com`
**Termini correlati**
+ [Principali del servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)
+ [AWS chiavi di condizione globali](reference_policies_condition-keys.md)
+ [Chiave di condizione `kms:ViaService`](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service)
## Errore: chiave di tag mancante nella condizione
**Codice del problema: **MISSING\$1TAG\$1KEY\$1IN\$1CONDITION
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Missing tag key in condition: The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key."
```
**Risoluzione dell'errore**
Per controllare gli accessi in base ai tag, devi fornire informazioni sui tag nell'[elemento condizione](reference_policies_elements_condition.md) di una policy.
Ad esempio, per [controllare l'accesso alle AWS risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources), si include la chiave di `aws:ResourceTag` condizione. Questa chiave richiede il formato `aws:ResourceTag/tag-key`. Per specificare la chiave di tag `owner` e il valore del tag `JaneDoe` In una condizione, utilizza il seguente formato:
```
"Condition": {
"StringEquals": {"aws:ResourceTag/owner": "JaneDoe"}
}
```
**Termini correlati**
+ [Controllo degli accessi tramite tag](access_iam-tags.md)
+ [Condizioni](reference_policies_elements_condition.md)
+ [Chiavi della condizione globale](reference_policies_condition-keys.md)
+ [AWS chiavi delle condizioni di servizio](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Errore: formato vpc non valido
**Codice del problema: **INVALID\$1VPC\$1FORMAT
**Tipo di esito: **ERROR
**Trovare i dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid vpc format: The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters."
```
**Risoluzione dell'errore**
La chiave di condizione `aws:SourceVpc` deve utilizzare il prefisso `vpc-` seguito da 8 o 17 caratteri alfanumerici, ad esempio `vpc-11223344556677889` o `vpc-12345678`.
**Termini correlati**
+ [AWS chiavi di condizione globali: aws: SourceVpc](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc)
## Errore: formato vpce non valido
**Codice del problema: **INVALID\$1VPCE\$1FORMAT
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid vpce format: The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters."
```
**Risoluzione dell'errore**
La chiave di condizione `aws:SourceVpce` deve utilizzare il prefisso `vpce-` seguito da 8 o 17 caratteri alfanumerici, ad esempio `vpce-11223344556677889` o `vpce-12345678`.
**Termini correlati**
+ [AWS chiavi di condizione globali: aws: SourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce)
## Errore: principale federato non supportato
**Codice del problema: **FEDERATED\$1PRINCIPAL\$1NOT\$1SUPPORTED
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Federated principal not supported: The policy type does not support a federated identity provider in the principal element. Use a supported principal.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The policy type does not support a federated identity provider in the principal element. Use a supported principal."
```
**Risoluzione dell'errore**
L'elemento `Principal` utilizza i principali federati per le policy di attendibilità collegate ai ruoli IAM per fornire l'accesso tramite la federazione delle identità. Le policy di identità e altre policy basate sulle risorse non supportano un provider di identità federato nell'elemento `Principal`. Ad esempio, non puoi utilizzare un principale SAML in una policy bucket Amazon S3. Modifica l'elemento `Principal` con un tipo di principale supportato.
**Termini correlati**
+ [Creazione di un ruolo per la federazione delle identità](id_roles_create_for-idp.md)
+ [Elementi delle policy JSON: principale](reference_policies_elements_principal.md)
## Errore: operazione non supportata per la chiave di
**Codice del problema: **UNSUPPORTED\$1ACTION\$1FOR\$1CONDITION\$1KEY
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Unsupported action for condition key: The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key."
```
**Risoluzione dell'errore**
Assicurati che la chiave di condizione sia nell'elemento `Condition` della dichiarazione di policy si applichi a tutte le operazioni nell'elemento `Action`. Per garantire che le operazioni specificate siano effettivamente consentite o rifiutate dalla policy, è necessario spostare le operazioni non supportate in una dichiarazione diversa senza la chiave di condizione.
**Nota**
Se l'elemento `Action` ha operazioni con caratteri jolly, Sistema di analisi degli accessi IAM non le valuta per questo errore.
**Termini correlati**
+ [Elementi delle policy JSON: Action](reference_policies_elements_action.md)
## Errore: operazione non supportata nella policy
**Codice del problema: **UNSUPPORTED\$1ACTION\$1IN\$1POLICY
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."
```
**Risoluzione dell'errore**
Alcune operazioni non sono supportate nell'elemento `Action` nella policy basata su risorse collegato a un tipo di risorsa diverso. Ad esempio, AWS Key Management Service le azioni non sono supportate nelle policy dei bucket di Amazon S3. Specificare un'operazione supportata dal tipo di risorsa collegato alla policy basata su risorse.
**Termini correlati**
+ [Elementi delle policy JSON: Action](reference_policies_elements_action.md)
## Errore: ARN della risorsa non supportata nella policy
**Codice del problema: **UNSUPPORTED\$1RESOURCE\$1ARN\$1IN\$1POLICY
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."
```
**Risoluzione dell'errore**
Alcune risorse ARNs non sono supportate nell'`Resource`elemento della politica basata sulle risorse quando la politica è associata a un tipo di risorsa diverso. Ad esempio, AWS KMS ARNs non sono supportati nell'`Resource`elemento per le policy dei bucket di Amazon S3. Specificare un ARN della risorsa supportato da un tipo di risorsa collegato alla policy basata sulle risorse.
**Termini correlati**
+ [Elementi delle policy JSON: Action](reference_policies_elements_action.md)
## Errore: chiave di condizione non supportata per il principale del servizio
**Codice del problema: **UNSUPPORTED\$1CONDITION\$1KEY\$1FOR\$1SERVICE\$1PRINCIPAL
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Unsupported condition key for service principal: The following condition keys are not supported when used with the service principal: {{conditionKeys}}.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The following condition keys are not supported when used with the service principal: {{conditionKeys}}."
```
**Risoluzione dell'errore**
È possibile specificare Servizi AWS nell'`Principal`elemento di una politica basata sulle risorse utilizzando un *service principal*, che è un identificatore del servizio. Non è possibile utilizzare alcune chiavi di condizione con determinati principali del servizio. Ad esempio, non puoi utilizzare la chiave di condizione `aws:PrincipalOrgID` con il principale del servizio `cloudfront.amazonaws.com`. È necessario rimuovere le chiavi di condizione che non si applicano al principale del servizio nell'elemento `Principal`.
**Termini correlati**
+ [Principali del servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)
+ [Elementi delle policy JSON: principale](reference_policies_elements_principal.md)
## Errore: errore di sintassi notprincipal della policy di attendibilità del ruolo
**Codice del problema: **ROLE\$1TRUST\$1POLICY\$1SYNTAX\$1ERROR\$1NOTPRINCIPAL
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Role trust policy syntax error notprincipal: Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead."
```
**Risoluzione dell'errore**
Una policy di attendibilità del ruolo è una policy basata sulle risorse collegata a un ruolo IAM. Le policy di attendibilità definiscono quali entità principali (account, utenti, ruoli e utenti federati) possono assumere il ruolo. Le politiche di attendibilità dei ruoli non supportano `NotPrincipal`. Aggiornare la policy per utilizzare un elemento `Principal`.
**Termini correlati**
+ [Elementi delle policy JSON: principale](reference_policies_elements_principal.md)
+ [Elementi della policy JSON: NotPrincipal](reference_policies_elements_notprincipal.md)
## Errore: carattere jolly della policy di attendibilità del ruolo non supportato nel principale
**Codice del problema: **ROLE\$1TRUST\$1POLICY\$1UNSUPPORTED\$1WILDCARD\$1IN\$1PRINCIPAL
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Role trust policy unsupported wildcard in principal: "Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": ""Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value."
```
**Risoluzione dell'errore**
Una policy di attendibilità del ruolo è una policy basata sulle risorse collegata a un ruolo IAM. Le policy di attendibilità definiscono quali entità principali (account, utenti, ruoli e utenti federati) possono assumere il ruolo. L'elemento `Principal` della policy di attendibilità del ruolo non supporta `"Principal:" "*"`. Sostituisci il jolly con un valore principale valido.
**Termini correlati**
+ [Elementi delle policy JSON: principale](reference_policies_elements_principal.md)
## Error: errore di sintassi resource della policy di attendibilità del ruolo
**Codice del problema: **ROLE\$1TRUST\$1POLICY\$1SYNTAX\$1ERROR\$1RESOURCE
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Role trust policy syntax error resource: Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element."
```
**Risoluzione dell'errore**
Una policy di attendibilità del ruolo è una policy basata sulle risorse collegata a un ruolo IAM. Le policy di attendibilità definiscono quali entità principali (account, utenti, ruoli e utenti federati) possono assumere il ruolo. Le politiche di attendibilità del ruolo si applicano al ruolo a cui sono associate. Non puoi specificare un elemento `Resource` o `NotResource` in una policy di attendibilità del ruolo. Rimozione dell'elemento `Resource` o `NotResource`.
+ [Elementi delle policy JSON: Resource](reference_policies_elements_resource.md)
+ [Elementi della policy JSON: NotResource](reference_policies_elements_notresource.md)
## Errore: il tipo non corrisponde all'intervallo IP
**Codice del problema: **TYPE\$1MISMATCH\$1IP\$1RANGE
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Type mismatch IP range: The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format."
```
**Risoluzione dell'errore**
Aggiorna il testo per utilizzare il tipo di dati dell'operatore di condizione dell'indirizzo IP, in un formato CIDR.
**Termini correlati**
+ [Operatori di condizione indirizzo IP](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ [Elementi della policy JSON IAM: operatori di condizione](reference_policies_elements_condition_operators.md)
## Errore: operazione mancante per la chiave di condizione
**Codice del problema: **MISSING\$1ACTION\$1FOR\$1CONDITION\$1KEY
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Missing action for condition key: The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block."
```
**Risoluzione dell'errore**
La chiave della condizione nell'elemento `Condition` della dichiarazione di policy non viene valutata a meno che l'operazione specificata non sia inclusa nell'elemento `Action`. Per garantire che le chiavi di condizione specificate siano effettivamente consentite o rifiutate dalla policy, aggiungi l'operazione all'elemento `Action`.
**Termini correlati**
+ [Elementi delle policy JSON: Action](reference_policies_elements_action.md)
## Errore: sintassi del principale federato non valida nella policy di attendibilità dei ruoli
**Codice del problema: **INVALID\$1FEDERATED\$1PRINCIPAL\$1SYNTAX\$1IN\$1ROLE\$1TRUST\$1POLICY
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid federated principal syntax in role trust policy: The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN."
```
**Risoluzione dell'errore**
Il valore principale specifica un pricipale federato che non corrisponde al formato previsto. Aggiorna il formato del principale federato con un nome di dominio valido o un ARN di metadati SAML.
**Termini correlati**
+ [Utenti federati e ruoli](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)
## Errore: operazione non corrispondente per il principale
**Codice del problema: **MISMATCHED\$1ACTION\$1FOR\$1PRINCIPAL
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Mismatched action for principal: The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options."
```
**Risoluzione dell'errore**
L'operazione specificata nell'elemento `Action` della dichiarazione di policy non è valida con il principale specificato nell'elemento `Principal`. Ad esempio, non puoi utilizzare un principale provider SAML con l'operazione `sts:AssumeRoleWithWebIdentity`. È necessario utilizzare un provider principale SAML con l'operazione `sts:AssumeRoleWithSAML` oppure utilizzare un principale del fornitore OIDC con l'operazione `sts:AssumeRoleWithWebIdentity`.
**Termini correlati**
+ [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)
+ [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)
## Errore: operazione mancante per la policy di attendibilità dei ruoli ovunque
**Codice del problema: **MISSING\$1ACTION\$1FOR\$1ROLES\$1ANYWHERE\$1TRUST\$1POLICY
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Missing action for roles anywhere trust policy: The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy."
```
**Risoluzione dell'errore**
Affinché IAM Roles Anywhere sia in grado di assumere un ruolo e fornire credenziali AWS temporanee, il ruolo deve considerare attendibile il principale del servizio IAM Roles Anywhere. Il principale del servizio IAM Roles Anywhere richiede le autorizzazioni `sts:AssumeRole`, `sts:SetSourceIdentity` e `sts:TagSession` per assumere un ruolo. Se manca una delle autorizzazioni, va aggiunta alla policy.
**Termini correlati**
+ [Modello di fiducia in AWS Identity and Access Management Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/trust-model.html)
## Errore: la dimensione della policy supera la quota della RCP
**Codice del problema: **POLICY\$1SIZE\$1EXCEEDS\$1RCP\$1QUOTA
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Policy size exceeds RCP quota: The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies."
```
**Risoluzione dell'errore**
AWS Organizations le politiche di controllo delle risorse (RCPs) supportano la specificazione dei valori nell'`Action`elemento. Tuttavia, questi valori possono includere caratteri jolly (\$1) solo alla fine della stringa. Ciò significa che puoi specificare `s3:Get*` ma non `s3:*Object`.
Per specificare più azioni, AWS consiglia di elencarle singolarmente.
**Termini correlati**
+ [Quote per AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html)
+ [AWS Organizations politiche di controllo delle risorse](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)
## Errore: principale dell'errore di sintassi RCP
**Codice del problema: **RCP\$1SYNTAX\$1ERROR\$1PRINCIPAL
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
RCP syntax error principal: The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs."
```
**Risoluzione dell'errore**
AWS Organizations le politiche di controllo delle risorse (RCPs) supportano solo la specificazione di tutti i principali (» `*` «) nell'elemento. `Principal` L'`NotPrincipal`elemento non è supportato per. RCPs
**Termini correlati**
+ [Sintassi delle RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Proprietà del principale](reference_policies_condition-keys.md#condition-keys-principal-properties)
## Errore: autorizzazione con errore di sintassi RCP
**Codice del problema: **RCP\$1SYNTAX\$1ERROR\$1ALLOW
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
RCP syntax error allow: RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow."
```
**Risoluzione dell'errore**
AWS Organizations le politiche di controllo delle risorse (RCPs) supportano solo la specificazione di tutti i principali (» `*` «) nell'`Principal`elemento e di tutte le risorse (» `*` «) nell'elemento. `Resource` L'`Condition`elemento con un effetto di non `Allow` è supportato per. RCPs
**Termini correlati**
+ [Sintassi delle RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Proprietà del principale](reference_policies_condition-keys.md#condition-keys-principal-properties)
+ [Proprietà della risorsa](reference_policies_condition-keys.md#condition-keys-resource-properties)
## Errore: errore di sintassi RCP NotAction
**Codice del problema: **RCP\$1SYNTAX\$1ERROR\$1NOTACTION
**Tipo di esito: **ERROR
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
RCP syntax error NotAction: RCPs do not support the NotAction element. Update to use the Action element.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "RCPs do not support the NotAction element. Update to use the Action element."
```
**Risoluzione dell'errore**
AWS Organizations le politiche di controllo delle risorse (RCPs) non supportano l'`NotAction`elemento. Utilizza l'elemento `Action`.
**Termini correlati**
+ [Sintassi delle RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Elementi delle policy JSON IAM: Action](reference_policies_elements_action.md)
+ [Elementi della policy IAM JSON: NotAction](reference_policies_elements_notaction.md)
## Errore: errore di sintassi RCP action
**Codice del problema: **RCP\$1SYNTAX\$1ERROR\$1ACTION
**Tipo di esito: **ERROR
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
RCP syntax error action: RCPs only support specifying select service prefixes in the Action element. Learn more here.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "RCPs only support specifying select service prefixes in the Action element. Learn more here."
```
**Risoluzione dell'errore**
AWS Organizations le politiche di controllo delle risorse (RCPs) supportano solo la specificazione di prefissi di servizio selezionati nell'elemento. `Action`
**Termini correlati**
+ [Sintassi delle RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Elenco di tale supporto Servizi AWS RCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html#rcp-supported-services)
## Errore: account ARN mancante
**Codice del problema: **MISSING\$1ARN\$1ACCOUNT
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Missing ARN account: The resource {{resourceName}} in the arn is missing an account id. Please provide a 12 digit account id.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The resource {{resourceName}} in the arn is missing an account id. Please provide a 12 digit account id."
```
**Risoluzione dell'errore**
Include l’ID account nell’ARN della risorsa. IDs Gli account sono numeri interi a 12 cifre. Per informazioni su come visualizzare l'ID del tuo account, vedi [Trovare l'ID del tuo AWS](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingYourAccountIdentifiers) account.
**Termini correlati**
+ [Risorse relative alle policy](reference_policies_elements_resource.md)
+ [Identificatori account](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)
+ [Risorsa ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS risorse di servizio con formati ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Errore: valore della chiave kms non valido
**Codice del problema: **INVALID\$1KMS\$1KEY\$1VALUE
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid kms key value: The {{key}} condition key value must be valid a KMS key ARN.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The {{key}} condition key value must be valid a KMS key ARN."
```
**Risoluzione dell'errore**
Un AWS KMS key ARN (Amazon Resource Name) è un identificatore unico e completo per una chiave KMS. L'ARN di una chiave include la Account AWS regione e l'ID della chiave. L’ARN di una chiave segue questo formato:
`arn:aws:kms:region:account-id:key/key-id`
**Termini correlati**
+ [Individuazione dell’ID e dell’ARN delle chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)
+ [Chiave ARN](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id-key-ARN)
+ [AWS chiavi di contesto della condizione globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
## Errore: utilizzo della variabile troppo permissivo
**Codice del problema: **VARIABLE\$1USAGE\$1TOO\$1PERMISSIVE
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Variable usage too permissive: Overly permissive use of policy variable for the {{key}} condition key. Use the policy variable preceded by 6 consecutive characters.
```
```
The policy variable is not allowed in the condition key {{key}}. We consider the key to be sensitive and policy variables can be evaluated as effective wildcards. Therefore policy variables are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys.
```
```
Overly permissive use of policy variable with aws:userID. Use the policy variable on the right side of colon or as the only character on the left side of a colon.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Overly permissive use of policy variable for the {{key}} condition key. Use the policy variable preceded by 6 consecutive characters."
```
```
"findingDetails": "The policy variable is not allowed in the condition key {{key}}. We consider the key to be sensitive and policy variables can be evaluated as effective wildcards. Therefore policy variables are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys."
```
```
"findingDetails": "Overly permissive use of policy variable with aws:userID. Use the policy variable on the right side of colon or as the only character on the left side of a colon."
```
**Risoluzione dell'errore**
Esistono tre possibili messaggi di esito relativi a questo errore.
+ Per il primo messaggio di errore, modifica l’utilizzo della variabile di policy in modo che sia più specifico. Aggiungi almeno 6 caratteri consecutivi prima della variabile di policy per ridurre l’ambito delle autorizzazioni. Ad esempio, invece di `${aws:username}`, puoi utilizzare `prefix-${aws:username}` o `myapp-${aws:username}`. Ciò garantisce che la variabile di policy non conceda un accesso eccessivamente ampio.
+ Per il secondo messaggio di errore, rimuovi la variabile di policy dalla chiave di condizione specificata. Le variabili di policy possono fungere da jolly efficaci e non ne è consentito l’utilizzo con chiavi di condizione sensibili per motivi di sicurezza. In alternativa, utilizza valori statici specifici o valuta la possibilità di ristrutturare la policy per utilizzare chiavi di condizione non sensibili che supportano le variabili di policy.
+ Per il terzo messaggio di errore, modifica l’utilizzo della variabile di policy `aws:userID` in modo che sia più restrittivo. Posiziona la variabile di policy sul lato destro dei due punti (dopo l’ID account) o usala come unico carattere alla sinistra dei due punti. Ad esempio, utilizza `AIDACKCEVSQ6C2EXAMPLE:${aws:userid}` o `${aws:userid}:*` anziché `${aws:userid}`.
**Termini correlati**
+ [Elementi della politica IAM: variabili e tag](reference_policies_variables.md)
+ [Elementi della policy IAM: condizione](reference_policies_elements_condition.md)
+ [Condizioni con più chiavi o valori di contesto](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS chiavi contestuali di condizione globale](reference_policies_condition-keys.md)
## Errore: utilizzo di carattere jolly troppo permissivo
**Codice del problema: **WILDCARD\$1USAGE\$1TOO\$1PERMISSIVE
**Tipo di esito: **ERROR
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Wildcard usage too permissive: Overly permissive use of wildcard for the {{key}} condition key. Use the wildcard preceded by 6 consecutive characters.
```
```
The wildcard is not allowed in the condition key {{key}}. We consider the key to be sensitive and wildcards are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys.
```
```
Overly permissive use of wildcard with aws:userID. Use the wildcard on the right side of colon or as the only character on the left side of a colon.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Overly permissive use of wildcard for the {{key}} condition key. Use the wildcard preceded by 6 consecutive characters."
```
```
"findingDetails": "The wildcard is not allowed in the condition key {{key}}. We consider the key to be sensitive and wildcards are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys."
```
```
"findingDetails": "Overly permissive use of wildcard with aws:userID. Use the wildcard on the right side of colon or as the only character on the left side of a colon."
```
**Risoluzione dell'errore**
Esistono tre possibili messaggi di esito relativi a questo errore.
+ Per il primo messaggio di errore, rendi più specifico l’utilizzo dei caratteri jolly aggiungendo almeno 6 caratteri consecutivi prima del carattere jolly. Ad esempio, invece di `*`, puoi utilizzare `prefix-*` o `prefix-*-suffix`. Ciò riduce l’ambito della condizione e segue il principio del privilegio minimo.
+ Per il secondo messaggio di errore, rimuovi il carattere jolly dalla chiave di condizione specificata. I caratteri jolly non sono consentiti con le chiavi di condizione sensibili per motivi di sicurezza. Sostituisci i caratteri jolly con valori specifici che corrispondono allo schema di accesso desiderato oppure valuta la possibilità di utilizzare una chiave di condizione diversa, non sensibile, che supporti i caratteri jolly.
+ Per il terzo messaggio di errore, modifica l’utilizzo del carattere jolly `aws:userID` in modo che sia più restrittivo. Posiziona il carattere jolly alla destra dei due punti (dopo l’ID account) o usalo come unico carattere alla sinistra dei due punti. Ad esempio, utilizza `AIDACKCEVSQ6C2EXAMPLE:*` o `*:*` anziché `*`.
**Termini correlati**
+ [Elementi della policy IAM: condizione](reference_policies_elements_condition.md)
+ [Condizioni con più chiavi o valori contestuali](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS chiavi contestuali di condizione globale](reference_policies_condition-keys.md)
+ [identificatori IAM](reference_identifiers.md)
## Avviso generale: crea SLR con NotResource
**Codice del problema: **CREATE\$1SLR\$1WITH\$1NOT\$1RESOURCE
**Tipo di esito: **GENERAL\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Create SLR with NotResource: Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead."
```
**Risoluzione dell'avviso generale**
L'azione `iam:CreateServiceLinkedRole` concede l'autorizzazione a creare un ruolo IAM che consente a un AWS servizio di eseguire azioni per tuo conto. L'utilizzo `iam:CreateServiceLinkedRole` di una policy con l'`NotResource`elemento può consentire la creazione di ruoli involontari collegati ai servizi per più risorse. AWS consiglia invece di specificare allowed ARNs nell'`Resource`elemento.
+ [CreateServiceLinkedRole operazione](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Elementi della policy IAM JSON: NotResource](reference_policies_elements_notresource.md)
+ [Elementi delle policy JSON IAM: Resource](reference_policies_elements_resource.md)
## Avviso generale: crea una reflex con una stella in azione e NotResource
**Codice del problema: **CREATE\$1SLR\$1WITH\$1STAR\$1IN\$1ACTION\$1AND\$1NOT\$1RESOURCE
**Tipo di esito: **GENERAL\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Create SLR with star in action and NotResource: Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
```
**Risoluzione dell'avviso generale**
L'azione `iam:CreateServiceLinkedRole` concede l'autorizzazione a creare un ruolo IAM che consente a un AWS servizio di eseguire azioni per tuo conto. Le policy con un carattere jolly (\$1) `Action` e che includono l'`NotResource`elemento possono consentire la creazione di ruoli indesiderati collegati ai servizi per più risorse. AWS consiglia invece di specificare allowed ARNs nell'elemento. `Resource`
+ [CreateServiceLinkedRole operazione](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Elementi della policy IAM JSON: NotResource](reference_policies_elements_notresource.md)
+ [Elementi delle policy JSON IAM: Resource](reference_policies_elements_resource.md)
## Avviso generale: crea SLR con e NotAction NotResource
**Codice del problema: **CREATE\$1SLR\$1WITH\$1NOT\$1ACTION\$1AND\$1NOT\$1RESOURCE
**Tipo di esito: **GENERAL\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Create SLR with NotAction and NotResource: Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
```
**Risoluzione dell'avviso generale**
L'azione `iam:CreateServiceLinkedRole` concede l'autorizzazione a creare un ruolo IAM che consente a un AWS servizio di eseguire azioni per tuo conto. L'utilizzo dell'`NotAction`elemento con l'`NotResource`elemento può consentire la creazione di ruoli involontari collegati ai servizi per più risorse. AWS consiglia invece di riscrivere la policy in modo da consentirla `iam:CreateServiceLinkedRole` su un elenco limitato di elementi inclusi ARNs nell'elemento. `Resource` È inoltre possibile aggiungere `iam:CreateServiceLinkedRole` all'elemento `NotAction`.
+ [CreateServiceLinkedRole operazione](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Elementi della policy IAM JSON: NotAction](reference_policies_elements_notaction.md)
+ [Elementi delle policy JSON IAM: Action](reference_policies_elements_action.md)
+ [Elementi della policy IAM JSON: NotResource](reference_policies_elements_notresource.md)
+ [Elementi delle policy JSON IAM: Resource](reference_policies_elements_resource.md)
## Avviso generale: creazione di SLR con stella nella risorsa
**Codice del problema: **CREATE\$1SLR\$1WITH\$1STAR\$1IN\$1RESOURCE
**Tipo di esito: **GENERAL\$1WARNING
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Create SLR with star in resource: Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead."
```
**Risoluzione dell'avviso generale**
L'azione `iam:CreateServiceLinkedRole` concede l'autorizzazione a creare un ruolo IAM che consente a un AWS servizio di eseguire azioni per tuo conto. L'utilizzo `iam:CreateServiceLinkedRole` di una policy con un carattere jolly (\$1) nell'`Resource`elemento può consentire la creazione di ruoli non intenzionali collegati ai servizi per più risorse. AWS consiglia invece di specificare allowed ARNs nell'elemento. `Resource`
+ [CreateServiceLinkedRole operazione](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Elementi delle policy JSON IAM: Resource](reference_policies_elements_resource.md)
### AWS politiche gestite con questo avviso generale
[AWS le politiche gestite](access_policies_managed-vs-inline.md#aws-managed-policies) consentono di iniziare con l'assegnazione AWS di autorizzazioni in base a casi AWS d'uso generali.
Alcuni di questi casi d'uso riguardano utenti esperti all'interno del tuo account. Le seguenti politiche AWS gestite forniscono l'accesso ai power user e concedono le autorizzazioni per creare ruoli [collegati ai servizi per qualsiasi](id_roles_create-service-linked-role.md) servizio. AWS AWS consiglia di collegare le seguenti policy AWS gestite solo alle identità IAM che consideri power user.
+ [PowerUserAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/PowerUserAccess)
+ [AlexaForBusinessFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AlexaForBusinessFullAccess)
+ [AWSOrganizationsServiceTrustPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSOrganizationsServiceTrustPolicy)— Questa policy AWS gestita fornisce le autorizzazioni per l'utilizzo da parte del ruolo collegato al AWS Organizations servizio. Questo ruolo consente alle Organizzazioni di creare ruoli aggiuntivi collegati ai servizi per altri servizi dell'organizzazione AWS .
## Avviso generale: creazione di SLR con stella nell'operazione e nella risorsa
**Codice del problema: **CREATE\$1SLR\$1WITH\$1STAR\$1IN\$1ACTION\$1AND\$1RESOURCE
**Tipo di esito: **GENERAL\$1WARNING
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Create SLR with star in action and resource: Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."
```
**Risoluzione dell'avviso generale**
L'azione `iam:CreateServiceLinkedRole` concede l'autorizzazione a creare un ruolo IAM che consente a un AWS servizio di eseguire azioni per tuo conto. Le policy con un carattere jolly (\$1) negli elementi `Action` e `Resource` possono consentire la creazione di ruoli collegati ai servizi non intenzionali per più risorse. Ciò consente di creare un ruolo collegato al servizio quando si specifica`"Action": "*"`, `"Action": "iam:*"` o. `"Action": "iam:Create*"` AWS consiglia invece di specificare allowed ARNs nell'`Resource`elemento.
+ [CreateServiceLinkedRole operazione](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Elementi delle policy JSON IAM: Action](reference_policies_elements_action.md)
+ [Elementi delle policy JSON IAM: Resource](reference_policies_elements_resource.md)
### AWS politiche gestite con questo avviso generale
[AWS le politiche gestite](access_policies_managed-vs-inline.md#aws-managed-policies) consentono di iniziare con l'assegnazione AWS di autorizzazioni in base a casi AWS d'uso generali.
Alcuni di questi casi d'uso sono destinati agli amministratori del tuo account. Le seguenti politiche AWS gestite forniscono l'accesso all'amministratore e concedono le autorizzazioni per creare ruoli [collegati ai servizi per qualsiasi](id_roles_create-service-linked-role.md) servizio. AWS AWS consiglia di allegare le seguenti politiche AWS gestite solo alle identità IAM che consideri amministratori.
+ [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)
+ [IAMFullAccesso](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess)
## Avviso generale: crea una reflex con stella nella risorsa e NotAction
**Codice del problema: **CREATE\$1SLR\$1WITH\$1STAR\$1IN\$1RESOURCE\$1AND\$1NOT\$1ACTION
**Tipo di esito: **GENERAL\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Create SLR with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."
```
**Risoluzione dell'avviso generale**
L'azione `iam:CreateServiceLinkedRole` concede l'autorizzazione a creare un ruolo IAM che consente a un AWS servizio di eseguire azioni per tuo conto. L'utilizzo dell'`NotAction`elemento in una policy con un carattere jolly (\$1) nell'`Resource`elemento può consentire la creazione di ruoli non intenzionali collegati ai servizi per più risorse. AWS consiglia invece di specificare allowed ARNs nell'elemento. `Resource` È inoltre possibile aggiungere `iam:CreateServiceLinkedRole` all'elemento `NotAction`.
+ [CreateServiceLinkedRole operazione](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Elementi della policy IAM JSON: NotAction](reference_policies_elements_notaction.md)
+ [Elementi delle policy JSON IAM: Action](reference_policies_elements_action.md)
+ [Elementi delle policy JSON IAM: Resource](reference_policies_elements_resource.md)
## Avviso generale: chiave di condizione globale obsoleta
**Codice del problema: **DEPRECATED\$1GLOBAL\$1CONDITION\$1KEY
**Tipo di esito: **GENERAL\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Deprecated global condition key: We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn."
```
**Risoluzione dell'avviso generale**
La policy include una chiave di condizione globale obsoleta. Aggiorna la chiave di condizione nella coppia chiave-valore della condizione per utilizzare una chiave di condizione globale supportata.
+ [Chiavi della condizione globale](reference_policies_condition-keys.md)
## Avviso generale: valore data non valido
**Codice del problema: **INVALID\$1DATE\$1VALUE
**Tipo di esito: **GENERAL\$1WARNING
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid date value: The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format."
```
**Risoluzione dell'avviso generale**
Il tempo Unix Epoch descrive un punto nel tempo trascorso dal 1 gennaio 1970, meno i secondi intercalari. L'ora dell'epoca potrebbe non corrispondere all'ora esatta prevista. AWS consiglia di utilizzare lo standard W3C per i formati di data e ora. Ad esempio, è possibile specificare una data completa, ad esempio YYYY-MM-DD (1997-07-16), oppure aggiungere l'ora alla seconda, ad esempio:mm:SSTZD (1997-07-16T 19:20:30 \$1 01:00). YYYY-MM-DDThh
+ [Formati di data e ora W3C](https://www.w3.org/TR/NOTE-datetime)
+ [Elementi delle policy JSON IAM: Version](reference_policies_elements_version.md)
+ [aws: chiave di condizione globale CurrentTime ](reference_policies_condition-keys.md#condition-keys-currenttime)
## Avviso generale: riferimento al ruolo non valido
**Codice del problema: **INVALID\$1ROLE\$1REFERENCE
**Tipo di esito: **GENERAL\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid role reference: The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead."
```
**Risoluzione dell'avviso generale**
AWS consiglia di specificare l'Amazon Resource Name (ARN) per un ruolo IAM anziché il relativo ID principale. Quando IAM salva la policy, trasformerà l'ARN nell'ID principale per il ruolo esistente. AWS include una precauzione di sicurezza. Se qualcuno elimina e crea nuovamente il ruolo, avrà un nuovo ID e la policy non corrisponderà all'ID del nuovo ruolo.
+ [Specifica di un principale: ruoli IAM](reference_policies_elements_principal.md#principal-roles)
+ [IAM ARNs](reference_identifiers.md#identifiers-arns)
+ [Sono unico IDs](reference_identifiers.md#identifiers-unique-ids)
## Avviso generale: riferimento utente non valido
**Codice del problema: **INVALID\$1USER\$1REFERENCE
**Tipo di esito: **GENERAL\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Invalid user reference: The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead."
```
**Risoluzione dell'avviso generale**
AWS consiglia di specificare l'Amazon Resource Name (ARN) per un utente IAM anziché il suo ID principale. Quando IAM salva la policy, trasformerà l'ARN nell'ID principale per l'utente esistente. AWS include una precauzione di sicurezza. Se qualcuno elimina e crea nuovamente l'utente, avrà un nuovo ID e la policy non corrisponderà all'ID del nuovo utente.
+ [Specifica di un principale: utenti IAM](reference_policies_elements_principal.md#principal-users)
+ [IAM ARNs](reference_identifiers.md#identifiers-arns)
+ [Sono unico IDs](reference_identifiers.md#identifiers-unique-ids)
## Avviso generale: versione mancante
**Codice del problema: **MISSING\$1VERSION
**Tipo di esito: **GENERAL\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Missing version: We recommend that you specify the Version element to help you with debugging permission issues.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "We recommend that you specify the Version element to help you with debugging permission issues."
```
**Risoluzione dell'avviso generale**
AWS consiglia di includere il `Version` parametro opzionale nella politica. Se non includi un elemento Versione, per impostazione predefinita il valore viene impostato su `2012-10-17`, ma le funzionalità più recenti, come le variabili di policy, non funzioneranno con la policy. Ad esempio, le variabili tipo `${aws:username}` non saranno riconosciute come variabili e verranno trattate come stringhe letterali nella policy.
+ [Elementi delle policy JSON IAM: Version](reference_policies_elements_version.md)
## Avviso generale: sid univoci consigliati
**Codice del problema: **UNIQUE\$1SIDS\$1RECOMMENDED
**Tipo di esito: **GENERAL\$1WARNING
**Trovare i dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Unique Sids recommended: We recommend that you use statement IDs that are unique to your policy. Update the Sid value.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "We recommend that you use statement IDs that are unique to your policy. Update the Sid value."
```
**Risoluzione dell'avviso generale**
AWS consiglia di utilizzare un'istruzione IDs univoca. L'elemento `Sid` (ID istruzione) consente di immettere un identificatore opzionale fornito per l'istruzione della policy. Puoi assegnare un valore ID di istruzione a ogni istruzione in una matrice di istruzioni utilizzando l'elemento `SID`.
**Termini correlati**
+ [Elementi delle policy JSON IAM: Sid](reference_policies_elements_sid.md)
## Avviso generale: carattere jolly senza operatore like
**Codice del problema: **WILDCARD\$1WITHOUT\$1LIKE\$1OPERATOR
**Tipo di esito: **GENERAL\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Wildcard without like operator: Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like."
```
**Risoluzione dell'avviso generale**
La struttura dell'elemento `Condition` richiede l'utilizzo di un operatore di condizione e di una coppia chiave-valore. Quando specifichi un valore di condizione che utilizza un carattere jolly (\$1,?) , devi utilizzare la versione `Like`dell'operatore di condizione. Ad esempio, anziché l'operatore di condizione stringa `StringEquals`, utilizza `StringLike`.
```
"Condition": {"StringLike": {"aws:PrincipalTag/job-category": "admin-*"}}
```
+ [Elementi della policy JSON IAM: operatori di condizione](reference_policies_elements_condition_operators.md)
+ [Elementi della policy JSON IAM: Condition](reference_policies_elements_condition.md)
### AWS politiche gestite con questo avviso generale
[AWS le politiche gestite](access_policies_managed-vs-inline.md#aws-managed-policies) consentono di iniziare con l'assegnazione AWS di autorizzazioni in base a casi AWS d'uso generali.
Le seguenti politiche AWS gestite includono i caratteri jolly nel loro valore di condizione senza un operatore di condizione che `Like` includa il pattern matching. Quando si utilizza la policy AWS gestita come riferimento per creare una policy gestita dai clienti, si AWS consiglia di utilizzare un operatore di condizione che supporti il pattern-matching con caratteri jolly (\$1,?) , ad esempio. `StringLike`
+ [AWSGlueConsoleSageMakerNotebookFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleSageMakerNotebookFullAccess)
## Avviso generale: la dimensione della policy supera la quota delle policy di identità
**Codice del problema: **POLICY\$1SIZE\$1EXCEEDS\$1IDENTITY\$1POLICY\$1QUOTA
**Tipo di esito: **GENERAL\$1WARNING
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Policy size exceeds identity policy quota: The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies."
```
**Risoluzione dell'avviso generale**
Puoi collegare fino a 10 policy gestite a un'identità IAM (utente, gruppo di utenti o ruolo). Tuttavia, le dimensioni di ciascuna policy gestita non possono superare la quota di default i 6.144 caratteri. IAM non calcola gli spazi vuoti per determinare le dimensioni di una policy rispetto a tali limiti. Le quote, note anche come limiti in AWS, sono i valori massimi per le risorse, le azioni e gli elementi presenti nell'account AWS .
Inoltre, puoi aggiungere a un'identità IAM tutte le policy in linea desiderate. Tuttavia, la dimensione della somma di tutte le policy in linea per identità non può superare la quota specificata.
Se la policy è maggiore della quota, è possibile organizzare la policy in più istruzioni e raggruppare le istruzioni in più policy.
**Termini correlati**
+ [IAM e quote di AWS STS caratteri](reference_iam-quotas.md)
+ [Istruzioni e policy multiple](access_policies.md#policies-syntax-multiples)
+ [Policy gestite dal cliente IAM](access_policies_managed-vs-inline.md#customer-managed-policies)
+ [Panoramica delle policy JSON](access_policies.md#access_policies-json)
+ [Sintassi della policy JSON IAM](reference_policies_grammar.md)
### AWS politiche gestite con questo avviso generale
[AWS le politiche gestite](access_policies_managed-vs-inline.md#aws-managed-policies) consentono di iniziare con l'assegnazione AWS di autorizzazioni in base a casi AWS d'uso generali.
Le seguenti politiche AWS gestite concedono le autorizzazioni alle azioni su molti AWS servizi e superano la dimensione massima delle policy. Quando si utilizza la policy gestita da AWS come riferimento per creare la policy gestita, è necessario suddividerla in più policy.
+ [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ReadOnlyAccess)
+ [AWSSupportServiceRolePolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSSupportServiceRolePolicy)
## Avviso generale: la dimensione della policy supera la quota delle policy delle risorse
**Codice del problema: **POLICY\$1SIZE\$1EXCEEDS\$1RESOURCE\$1POLICY\$1QUOTA
**Tipo di esito: **GENERAL\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Policy size exceeds resource policy quota: The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies."
```
**Risoluzione dell'avviso generale**
Le policy basate sulle risorse sono documenti di policy JSON che colleghi a una risorsa, come ad esempio un bucket Amazon S3. Queste policy concedono all'entità principale specificata l'autorizzazione per eseguire operazioni specifiche sulla risorsa e definiscono le condizioni in cui ciò si applica. La dimensione delle policy basate sulle risorse non può superare la quota impostata per quella risorsa. Le quote, note anche come limiti in AWS, sono i valori massimi per le risorse, le azioni e gli elementi presenti nell'account AWS .
Se la policy è maggiore della quota, è possibile organizzare la policy in più istruzioni e raggruppare le istruzioni in più policy.
**Termini correlati**
+ [Policy basate su risorse](access_policies.md#policies_resource-based)
+ [policy del bucket di Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)
+ [Istruzioni e policy multiple](access_policies.md#policies-syntax-multiples)
+ [Panoramica delle policy JSON](access_policies.md#access_policies-json)
+ [Sintassi della policy JSON IAM](reference_policies_grammar.md)
## Avviso generale: mancata corrispondenza del tipo
**Codice del problema: **TYPE\$1MISMATCH
**Tipo di esito: **GENERAL\$1WARNING
**Informazioni sulla ricerca di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Type mismatch: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."
```
**Risoluzione dell'avviso generale**
Aggiorna il testo per utilizzare il tipo di dati dell'operatore di condizione supportato.
Ad esempio, la chiave di condizione globale di `aws:MultiFactorAuthPresent` richiede un operatore di condizione con il tipo di dati `Boolean`. Se specifichi una data o un numero intero, il tipo di dati non corrisponderà.
**Termini correlati**
+ [Chiavi della condizione globale](reference_policies_condition-keys.md)
+ [Elementi della policy JSON IAM: operatori di condizione](reference_policies_elements_condition_operators.md)
## Avviso generale: booleano con mancata corrispondenza del tipo
**Codice del problema: **TYPE\$1MISMATCH\$1BOOLEAN
**Tipo di esito: **GENERAL\$1WARNING
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Type mismatch Boolean: Add a valid Boolean value (true or false) for the condition operator {{operator}}.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Add a valid Boolean value (true or false) for the condition operator {{operator}}."
```
**Risoluzione dell'avviso generale**
Aggiorna il testo per utilizzare un tipo di dati dell'operatore condizione booleano, ad esempio `true` o `false`.
Ad esempio, la chiave di condizione globale di `aws:MultiFactorAuthPresent` richiede un operatore di condizione con il tipo di dati `Boolean`. Se specifichi una data o un numero intero, il tipo di dati non corrisponderà.
**Termini correlati**
+ [Operatori di condizione booleani](reference_policies_elements_condition_operators.md#Conditions_Boolean)
+ [Elementi della policy JSON IAM: operatori di condizione](reference_policies_elements_condition_operators.md)
## Avviso generale: data della mancata corrispondenza del tipo
**Codice del problema: **TYPE\$1MISMATCH\$1DATE
**Tipo di esito: **GENERAL\$1WARNING
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Type mismatch date: The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format."
```
**Risoluzione dell'avviso generale**
Aggiorna il testo per utilizzare il tipo di dati dell'operatore di condizione data, in un formato data ora `YYYY-MM-DD` o altro ISO 8601.
**Termini correlati**
+ [Operatori di condizione data](reference_policies_elements_condition_operators.md#Conditions_Date)
+ [Elementi della policy JSON IAM: operatori di condizione](reference_policies_elements_condition_operators.md)
## Avviso generale: numero della mancata corrispondenza del tipo
**Codice del problema: **TYPE\$1MISMATCH\$1NUMBER
**Tipo di esito: **GENERAL\$1WARNING
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Type mismatch number: Add a valid numeric value for the condition operator {{operator}}.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Add a valid numeric value for the condition operator {{operator}}."
```
**Risoluzione dell'avviso generale**
Aggiorna il testo per utilizzare il tipo di dati dell'operatore di condizione numerico.
**Termini correlati**
+ [Operatori di condizione numerici](reference_policies_elements_condition_operators.md#Conditions_Numeric)
+ [Elementi della policy JSON IAM: operatori di condizione](reference_policies_elements_condition_operators.md)
## Avviso generale: stringa della mancata corrispondenza del tipo
**Codice del problema: **TYPE\$1MISMATCH\$1STRING
**Tipo di esito: **GENERAL\$1WARNING
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Type mismatch string: Add a valid base64-encoded string value for the condition operator {{operator}}.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Add a valid base64-encoded string value for the condition operator {{operator}}."
```
**Risoluzione dell'avviso generale**
Aggiorna il testo per utilizzare il tipo di dati dell'operatore di condizione stringa.
**Termini correlati**
+ [Operatori di condizione stringa](reference_policies_elements_condition_operators.md#Conditions_String)
+ [Elementi della policy JSON IAM: operatori di condizione](reference_policies_elements_condition_operators.md)
## Avviso generale: si consigliano repository e ramo github specifici
**Codice del problema: **SPECIFIC\$1GITHUB\$1REPO\$1AND\$1BRANCH\$1RECOMMENDED
**Tipo di esito: **GENERAL\$1WARNING
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Specific github repo and branch recommended: Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name."
```
**Risoluzione dell'avviso generale**
Se lo utilizzi GitHub come IdP OIDC, la best practice consiste nel limitare le entità che possono assumere il ruolo associato all'IDP IAM. Quando includi una `Condition` dichiarazione in una policy sulla fiducia dei ruoli, puoi limitare il ruolo a un' GitHub organizzazione, un repository o una filiale specifici. Puoi utilizzare la chiave della condizione `token.actions.githubusercontent.com:sub` per limitare l'accesso. Ti consigliamo di limitare la condizione a un insieme specifico di repository o rami. Se utilizzi un wildcard (`*`) in`token.actions.githubusercontent.com:sub`, GitHub le azioni provenienti da organizzazioni o repository al di fuori del tuo controllo possono assumere ruoli associati all' GitHub IdP IAM nel tuo account. AWS
**Termini correlati**
+ [Configurazione di un ruolo per il provider di identità OIDC GitHub ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html#idp_oidc_Create_GitHub)
## Avviso generale: la dimensione della policy supera la quota delle policy di attendibilità del ruolo
**Codice del problema: **POLICY\$1SIZE\$1EXCEEDS\$1ROLE\$1TRUST\$1POLICY\$1QUOTA
**Tipo di esito: **GENERAL\$1WARNING
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Policy size exceeds role trust policy quota: The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning."
```
**Risoluzione dell'avviso generale**
IAM e AWS STS disponiamo di quote che limitano la dimensione delle politiche di fiducia dei ruoli. I caratteri nella policy di attendibilità del ruolo, esclusi gli spazi bianchi, superano il numero massimo di caratteri. È consigliabile richiedere un aumento della quota della policy di attendibilità del ruolo utilizzando Service Quotas o AWS Support Center Console.
**Termini correlati**
+ [IAM e AWS STS quote, requisiti relativi ai nomi e limiti di caratteri](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## Avviso generale: a RCP manca la chiave della condizione principale correlata
**Codice del problema: **RCP\$1MISSING\$1RELATED\$1PRINCIPAL\$1CONDITION\$1KEY
**Tipo di esito: **GENERAL\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
RCP missing related principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used."
```
**Risoluzione dell'avviso generale**
AWS Organizations le politiche di controllo delle risorse (RCPs) possono influire su ruoli, utenti e Servizio AWS responsabili IAM. Per evitare un impatto involontario sui servizi che agiscono per tuo conto utilizzando un principale di servizio, aggiungi la seguente istruzione al tuo elemento `Condition`.
```
"BoolIfExists": { "aws:PrincipalIsAWSService": "false"}
```
**Termini correlati**
+ [Sintassi delle RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Proprietà del principale](reference_policies_condition-keys.md#condition-keys-principal-properties)
## Avviso generale: a RCP manca la chiave di condizione del principale del servizio correlata
**Codice del problema: **RCP\$1MISSING\$1RELATED\$1SERVICE\$1PRINCIPAL\$1CONDITION\$1KEY
**Tipo di esito: **GENERAL\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
RCP missing related service principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used."
```
**Risoluzione dell'avviso generale**
AWS Organizations le politiche di controllo delle risorse (RCPs) possono influire su ruoli, utenti e Servizio AWS responsabili IAM. Per evitare un impatto involontario sui principali, aggiungi la seguente istruzione al tuo elemento `Condition`:
```
"BoolIfExists": { "aws:PrincipalIsAWSService": "true"}
```
**Termini correlati**
+ [Sintassi delle RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Proprietà del principale](reference_policies_condition-keys.md#condition-keys-principal-properties)
## Avviso generale: a RCP manca il controllo null della chiave di condizione del servizio
**Codice del problema: **RCP\$1MISSING\$1SERVICE\$1CONDITION\$1KEY\$1NULL\$1CHECK
**Tipo di esito: **GENERAL\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
RCP missing service condition key null check: The specified service may have a service integration that does not require the use of the {{conditionKeyName}} condition key. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "Null": { "aws:SourceAccount": "false"} or "Null": { "aws:SourceArn": "false"} whenever the key {{conditionKeyName}} is used.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The specified service may have a service integration that does not require the use of the {{conditionKeyName}} condition key. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "Null": { "aws:SourceAccount": "false"} or "Null": { "aws:SourceArn": "false"} whenever the key {{conditionKeyName}} is used."
```
**Risoluzione dell'avviso generale**
AWS Organizations le politiche di controllo delle risorse (RCPs) possono influire su ruoli, utenti e Servizio AWS responsabili IAM. Per evitare un impatto involontario sui servizi che agiscono per tuo conto utilizzando un principale di servizio, aggiungi le seguenti istruzioni al tuo elemento `Condition` ogni volta che viene utilizzata la chiave specificata:
```
"Null": { "aws:SourceAccount": "false"}
```
or
```
"Null": { "aws:SourceArn": "false"}
```
**Termini correlati**
+ [Sintassi delle RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Proprietà del principale](reference_policies_condition-keys.md#condition-keys-principal-properties)
## Avviso generale: utilizza la chiave di condizione solo con i servizi supportati
**Codice del problema: **USE\$1CONDITION\$1KEY\$1ONLY\$1WITH\$1SUPPORTED\$1SERVICES
**Tipo di esito: **GENERAL\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Use condition key only with supported services: The condition key {{key}} works only with specific AWS services and must be scoped to supported services in your policies.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The condition key {{key}} works only with specific AWS services and must be scoped to supported services in your policies.
```
**Risoluzione dell'avviso generale**
AWS Consulta la documentazione per identificare quale Servizi AWS supporto supporta questa chiave di condizione. Se alcuni servizi della tua politica non supportano la chiave di condizione, modifica la politica in modo che includa la chiave di condizione solo ai servizi Servizi AWS che la supportano.
**Termini correlati**
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceaccount)
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceorgid)
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceorgpaths)
+ [Azioni, risorse e chiavi di condizione per Servizi AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Avviso di sicurezza: chiave di condizione non attendibile
**Codice del problema: **UNTRUSTWORTHY\$1CONDITION\$1KEY
**Tipo di esito: **SECURITY\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Untrustworthy condition key: The {{key}} condition key is not recommended for access control as it can be spoofed/manipulated by the caller.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The {{key}} condition key is not recommended for access control as it can be spoofed/manipulated by the caller."
```
**Risoluzione dell'avviso di sicurezza**
Non utilizzare questa chiave di condizione per il controllo degli accessi. Il chiamante può potenzialmente manipolare o falsificare il valore della chiave, determinando un rischio per la sicurezza.
**Termini correlati**
+ [AWS chiavi di contesto della condizione globale](reference_policies_condition-keys.md)
## Avviso di sicurezza: consenti con NotPrincipal
**Codice del problema: **ALLOW\$1WITH\$1NOT\$1PRINCIPAL
**Tipo di esito: **SECURITY\$1WARNING
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Allow with NotPrincipal: Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead."
```
**Risoluzione dell'avviso di sicurezza**
L'uso di `"Effect": "Allow"` con `NotPrincipal` può essere eccessivamente permissivo. Ad esempio, questo può concedere autorizzazioni a responsabili anonimi. AWS consiglia di specificare i principali a cui è necessario accedere utilizzando l'elemento. `Principal` In alternativa, è possibile consentire un accesso ampio e quindi aggiungere un'altra istruzione che utilizza l'elemento `NotPrincipal` con `“Effect”: “Deny”`.
+ [AWS Elementi delle policy JSON: principale](reference_policies_elements_principal.md)
+ [AWS Elementi della policy JSON: NotPrincipal](reference_policies_elements_notprincipal.md)
## Avviso di sicurezza: ForAllValues con chiave a valore singolo
**Codice del problema: **FORALLVALUES\$1WITH\$1SINGLE\$1VALUED\$1KEY
**Tipo di esito: **SECURITY\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
ForAllValues with single valued key: Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:."
```
**Risoluzione dell'avviso di sicurezza**
AWS consiglia di utilizzarlo `ForAllValues` solo con condizioni multivalore. L'operatore impostato `ForAllValues` verifica se il valore di ogni membro del set di richieste è un sottoinsieme del set di chiavi di condizione. La condizione restituisce true se ogni valore delle chiavi nella richiesta corrisponde ad almeno un valore nella policy. Restituisce true anche se non ci sono chiavi nella richiesta o se i valori delle chiavi si riducono a un set di dati nullo, ad esempio una stringa vuota.
Per sapere se una condizione supporta un valore singolo o più valori, rivedi la pagina [Operazioni, risorse e chiavi di condizione](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) per il servizio. Le chiavi di condizione con il prefisso del tipo di dati `ArrayOf` sono chiavi di condizione multivalore. Ad esempio, Amazon SES supporta chiavi con valori singoli (`String`) e il tipo di dati multivalore `ArrayOfString`.
+ [Chiavi di contesto multivalore](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)
## Avviso di sicurezza: passa il ruolo con NotResource
**Codice del problema: **PASS\$1ROLE\$1WITH\$1NOT\$1RESOURCE
**Tipo di esito: **SECURITY\$1WARNING
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Pass role with NotResource: Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
```
**Risoluzione dell'avviso di sicurezza**
Per configurare molti AWS servizi, è necessario passare un ruolo IAM al servizio. Per consentire questo è necessario concedere l'autorizzazione `iam:PassRole` a un'identità (utente, gruppo di utenti o ruolo). L'utilizzo `iam:PassRole` di una policy con l'`NotResource`elemento può consentire ai responsabili di accedere a più servizi o funzionalità di quanto previsto. AWS consiglia invece di specificare allowed ARNs nell'`Resource`elemento. Inoltre, è possibile ridurre le autorizzazioni per un singolo servizio utilizzando la chiave di condizione `iam:PassedToService`.
+ [Invio di un ruolo a un servizio](id_roles_use_passrole.md)
+ [scopo: PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Elementi della policy IAM JSON: NotResource](reference_policies_elements_notresource.md)
+ [Elementi delle policy JSON IAM: Resource](reference_policies_elements_resource.md)
## Avviso di sicurezza: passa il ruolo con star in azione e NotResource
**Codice del problema: **PASS\$1ROLE\$1WITH\$1STAR\$1IN\$1ACTION\$1AND\$1NOT\$1RESOURCE
**Tipo di esito: **SECURITY\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Pass role with star in action and NotResource: Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
```
**Risoluzione dell'avviso di sicurezza**
Per configurare molti AWS servizi, è necessario passare un ruolo IAM al servizio. Per consentire questo è necessario concedere l'autorizzazione `iam:PassRole` a un'identità (utente, gruppo di utenti o ruolo). Le policy con un carattere jolly (\$1) `Action` e che includono l'`NotResource`elemento possono consentire ai tuoi responsabili di accedere a più servizi o funzionalità di quanto previsto. AWS consiglia invece di specificare allowed ARNs nell'`Resource`elemento. Inoltre, è possibile ridurre le autorizzazioni per un singolo servizio utilizzando la chiave di condizione `iam:PassedToService`.
+ [Invio di un ruolo a un servizio](id_roles_use_passrole.md)
+ [scopo: PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Elementi della policy IAM JSON: NotResource](reference_policies_elements_notresource.md)
+ [Elementi delle policy JSON IAM: Resource](reference_policies_elements_resource.md)
## Avviso di sicurezza: passa il ruolo con e NotAction NotResource
**Codice del problema: **PASS\$1ROLE\$1WITH\$1NOT\$1ACTION\$1AND\$1NOT\$1RESOURCE
**Tipo di esito: **SECURITY\$1WARNING
**Ricerca di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Pass role with NotAction and NotResource: Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead."
```
**Risoluzione dell'avviso di sicurezza**
Per configurare molti AWS servizi, è necessario passare un ruolo IAM al servizio. Per consentire questo è necessario concedere l'autorizzazione `iam:PassRole` a un'identità (utente, gruppo di utenti o ruolo). L'utilizzo dell'`NotAction`elemento e l'elenco di alcune risorse nell'`NotResource`elemento possono consentire ai responsabili di accedere a più servizi o funzionalità di quanto previsto. AWS consiglia invece di specificare allowed ARNs nell'`Resource`elemento. Inoltre, è possibile ridurre le autorizzazioni per un singolo servizio utilizzando la chiave di condizione `iam:PassedToService`.
+ [Invio di un ruolo a un servizio](id_roles_use_passrole.md)
+ [scopo: PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Elementi della policy IAM JSON: NotAction](reference_policies_elements_notaction.md)
+ [Elementi delle policy JSON IAM: Action](reference_policies_elements_action.md)
+ [Elementi della policy IAM JSON: NotResource](reference_policies_elements_notresource.md)
+ [Elementi delle policy JSON IAM: Resource](reference_policies_elements_resource.md)
## Avviso di sicurezza: invio del ruolo con stella in risorsa
**Codice del problema: **PASS\$1ROLE\$1WITH\$1STAR\$1IN\$1RESOURCE
**Tipo di esito: **SECURITY\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Pass role with star in resource: Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."
```
**Risoluzione dell'avviso di sicurezza**
Per configurare molti AWS servizi, è necessario passare un ruolo IAM al servizio. Per consentire questo è necessario concedere l'autorizzazione `iam:PassRole` a un'identità (utente, gruppo di utenti o ruolo). Le politiche che lo consentono `iam:PassRole` e che includono un carattere jolly (\$1) nell'`Resource`elemento possono consentire ai tuoi responsabili di accedere a più servizi o funzionalità di quanto previsto. AWS consiglia invece di specificare allowed ARNs nell'`Resource`elemento. Inoltre, è possibile ridurre le autorizzazioni per un singolo servizio utilizzando la chiave di condizione `iam:PassedToService`.
Alcuni AWS servizi includono il loro spazio dei nomi di servizio nel nome del loro ruolo. Questo controllo delle policy tiene conto di queste convenzioni durante l'analisi della policy per generare i risultati. Ad esempio, il seguente ARN della risorsa potrebbe non generare un risultato:
```
arn:aws:iam::*:role/Service*
```
+ [Invio di un ruolo a un servizio](id_roles_use_passrole.md)
+ [Io sono: PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Elementi delle policy JSON IAM: Resource](reference_policies_elements_resource.md)
### AWS politiche gestite con questo avviso di sicurezza
[AWS le politiche gestite](access_policies_managed-vs-inline.md#aws-managed-policies) consentono di iniziare AWS assegnando autorizzazioni in base a casi AWS d'uso generali.
Uno di questi casi d'uso riguarda gli amministratori all'interno del tuo account. Le seguenti politiche AWS gestite forniscono l'accesso all'amministratore e concedono le autorizzazioni per trasferire qualsiasi ruolo IAM a qualsiasi servizio. AWS consiglia di allegare le seguenti politiche AWS gestite solo alle identità IAM che consideri amministratori.
+ [AdministratorAccess-Amplifica](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AdministratorAccess-Amplify)
[Le seguenti politiche AWS gestite includono le autorizzazioni per la risorsa `iam:PassRole` con un carattere jolly (\$1) e si trovano in un percorso di obsolescenza.](access_policies_managed-deprecated.md) Per ognuna di queste politiche, abbiamo aggiornato le linee guida sulle autorizzazioni, ad esempio consigliando una nuova policy AWS gestita che supporti il caso d'uso. Per visualizzare le alternative a queste policy, consulta per guide relative a [ogni servizio](reference_aws-services-that-work-with-iam.md).
+ AWSElasticBeanstalkFullAccess
+ AWSElasticBeanstalkService
+ AWSLambdaFullAccess
+ AWSLambdaReadOnlyAccess
+ AWSOpsWorksFullAccess
+ AWSOpsWorksRole
+ AWSDataPipelineRole
+ AmazonDynamoDBFullAccesswithDataPipeline
+ AmazonElasticMapReduceFullAccess
+ AmazonDynamoDBFullAccesswithDataPipeline
+ Amazon EC2 ContainerServiceFullAccess
Le seguenti politiche AWS gestite forniscono autorizzazioni solo per i [ruoli collegati ai servizi](id_roles_create-service-linked-role.md), che consentono ai AWS servizi di eseguire azioni per tuo conto. Non puoi collegare queste policy alle identità IAM.
+ [AWSServiceRoleForAmazonEKSNodegroup](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForAmazonEKSNodegroup)
## Avviso di sicurezza: invio del ruolo con stella in azione e risorsa
**Codice del problema: **PASS\$1ROLE\$1WITH\$1STAR\$1IN\$1ACTION\$1AND\$1RESOURCE
**Tipo di esito: **SECURITY\$1WARNING
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Pass role with star in action and resource: Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."
```
**Risoluzione dell'avviso di sicurezza**
Per configurare molti AWS servizi, è necessario passare un ruolo IAM al servizio. Per consentire questo è necessario concedere l'autorizzazione `iam:PassRole` a un'identità (utente, gruppo di utenti o ruolo). Le policy con un carattere jolly (\$1) negli `Resource` elementi `Action` and possono consentire ai tuoi responsabili di accedere a più servizi o funzionalità di quanto previsto. AWS consiglia invece di specificare allowed ARNs nell'`Resource`elemento. Inoltre, è possibile ridurre le autorizzazioni per un singolo servizio utilizzando la chiave di condizione `iam:PassedToService`.
+ [Invio di un ruolo a un servizio](id_roles_use_passrole.md)
+ [scopo: PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Elementi delle policy JSON IAM: Action](reference_policies_elements_action.md)
+ [Elementi delle policy JSON IAM: Resource](reference_policies_elements_resource.md)
### AWS politiche gestite con questo avviso di sicurezza
[AWS le politiche gestite](access_policies_managed-vs-inline.md#aws-managed-policies) consentono di iniziare AWS assegnando autorizzazioni in base a casi AWS d'uso generali.
Alcuni di questi casi d'uso sono destinati agli amministratori del tuo account. Le seguenti politiche AWS gestite forniscono l'accesso all'amministratore e concedono le autorizzazioni per trasferire qualsiasi ruolo IAM a qualsiasi servizio. AWS AWS consiglia di allegare le seguenti politiche AWS gestite solo alle identità IAM che consideri amministratori.
+ [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)
+ [IAMFullAccesso](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess)
## Avviso di sicurezza: assegna il ruolo di star nelle risorse e NotAction
**Codice del problema: **PASS\$1ROLE\$1WITH\$1STAR\$1IN\$1RESOURCE\$1AND\$1NOT\$1ACTION
**Tipo di esito: **SECURITY\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Pass role with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."
```
**Risoluzione dell'avviso di sicurezza**
Per configurare molti AWS servizi, è necessario passare un ruolo IAM al servizio. Per consentire questo è necessario concedere l'autorizzazione `iam:PassRole` a un'identità (utente, gruppo di utenti o ruolo). L'utilizzo dell'`NotAction`elemento in una policy con un carattere jolly (\$1) nell'`Resource`elemento può consentire ai responsabili di accedere a più servizi o funzionalità di quanto previsto. AWS consiglia invece di specificare allowed ARNs nell'`Resource`elemento. Inoltre, è possibile ridurre le autorizzazioni per un singolo servizio utilizzando la chiave di condizione `iam:PassedToService`.
+ [Invio di un ruolo a un servizio](id_roles_use_passrole.md)
+ [scopo: PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Elementi della policy IAM JSON: NotAction](reference_policies_elements_notaction.md)
+ [Elementi delle policy JSON IAM: Action](reference_policies_elements_action.md)
+ [Elementi delle policy JSON IAM: Resource](reference_policies_elements_resource.md)
## Avviso di sicurezza: chiavi di condizione abbinate mancanti
**Codice del problema: **MISSING\$1PAIRED\$1CONDITION\$1KEYS
**Tipo di esito: **SECURITY\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Missing paired condition keys: Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block."
```
**Risoluzione dell'avviso di sicurezza**
Alcune chiavi di condizione sono più sicure se abbinate ad altre chiavi di condizione correlate. AWS consiglia di includere le chiavi di condizione correlate nello stesso blocco di condizione della chiave di condizione esistente. Ciò rende più sicure le autorizzazioni concesse tramite la policy.
Ad esempio, è possibile utilizzare la chiave di condizione `aws:VpcSourceIp` per confrontare l'indirizzo IP da cui è stata effettuata una richiesta con l'indirizzo IP specificato nella policy. AWS consiglia di aggiungere la chiave di condizione `aws:SourceVPC` correlata. Controlla se la richiesta proviene dal VPC specificato nella policy *e* l'indirizzo IP specificato.
**Termini correlati**
+ [Chiave della condizione globale di `aws:VpcSourceIp`](reference_policies_condition-keys.md#condition-keys-vpcsourceip)
+ [Chiave della condizione globale di `aws:SourceVPC`](reference_policies_condition-keys.md#condition-keys-sourcevpc)
+ [Chiavi della condizione globale](reference_policies_condition-keys.md)
+ [Elemento condizione](reference_policies_elements_condition.md)
+ [Panoramica delle policy JSON](access_policies.md#access_policies-json)
## Avviso di sicurezza: Rifiuta con chiave di condizione tag non supportata per il servizio
**Codice del problema: **DENY\$1WITH\$1UNSUPPORTED\$1TAG\$1CONDITION\$1KEY\$1FOR\$1SERVICE
**Tipo di esito: **SECURITY\$1WARNING
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Deny with unsupported tag condition key for service: Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key."
```
**Risoluzione dell'avviso di sicurezza**
L'utilizzo di chiavi di condizione dei tag non supportate nell'`Condition`elemento di una policy with `"Effect": "Deny"` può essere eccessivamente permissivo, poiché la condizione viene ignorata per quel servizio. AWS consiglia di rimuovere le azioni di servizio che non supportano la chiave di condizione e di creare un'altra istruzione per negare l'accesso a risorse specifiche per tali azioni.
Se utilizzi la chiave di condizione `aws:ResourceTag` e non è supportata da un'operazione di servizio, la chiave non viene inclusa nel contesto della richiesta. In questo caso, la condizione nell'istruzione `Deny` restituisce sempre `false` e l'operazione non viene mai negata. Ciò accade anche se la risorsa è taggata correttamente.
Quando un servizio supporta la chiave di condizione `aws:ResourceTag`, è possibile utilizzare i tag per controllare l'accesso alle risorse del servizio. Questo è noto come [controllo degli accessi basato su attributi (ABAC)](introduction_attribute-based-access-control.md). I servizi che non supportano queste chiavi richiedono il controllo dell'accesso alle risorse tramite il [controllo degli accessi basato su risorse (RBAC)](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac).
**Nota**
Alcuni servizi consentono il supporto per la chiave di condizione `aws:ResourceTag` per un sottoinsieme di risorse e operazioni. Sistema di analisi degli accessi IAM restituisce risultati per le operazioni di servizio non supportate. Ad esempio, Amazon S3 supporta `aws:ResourceTag` per un sottoinsieme delle relative risorse. Per visualizzare tutti i tipi di risorse disponibili in Amazon S3 che supportano la chiave di condizione `aws:ResourceTag`, consulta [Tipi di risorse definiti da Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies) in Service Authorization Reference.
Ad esempio, supponiamo che tu desideri rifiutare l'accesso per rimuovere tag da risorse specifiche che sono taggate con la coppia chiave-valore `status=Confidential`. Supponiamo inoltre che ciò AWS Lambda consenta di etichettare e rimuovere i tag dalle risorse, ma non supporti la chiave di `aws:ResourceTag` condizione. Per negare le azioni di eliminazione per AWS App Mesh e AWS Backup se questo tag è presente, usa il tasto `aws:ResourceTag` condition. Per Lambda, utilizza una convenzione di denominazione delle risorse che include il prefisso `"Confidential"`. Quindi includi un'istruzione separata che impedisca l'eliminazione delle risorse con tale convenzione di denominazione.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyDeleteSupported",
"Effect": "Deny",
"Action": [
"appmesh:DeleteMesh",
"backup:DeleteBackupPlan"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/status": "Confidential"
}
}
},
{
"Sid": "DenyDeleteUnsupported",
"Effect": "Deny",
"Action": "lambda:DeleteFunction",
"Resource": "arn:aws:lambda:*:123456789012:function:status-Confidential*"
}
]
}
```
**avvertimento**
Non utilizzare la [IfExists](reference_policies_elements_condition_operators.md#Conditions_IfExists)versione... dell'operatore di condizione come soluzione alternativa per questo risultato. Questo significa "Rifiuta l'operazione se la chiave è presente nel contesto della richiesta e i valori corrispondono. Altrimenti, rifiuta l'operazione". Nell'esempio precedente, inclusa l'operazione `lambda:DeleteFunction` nell'istruzione `DenyDeleteSupported` con l'operatore `StringEqualsIfExists` rifiuta sempre sempre l'operazione. Per tale operazione, la chiave non è presente nel contesto e ogni tentativo di eliminare tale tipo di risorsa viene negato, indipendentemente dal fatto che la risorsa sia taggata o meno.
**Termini correlati**
+ [Chiavi della condizione globale](reference_policies_condition-keys.md)
+ [Confronto tra ABAC e RBAC](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac)
+ [Elementi della policy JSON IAM: operatori di condizione](reference_policies_elements_condition_operators.md)
+ [Elemento condizione](reference_policies_elements_condition.md)
+ [Panoramica delle policy JSON](access_policies.md#access_policies-json)
## Avviso di sicurezza: nega NotAction con tag non supportato (chiave di condizione per il servizio).
**Codice del problema: **DENY\$1NOTACTION\$1WITH\$1UNSUPPORTED\$1TAG\$1CONDITION\$1KEY\$1FOR\$1SERVICE
**Tipo di esito: **SECURITY\$1WARNING
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Deny NotAction with unsupported tag condition key for service: Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."
```
**Risoluzione dell'avviso di sicurezza**
L'uso delle chiavi di condizione dei tag nell'elemento `Condition` di una policy con l'elemento `NotAction` e `"Effect": "Deny"` può essere eccessivamente permissivo. La condizione viene ignorata per le azioni di servizio che non supportano la chiave di condizione. AWS consiglia di riscrivere la logica per negare un elenco di azioni.
Se utilizzi la chiave di condizione `aws:ResourceTag` con `NotAction`, tutte le operazioni di servizio nuove o esistenti che non supportano la chiave non vengono rifiutate. AWS consiglia di elencare esplicitamente le operazioni che si desidera negare. Sistema di analisi degli accessi IAM restituisce una ricerca separata per le operazioni elencate che non supportano la chiave di condizione `aws:ResourceTag`. Per ulteriori informazioni, consulta [Avviso di sicurezza: Rifiuta con chiave di condizione tag non supportata per il servizio](#access-analyzer-reference-policy-checks-security-warning-deny-with-unsupported-tag-condition-key-for-service).
Quando un servizio supporta la chiave di condizione `aws:ResourceTag`, è possibile utilizzare i tag per controllare l'accesso alle risorse del servizio. Questo è noto come [controllo degli accessi basato su attributi (ABAC)](introduction_attribute-based-access-control.md). I servizi che non supportano queste chiavi richiedono il controllo dell'accesso alle risorse tramite il [controllo degli accessi basato su risorse (RBAC)](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac).
**Termini correlati**
+ [Chiavi della condizione globale](reference_policies_condition-keys.md)
+ [Confronto tra ABAC e RBAC](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac)
+ [Elementi della policy JSON IAM: operatori di condizione](reference_policies_elements_condition_operators.md)
+ [Elemento condizione](reference_policies_elements_condition.md)
+ [Panoramica delle policy JSON](access_policies.md#access_policies-json)
## Avviso di sicurezza: limita l'accesso al principale del servizio
**Codice del problema: **RESTRICT\$1ACCESS\$1TO\$1SERVICE\$1PRINCIPAL
**Tipo di esito: **SECURITY\$1WARNING
**Trovare i dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Restrict access to service principal: Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access."
```
**Risoluzione dell'avviso di sicurezza**
È possibile specificare Servizi AWS nell'`Principal`elemento di una politica basata sulle risorse utilizzando un service principal, che è un identificatore del servizio. Quando concedi l'accesso a un principale del servizio per agire per conto tuo, limita l'accesso. È possibile evitare politiche eccessivamente permissive utilizzando le chiavi`aws:SourceArn`, `aws:SourceAccount``aws:SourceOrgID`, o `aws:SourceOrgPaths` condition per limitare l'accesso a una fonte specifica, ad esempio l'ARN di una risorsa specifica, l'ID dell'organizzazione o i percorsi Account AWS dell'organizzazione. La limitazione dell'accesso consente di prevenire un problema di sicurezza chiamato *problema del "confused deputy"*.
**Termini correlati**
+ [Servizio AWS presidi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)
+ [AWS chiavi di condizione globali: aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)
+ [AWS chiavi di condizione globali: aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)
+ [AWS chiavi di condizione globali: aws: SourceOrgId](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid)
+ [AWS chiavi di condizione globali: aws: SourceOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths)
+ [Problema del "confused deputy"](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)
## Avviso di sicurezza: chiavi di condizione mancante per il principale oidc
**Codice del problema: **MISSING\$1CONDITION\$1KEY\$1FOR\$1OIDC\$1PRINCIPAL
**Tipo di esito: **SECURITY\$1WARNING
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Missing condition key for oidc principal: Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role."
```
**Risoluzione dell'avviso di sicurezza**
L'utilizzo di un principale Open ID Connect senza una condizione può essere eccessivamente permissivo. Aggiungi chiavi di condizione con un prefisso che corrisponda ai principali OIDC federati per assicurarti che solo il provider di identità previsto assuma il ruolo.
**Termini correlati**
+ [Creazione di un ruolo per la federazione di identità Web oppure OpenID Connect (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html)
## Avviso di sicurezza: chiavi di condizione repository github mancanti
**Codice del problema: **MISSING\$1GITHUB\$1REPO\$1CONDITION\$1KEY
**Tipo di esito: **SECURITY\$1WARNING
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Missing github repo condition key: Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value."
```
**Risoluzione dell'avviso di sicurezza**
Se lo utilizzi GitHub come IdP OIDC, la best practice consiste nel limitare le entità che possono assumere il ruolo associato all'IDP IAM. Quando includi una `Condition` dichiarazione in una policy sulla fiducia dei ruoli, puoi limitare il ruolo a un' GitHub organizzazione, un repository o una filiale specifici. Puoi utilizzare la chiave della condizione `token.actions.githubusercontent.com:sub` per limitare l'accesso. Ti consigliamo di limitare la condizione a un insieme specifico di repository o rami. Se non includi questa condizione, GitHub le azioni di organizzazioni o repository al di fuori del tuo controllo possono assumere ruoli associati all'IdP GitHub IAM nel AWS tuo account.
**Termini correlati**
+ [Configurazione di un ruolo per GitHub il provider di identità OIDC](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html#idp_oidc_Create_GitHub)
## Avviso di sicurezza: operatore simile a una stringa con chiavi di condizione ARN
**Codice del problema: **STRING\$1LIKE\$1OPERATOR\$1WITH\$1ARN\$1CONDITION\$1KEYS
**Tipo di esito: **SECURITY\$1WARNING
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
String like operator with ARN condition keys: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."
```
**Risoluzione dell'avviso di sicurezza**
AWS consiglia di utilizzare operatori ARN anziché operatori stringa durante il confronto ARNs per garantire una restrizione di accesso adeguata in base ai valori delle condizioni ARN. Aggiorna l'operatore `StringLike` con l'operatore `ArnLike` del tuo elemento `Condition` ogni volta che viene utilizzata la chiave specificata.
Queste politiche AWS gestite sono eccezioni a questo avviso di sicurezza:
+ [AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeAdministrator.html)
+ [AWSCodePipeline\$1FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodePipeline_FullAccess.html)
+ [AWSCodePipeline\$1ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodePipeline_ReadOnlyAccess.html)
+ [S3UnlockBucketPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/S3UnlockBucketPolicy.html)
+ [SQSUnlockQueuePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SQSUnlockQueuePolicy.html)
**Termini correlati**
+ [Operatori di condizione del nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_ARN)
+ [Operatori di condizione stringa](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)
+ [AWS politiche gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
## Avviso di sicurezza: ForAnyValue con il tipo di dichiarazione del pubblico
**Codice del problema: **FORANYVALUE\$1WITH\$1AUDIENCE\$1CLAIM\$1TYPE
**Tipo di esito: **SECURITY\$1WARNING
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
ForAnyValue with audience claim type: Using ForAnyValue qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAnyValue:.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using ForAnyValue qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAnyValue:."
```
**Risoluzione dell'avviso di sicurezza**
AWS consiglia di non utilizzare l'operatore `ForAnyValue` set con chiavi di condizione a valore singolo. Utilizza gli operatori di insieme solo con le chiavi della condizione multivalore. Rimuovi l’operatore di insieme `ForAnyValue`.
**Termini correlati**
+ [Chiavi di contesto a valore singolo e chiavi di contesto multivalore](reference_policies_condition-single-vs-multi-valued-context-keys.md)
+ [Esempi di politiche chiave di contesto a valore singolo](reference_policies_condition_examples-single-valued-context-keys.md)
## Suggerimento: operazione array vuota
**Codice del problema: **EMPTY\$1ARRAY\$1ACTION
**Tipo di esito: **SUGGESTION
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Empty array action: This statement includes no actions and does not affect the policy. Specify actions.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "This statement includes no actions and does not affect the policy. Specify actions."
```
**Risoluzione del suggerimento**
Le istruzioni devono includere un elemento `Action` o `NotAction` che include un insieme di azioni. Quando l'elemento è vuoto, l'istruzione della policy non fornisce autorizzazioni. Specifica le operazioni nell'elemento `Action`.
+ [Elementi delle policy JSON IAM: Action](reference_policies_elements_action.md)
## Suggerimento: condizione array vuota
**Codice del problema: **EMPTY\$1ARRAY\$1CONDITION
**Tipo di esito: **SUGGESTION
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Empty array condition: There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions."
```
**Risoluzione del suggerimento**
La struttura dell'elemento `Condition` facoltativa richiede l'utilizzo di un operatore di condizione e di una coppia chiave-valore. Quando il valore della condizione è vuoto, la condizione restituisce `true` e l'istruzione della policy non fornisce autorizzazioni. Specifica un valore di condizione.
+ [Elementi della policy JSON IAM: Condition](reference_policies_elements_condition.md)
## Suggerimento: condizione di matrice vuota ForAllValues
**Codice del problema: **EMPTY\$1ARRAY\$1CONDITION\$1FORALLVALUES
**Tipo di esito: **SUGGESTION
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Empty array condition ForAllValues: The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."
```
**Risoluzione del suggerimento**
La struttura dell'elemento `Condition` richiede l'utilizzo di un operatore di condizione e di una coppia chiave-valore. L'operatore impostato `ForAllValues` verifica se il valore di ogni membro del set di richieste è un sottoinsieme del set di chiavi di condizione.
Quando si utilizza `ForAllValues` con una chiave di condizione vuota, la condizione corrisponde solo se non ci sono chiavi nella richiesta. AWS consiglia, se si desidera verificare se un contesto di richiesta è vuoto, di utilizzare invece l'operatore di condizione `Null`.
+ [Chiavi di contesto multivalore](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)
+ [Operatore di condizione null](reference_policies_elements_condition_operators.md#Conditions_Null)
+ [Elementi della policy JSON IAM: Condition](reference_policies_elements_condition.md)
## Suggerimento: condizione di matrice vuota ForAnyValue
**Codice del problema: **EMPTY\$1ARRAY\$1CONDITION\$1FORANYVALUE
**Tipo di esito: **SUGGESTION
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Empty array condition ForAnyValue: The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions."
```
**Risoluzione del suggerimento**
La struttura dell'elemento `Condition` richiede l'utilizzo di un operatore di condizione e di una coppia chiave-valore. L'operatore impostato `ForAnyValues` verifica se almeno un membro del set di valori di richiesta è corrispondente ad almeno un membro del set di valori delle chiavi di condizione.
Quando utilizzi `ForAnyValues` con una chiave di condizione vuota, la condizione non corrisponde mai. Ciò significa che la dichiarazione non ha alcun effetto sulla politica. AWS consiglia di riscrivere la condizione.
+ [Chiavi di contesto multivalore](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)
+ [Elementi della policy JSON IAM: Condition](reference_policies_elements_condition.md)
## Suggerimento: condizione di matrice vuota IfExists
**Codice del problema: **EMPTY\$1ARRAY\$1CONDITION\$1IFEXISTS
**Tipo di esito: **SUGGESTION
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Empty array condition IfExists: The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."
```
**Risoluzione del suggerimento**
Il suffisso `...IfExists` modifica un operatore di condizione. Ciò significa che se la chiave di policy è presente nel contesto della richiesta, la chiave deve essere elaborata come specificato nella policy. Se la chiave non è presente, l'elemento della condizione viene valutato come true (VERO).
Quando si utilizza `...IfExists` con una chiave di condizione vuota, la condizione corrisponde solo se non ci sono chiavi nella richiesta. AWS consiglia, se si desidera verificare se un contesto di richiesta è vuoto, di utilizzare invece l'operatore di condizione `Null`.
+ [... IfExists operatori di condizionamento](reference_policies_elements_condition_operators.md#Conditions_IfExists)
+ [Elementi della policy JSON IAM: Condition](reference_policies_elements_condition.md)
## Suggerimento: principale array vuoto
**Codice del problema: **EMPTY\$1ARRAY\$1PRINCIPAL
**Tipo di esito: **SUGGESTION
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Empty array principal: This statement includes no principals and does not affect the policy. Specify principals.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."
```
**Risoluzione del suggerimento**
È necessario utilizzare l'elemento `Principal` o `NotPrincipal` nelle policy di attendibilità per i ruoli IAM e nelle policy basate sulle risorse. Le policy basate su risorse sono policy che vengono incorporate direttamente in una risorsa.
Quando si fornisce una matrice vuota nell'`Principal`elemento di un'istruzione, l'istruzione non ha alcun effetto sulla politica. AWS consiglia di specificare i responsabili che devono avere accesso alla risorsa.
+ [Elementi delle policy JSON IAM: Principal](reference_policies_elements_principal.md)
+ [Elementi della policy IAM JSON: NotPrincipal](reference_policies_elements_notprincipal.md)
## Suggerimento: risorsa array vuota
**Codice del problema: **EMPTY\$1ARRAY\$1RESOURCE
**Tipo di esito: **SUGGESTION
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Empty array resource: This statement includes no resources and does not affect the policy. Specify resources.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "This statement includes no resources and does not affect the policy. Specify resources."
```
**Risoluzione del suggerimento**
Le istruzioni devono includere un elemento `Resource` o un elemento `NotResource`.
Quando si fornisce un array vuoto nell'elemento risorsa di un'istruzione, l'istruzione non ha alcun effetto sulla politica. AWS consiglia di specificare Amazon Resource Names (ARNs) per le risorse.
+ [Elementi delle policy JSON IAM: Resource](reference_policies_elements_resource.md)
+ [Elementi della policy IAM JSON: NotResource](reference_policies_elements_notresource.md)
## Suggerimento: condizione oggetto vuota
**Codice del problema: **EMPTY\$1OBJECT\$1CONDITION
**Tipo di esito: **SUGGESTION
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Empty object condition: This condition block is empty and it does not affect the policy. Specify conditions.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "This condition block is empty and it does not affect the policy. Specify conditions."
```
**Risoluzione del suggerimento**
La struttura dell'elemento `Condition` richiede l'utilizzo di un operatore di condizione e di una coppia chiave-valore.
Quando si specifica un oggetto vuoto nell'elemento di condizione di un'istruzione, l'istruzione non ha alcun effetto sulla policy. Rimuovi l'elemento facoltativo o specifica le condizioni.
+ [Elementi della policy JSON IAM: Condition](reference_policies_elements_condition.md)
## Suggerimento: principale oggetto vuoto
**Codice del problema: **EMPTY\$1OBJECT\$1PRINCIPAL
**Tipo di esito: **SUGGESTION
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Empty object principal: This statement includes no principals and does not affect the policy. Specify principals.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."
```
**Risoluzione del suggerimento**
È necessario utilizzare l'elemento `Principal` o `NotPrincipal` nelle policy di attendibilità per i ruoli IAM e nelle policy basate sulle risorse. Le policy basate su risorse sono policy che vengono incorporate direttamente in una risorsa.
Quando si fornisce un oggetto vuoto nell'`Principal`elemento di un'istruzione, l'istruzione non ha alcun effetto sulla politica. AWS consiglia di specificare i responsabili che devono avere accesso alla risorsa.
+ [Elementi delle policy JSON IAM: Principal](reference_policies_elements_principal.md)
+ [Elementi della policy IAM JSON: NotPrincipal](reference_policies_elements_notprincipal.md)
## Suggerimento: valore sid vuoto
**Codice del problema: **EMPTY\$1SID\$1VALUE
**Tipo di esito: **SUGGESTION
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Empty Sid value: Add a value to the empty string in the Sid element.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Add a value to the empty string in the Sid element."
```
**Risoluzione del suggerimento**
L'elemento `Sid` (ID istruzione) facoltativo consente di immettere un identificatore fornito per l'istruzione della policy. Puoi assegnare un valore `Sid` a ogni istruzione in un array di istruzioni. Se scegli di utilizzare l'elemento `Sid`, devi fornire un valore di stringa.
**Termini correlati**
+ [Elementi delle policy JSON IAM: Sid](reference_policies_elements_sid.md)
## Suggerimento: equivalente a null false
**Codice del problema: **EQUIVALENT\$1TO\$1NULL\$1FALSE
**Tipo di esito: **SUGGESTION
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Equivalent to null false: We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: false} to ensure better enforcement of the condition.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: false} to ensure better enforcement of the condition."
```
**Risoluzione del suggerimento**
Sostituisci la chiave della condizione corrente con la chiave consigliata impostata su `false`. Questa modifica migliora la chiarezza delle policy e garantisce una valutazione delle condizioni più affidabile. Aggiorna il blocco delle condizioni per utilizzare `{recommendedKey}: false` al posto dell’attuale combinazione chiave-operatore.
**Termini correlati**
+ [Elementi della policy IAM: condizione](reference_policies_elements_condition.md)
+ [Condizioni con più chiavi o valori contestuali](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS chiavi contestuali di condizione globale](reference_policies_condition-keys.md)
## Suggerimento: equivalente a null true
**Codice del problema: **EQUIVALENT\$1TO\$1NULL\$1TRUE
**Tipo di esito: **SUGGESTION
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Equivalent to null true: We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: true} to ensure better enforcement of the condition.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: true} to ensure better enforcement of the condition."
```
**Risoluzione del suggerimento**
Sostituisci la chiave della condizione corrente con la chiave consigliata impostata su `true`. Questa modifica migliora la chiarezza delle policy e garantisce una valutazione delle condizioni più affidabile. Aggiorna il blocco delle condizioni per utilizzare `{recommendedKey}: true` al posto dell’attuale combinazione chiave-operatore.
**Termini correlati**
+ [Elementi della policy IAM: condizione](reference_policies_elements_condition.md)
+ [Condizioni con più chiavi o valori contestuali](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS chiavi contestuali di condizione globale](reference_policies_condition-keys.md)
## Suggerimento: migliora l'intervallo IP
**Codice del problema: **IMPROVE\$1IP\$1RANGE
**Tipo di esito: **SUGGESTION
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Improve IP range: The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}."
```
**Risoluzione del suggerimento**
Le condizioni dell'indirizzo IP devono essere nel formato CIDR standard, ad esempio 203.0.113.0/24 o 2001:: 1234:5678: :/64. DB8 Quando si includono bit diversi da zero dopo i bit mascherati, questi non vengono considerati per la condizione. AWS consiglia di utilizzare il nuovo indirizzo incluso nel messaggio.
+ [Operatori di condizione indirizzo IP](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ [Elementi della policy JSON IAM: Condition](reference_policies_elements_condition.md)
## Suggerimento: null con qualificatore
**Codice del problema: **NULL\$1WITH\$1QUALIFIER
**Tipo di esito: **SUGGESTION
**Trovare i dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Null with qualifier: Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively."
```
**Risoluzione del suggerimento**
Nell'elemento `Condition` è possibile creare espressioni in cui utilizzare operatori condizionali ("uguale a", "minore di" e così via) per confrontare le chiavi e i valori della policy rispetto alle chiavi e ai valori del contesto della richiesta. Per le richieste che includono più valori per una singola chiave di condizione, è necessario utilizzare gli operatori su set `ForAllValues` o `ForAnyValue`.
Quando si utilizza l'operatore di condizione `Null` con `ForAllValues`, l'istruzione restituisce sempre `true`. Quando si utilizza l'operatore di `Null` condizione con`ForAnyValue`, l'istruzione restituisce `false` sempre. AWS consiglia di utilizzare l'operatore di `StringLike` condizione con questi operatori di set.
**Termini correlati**
+ [Chiavi di contesto multivalore](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)
+ [Operatore di condizione null](reference_policies_elements_condition_operators.md#Conditions_Null)
+ [Elemento condizione](reference_policies_elements_condition.md)
## Suggerimento: sottoinsieme di indirizzi IP privati
**Codice del problema: **PRIVATE\$1IP\$1ADDRESS\$1SUBSET
**Tipo di esito: **SUGGESTION
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Private IP address subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."
```
**Risoluzione del suggerimento**
La chiave di condizione globale `aws:SourceIp` funziona solo per intervalli di indirizzi IP pubblici.
Se il tuo elemento `Condition` include un mix di indirizzi IP privati e pubblici, l'istruzione potrebbe non avere l'effetto desiderato. Non puoi specificare indirizzi IP privati utilizzando `aws:VpcSourceIP`.
**Nota**
La chiave di condizione globale `aws:VpcSourceIP` corrisponde solo se la richiesta proviene dall'indirizzo IP specificato e passa attraverso un endpoint VPC.
+ [aws: chiave di condizione SourceIp globale](reference_policies_condition-keys.md#condition-keys-sourceip)
+ [aws: chiave di condizione VpcSourceIp globale](reference_policies_condition-keys.md#condition-keys-vpcsourceip)
+ [Operatori di condizione indirizzo IP](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ [Elementi della policy JSON IAM: Condition](reference_policies_elements_condition.md)
## Suggerimento: sottoinsieme privato NotIpAddress
**Codice del problema: **PRIVATE\$1NOT\$1IP\$1ADDRESS\$1SUBSET
**Tipo di esito: **SUGGESTION
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Private NotIpAddress subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."
```
**Risoluzione del suggerimento**
La chiave di condizione globale `aws:SourceIp` funziona solo per intervalli di indirizzi IP pubblici.
Se il tuo elemento `Condition` include l'operatore di condizione `NotIpAddress` e un mix di indirizzi IP privati e pubblici, l'istruzione potrebbe non avere l'effetto desiderato. Ogni indirizzo IP pubblico non specificato nella policy corrisponderà. Nessun indirizzo IP privato corrisponderà. Per ottenere questo effetto, puoi usare `NotIpAddress` con `aws:VpcSourceIP` e specificare gli indirizzi IP privati che non devono corrispondere.
+ [aws: chiave di condizione SourceIp globale](reference_policies_condition-keys.md#condition-keys-sourceip)
+ [aws: chiave di condizione VpcSourceIp globale](reference_policies_condition-keys.md#condition-keys-vpcsourceip)
+ [Operatori di condizione indirizzo IP](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ [Elementi della policy JSON IAM: Condition](reference_policies_elements_condition.md)
## Suggerimento: azione ridondante
**Codice del problema: **REDUNDANT\$1ACTION
**Tipo di esito: **SUGGESTION
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Redundant action: The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}."
```
**Risoluzione del suggerimento**
Quando si utilizzano i caratteri jolly (\$1) nell'`Action`elemento, è possibile includere autorizzazioni ridondanti. AWS consiglia di rivedere la politica e di includere solo le autorizzazioni necessarie. In questo modo è possibile rimuovere le operazioni ridondanti.
Ad esempio, le operazioni riportate di seguito includono due volte l'operazione `iam:GetCredentialReport`.
```
"Action": [
"iam:Get*",
"iam:List*",
"iam:GetCredentialReport"
],
```
In questo esempio, le autorizzazioni sono definite per ogni operazione IAM che inizia con `Get` o `List`. Quando IAM aggiunge ulteriori operazioni get o list, questa policy le consentirà. Potresti voler consentire tutte queste azioni di sola lettura. L'operazione `iam:GetCredentialReport` è già inclusa come parte di `iam:Get*`. Per rimuovere le autorizzazioni duplicate, puoi rimuovere `iam:GetCredentialReport`.
Quando tutti i contenuti di un'operazione sono ridondanti, viene visualizzato un risultato per questo controllo delle policy. In questo esempio, se l'elemento includeva `iam:*CredentialReport`, non è considerato ridondante. Ciò include `iam:GetCredentialReport`, che è ridondante, e `iam:GenerateCredentialReport`, che non lo è. La rimozione di `iam:Get*` o `iam:*CredentialReport` modificherebbe le autorizzazioni della policy.
+ [Elementi delle policy JSON IAM: Action](reference_policies_elements_action.md)
### AWS politiche gestite con questo suggerimento
[AWS le politiche gestite consentono di](access_policies_managed-vs-inline.md#aws-managed-policies) iniziare con l'assegnazione AWS di autorizzazioni in base a casi d'uso generali AWS .
Le operazioni ridondanti non influenzano le autorizzazioni concesse dalla policy. Quando si utilizza una policy AWS gestita come riferimento per creare una policy gestita dai clienti, si AWS consiglia di rimuovere le azioni ridondanti dalla policy.
## Suggerimento: valore condizione ridondante num
**Codice del problema: **REDUNDANT\$1CONDITION\$1VALUE\$1NUM
**Tipo di esito: **SUGGESTION
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Redundant condition value num: Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}."
```
**Risoluzione del suggerimento**
Quando si utilizzano operatori di condizioni numeriche per valori simili in una chiave di condizione, è possibile creare una sovrapposizione che si traduce in autorizzazioni ridondanti.
Ad esempio, il seguente elemento `Condition` include più condizioni `aws:MultiFactorAuthAge` che hanno una sovrapposizione di età di 1200 secondi.
```
"Condition": {
"NumericLessThan": {
"aws:MultiFactorAuthAge": [
"2700",
"3600"
]
}
}
```
In questo esempio, le autorizzazioni vengono definite se l'autenticazione a più fattori (MFA) è stata completata meno di 3600 secondi (1 ora) fa. È possibile rimuovere il valore `2700` ridondante.
+ [Operatori di condizione numerici](reference_policies_elements_condition_operators.md#Conditions_Numeric)
+ [Elementi della policy JSON IAM: Condition](reference_policies_elements_condition.md)
## Suggerimento: risorsa ridondante
**Codice del problema: **REDUNDANT\$1RESOURCE
**Tipo di esito: **SUGGESTION
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Redundant resource: The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)"
```
**Risoluzione del suggerimento**
Quando utilizzi i caratteri jolly (\$1) in Amazon Resource Names (ARNs), puoi creare autorizzazioni ridondanti per le risorse.
Ad esempio, il seguente `Resource` elemento include più ARNs autorizzazioni con autorizzazioni ridondanti.
```
"Resource": [
"arn:aws:iam::111122223333:role/jane-admin",
"arn:aws:iam::111122223333:role/jane-s3only",
"arn:aws:iam::111122223333:role/jane*"
],
```
In questo esempio, le autorizzazioni sono definite per qualsiasi ruolo con un nome che inizia con `jane`. È possibile rimuovere i permessi ridondanti `jane-admin` e `jane-s3only` ARNs senza modificare i permessi risultanti. Questo rende la policy dinamica. Definirà le autorizzazioni per tutti i ruoli futuri che iniziano con `jane`. Se l'intenzione della policy è consentire l'accesso a un numero statico di ruoli, rimuovi l'ultimo ARN ed elenca solo ARNs quello che deve essere definito.
+ [Elementi delle policy JSON IAM: Resource](reference_policies_elements_resource.md)
### AWS politiche gestite con questo suggerimento
[AWS le politiche gestite consentono di](access_policies_managed-vs-inline.md#aws-managed-policies) iniziare con l'assegnazione AWS di autorizzazioni in base a casi d'uso generali AWS .
Le operazioni ridondanti non influenzano le autorizzazioni concesse dalla policy. Quando si utilizza una policy AWS gestita come riferimento per creare una policy gestita dai clienti, si AWS consiglia di rimuovere le risorse ridondanti dalla policy.
## Suggerimento: istruzione ridondante
**Codice del problema: **REDUNDANT\$1STATEMENT
**Tipo di esito: **SUGGESTION
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Redundant statement: The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement."
```
**Risoluzione del suggerimento**
L'elemento `Statement` è l'elemento principale per una policy. Questa elemento è obbligatorio. L'elemento `Statement` può contenere una singola istruzione o una matrice di singole istruzioni.
Quando si include la stessa istruzione più di una volta in una policy lunga, le istruzioni sono ridondanti. È possibile rimuovere una delle istruzioni senza influire sulle autorizzazioni concesse dalla policy. Quando un utente modifica una policy, potrebbe modificare una delle istruzioni senza aggiornare il duplicato. Ciò potrebbe comportare un numero di autorizzazioni maggiore del previsto.
+ [Elementi delle policy IAM JSON: istruzione](reference_policies_elements_statement.md)
## Suggerimento: carattere jolly nel nome del servizio
**Codice del problema: **WILDCARD\$1IN\$1SERVICE\$1NAME
**Tipo di esito: **SUGGESTION
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Wildcard in service name: Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names."
```
**Risoluzione del suggerimento**
Quando si include il nome di un AWS servizio in una policy, si AWS consiglia di non includere caratteri jolly (\$1,?). Ciò potrebbe aggiungere autorizzazioni per servizi futuri non previsti. Ad esempio, esistono più di una dozzina di AWS servizi il cui nome contiene la parola`*code*`.
```
"Resource": "arn:aws:*code*::111122223333:*"
```
+ [Elementi delle policy JSON IAM: Resource](reference_policies_elements_resource.md)
## Suggerimento: consenti con chiave di condizione tag non supportata per il servizio
**Codice del problema: **ALLOW\$1WITH\$1UNSUPPORTED\$1TAG\$1CONDITION\$1KEY\$1FOR\$1SERVICE
**Tipo di esito: **SUGGESTION
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Allow with unsupported tag condition key for service: Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key."
```
**Risoluzione del suggerimento**
L'utilizzo di chiavi di condizione dei tag non supportate nell'`Condition`elemento di una policy con non `"Effect": "Allow"` influisce sulle autorizzazioni concesse dalla policy, poiché la condizione viene ignorata per quell'azione di servizio. AWS consiglia di rimuovere le azioni per i servizi che non supportano la chiave di condizione e di creare un'altra istruzione per consentire l'accesso a risorse specifiche di quel servizio.
Se utilizzi la chiave di condizione `aws:ResourceTag` e non è supportata da un'operazione di servizio, la chiave non viene inclusa nel contesto della richiesta. In questo caso, la condizione nell'istruzione `Allow` restituisce sempre `false` e l'operazione non viene mai rifiutata. Ciò accade anche se la risorsa è taggata correttamente.
Quando un servizio supporta la chiave di condizione `aws:ResourceTag`, è possibile utilizzare i tag per controllare l'accesso alle risorse del servizio. Questo è noto come [controllo degli accessi basato su attributi (ABAC)](introduction_attribute-based-access-control.md). I servizi che non supportano queste chiavi richiedono il controllo dell'accesso alle risorse tramite il [controllo degli accessi basato su risorse (RBAC)](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac).
**Nota**
Alcuni servizi consentono il supporto per la chiave di condizione `aws:ResourceTag` per un sottoinsieme di risorse e operazioni. Sistema di analisi degli accessi IAM restituisce risultati per le operazioni di servizio non supportate. Ad esempio, Amazon S3 supporta `aws:ResourceTag` per un sottoinsieme delle relative risorse. Per visualizzare tutti i tipi di risorse disponibili in Amazon S3 che supportano la chiave di condizione `aws:ResourceTag`, consulta [Tipi di risorse definiti da Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies) in Service Authorization Reference.
Ad esempio, supponiamo che tu desideri consentire ai membri del team di visualizzare i dettagli per le risorse specifiche che sono taggate con la coppia chiave-valore `team=BumbleBee`. Supponiamo inoltre che ciò AWS Lambda consenta di etichettare le risorse, ma non supporti la chiave di `aws:ResourceTag` condizione. Per consentire le azioni di visualizzazione per AWS App Mesh e AWS Backup se questo tag è presente, usa il tasto `aws:ResourceTag` condition. Per Lambda, utilizza una convenzione di denominazione delle risorse che include il nome del team come prefisso. Quindi includi un'istruzione separata che consenta la visualizzazione delle risorse con tale convenzione di denominazione.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowViewSupported",
"Effect": "Allow",
"Action": [
"appmesh:DescribeMesh",
"backup:GetBackupPlan"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/team": "BumbleBee"
}
}
},
{
"Sid": "AllowViewUnsupported",
"Effect": "Allow",
"Action": "lambda:GetFunction",
"Resource": "arn:aws:lambda:*:123456789012:function:team-BumbleBee*"
}
]
}
```
**avvertimento**
Non utilizzare la `Not` [versione dell'operatore di condizione](reference_policies_elements_condition_operators.md) con `"Effect": "Allow"` come soluzione alternativa per questo risultato. Questi operatori di condizione forniscono la corrispondenza negata. Ciò significa che dopo che la condizione è stata valutata, il risultato viene negato. Nell'esempio precedente, che include l'operazione `lambda:GetFunction` nell'istruzione `AllowViewSupported` con l'operatore `StringNotEquals` consente sempre l'operazione, indipendentemente dal fatto che la risorsa sia taggata o meno.
Non utilizzare la [IfExists](reference_policies_elements_condition_operators.md#Conditions_IfExists)versione... dell'operatore di condizione come soluzione alternativa per questo risultato. Questo significa "Consenti l'operazione se la chiave è presente nel contesto della richiesta e i valori corrispondono. Altrimenti, autorizza l'operazione." Nell'esempio precedente, inclusa l'operazione `lambda:GetFunction` nell'istruzione `AllowViewSupported` con l'operatore `StringEqualsIfExists` consente sempre l'operazione. Per tale operazione, la chiave non è presente nel contesto e ogni tentativo di visualizzare tale tipo di risorsa viene negato, indipendentemente dal fatto che la risorsa sia taggata o meno.
**Termini correlati**
+ [Chiavi della condizione globale](reference_policies_condition-keys.md)
+ [Elementi della policy JSON IAM: operatori di condizione](reference_policies_elements_condition_operators.md)
+ [Elemento condizione](reference_policies_elements_condition.md)
+ [Panoramica delle policy JSON](access_policies.md#access_policies-json)
## Suggerimento: consenti NotAction con tag non supportato, chiave di condizione per il servizio.
**Codice del problema: **ALLOW\$1NOTACTION\$1WITH\$1UNSUPPORTED\$1TAG\$1CONDITION\$1KEY\$1FOR\$1SERVICE
**Tipo di esito: **SUGGESTION
**Individuazione di dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Allow NotAction with unsupported tag condition key for service: Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."
```
**Risoluzione del suggerimento**
L'uso delle chiavi di condizione dei tag non supportate nell'elemento `Condition` di una policy con l'elemento `NotAction` e `"Effect": "Allow"` non influisce sulle autorizzazioni concesse dai policy. La condizione viene ignorata per le azioni di servizio che non supportano la chiave di condizione. AWS consiglia di riscrivere la logica per consentire un elenco di azioni.
Se utilizzi la chiave di condizione `aws:ResourceTag` con `NotAction`, tutte le operazioni di servizio nuove o esistenti che non supportano la chiave non vengono rifiutate. AWS consiglia di elencare esplicitamente le operazioni che si desidera consentire. Sistema di analisi degli accessi AWS IAM restituisce una ricerca separata per le operazioni elencate che non supportano la chiave di condizione `aws:ResourceTag`. Per ulteriori informazioni, consulta [Suggerimento: consenti con chiave di condizione tag non supportata per il servizio](#access-analyzer-reference-policy-checks-suggestion-allow-with-unsupported-tag-condition-key-for-service).
Quando un servizio supporta la chiave di condizione `aws:ResourceTag`, è possibile utilizzare i tag per controllare l'accesso alle risorse del servizio. Questo è noto come [controllo degli accessi basato su attributi (ABAC)](introduction_attribute-based-access-control.md). I servizi che non supportano queste chiavi richiedono il controllo dell'accesso alle risorse tramite il [controllo degli accessi basato su risorse (RBAC)](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac).
**Termini correlati**
+ [Chiavi della condizione globale](reference_policies_condition-keys.md)
+ [Confronto tra ABAC e RBAC](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac)
+ [Elementi della policy JSON IAM: operatori di condizione](reference_policies_elements_condition_operators.md)
+ [Elemento condizione](reference_policies_elements_condition.md)
+ [Panoramica delle policy JSON](access_policies.md#access_policies-json)
## Suggerimento: chiave di condizione consigliata per il principale del servizio
**Codice del problema: **RECOMMENDED\$1CONDITION\$1KEY\$1FOR\$1SERVICE\$1PRINCIPAL
**Tipo di esito: **SUGGESTION
**Trovare i dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Recommended condition key for service principal: To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}."
```
**Risoluzione del suggerimento**
È possibile specificare Servizi AWS nell'`Principal`elemento di una politica basata sulle risorse utilizzando un *service principal*, che è un identificatore del servizio. Quando si concede l'accesso ai principali del servizio, è consigliabile utilizzare le chiavi di condizione `aws:SourceArn`, `aws:SourceAccount`, `aws:SourceOrgID` o `aws:SourceOrgPaths` anziché altre chiavi di condizione, come `aws:Referer`. Questo aiuta a prevenire un problema di sicurezza chiamato *problema del "confused deputy"*.
**Termini correlati**
+ [Servizio AWS presidi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)
+ [AWS chiavi di condizione globali: aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)
+ [AWS chiavi di condizione globali: aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)
+ [AWS chiavi di condizione globali: aws: SourceOrgId](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid)
+ [AWS chiavi di condizione globali: aws: SourceOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths)
+ [Problema del "confused deputy"](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)
## Suggerimento: chiave di condizione irrilevante nella policy
**Codice del problema: **IRRELEVANT\$1CONDITION\$1KEY\$1IN\$1POLICY
**Tipo di esito: **SUGGESTION
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Irrelevant condition key in policy: The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource."
```
**Risoluzione del suggerimento**
Alcune chiavi di condizione non sono rilevanti per le policy basate sulle risorse. Ad esempio, la chiave di condizione `s3:ResourceAccount` non è rilevante per la polocy basata sulle risorse collegata a un tipo di risorsa bucket Amazon S3 o a un punto di accesso Amazon S3.
Puoi utilizzare la chiave di condizione nella policy basata sulle identità per controllare l'accesso alla risorsa.
**Termini correlati**
+ [Policy basate sulle identità e policy basate su risorse](access_policies_identity-vs-resource.md)
## Suggerimento: chiave ridondante a causa della presenza di un carattere jolly
**Codice del problema: **REDUNDANT\$1KEY\$1DUE\$1TO\$1WILDCARD\$1IN\$1CONDITION
**Tipo di esito: **SUGGESTION
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Redundant key due to wildcard in condition: The key {{key}} in the condition block of {{operator}} is redundant because it is always matched. Remove this key to simplify the condition.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The key {{key}} in the condition block of {{operator}} is redundant because it is always matched. Remove this key to simplify the condition."
```
**Risoluzione del suggerimento**
Rimuovi la chiave di condizione ridondante dalla policy. La chiave viene sempre corrisposta a causa dello schema dei caratteri jolly, il che la rende superflua. Semplifica il blocco delle condizioni rimuovendo questa chiave pur mantenendo le stesse autorizzazioni effettive.
**Termini correlati**
+ [Elementi della policy IAM: condizione](reference_policies_elements_condition.md)
+ [Condizioni con più chiavi o valori contestuali](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS chiavi contestuali di condizione globale](reference_policies_condition-keys.md)
## Suggerimento: principale ridondante nella policy di attendibilità del ruolo
**Codice del problema: **REDUNDANT\$1PRINCIPAL\$1IN\$1ROLE\$1TRUST\$1POLICY
**Tipo di esito: **SUGGESTION
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Redundant principal in role trust policy: The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal."
```
**Risoluzione del suggerimento**
Se si specifica sia un principale con ruolo assunto che il suo ruolo padre nell'elemento `Principal` di una policy, non consente o nega autorizzazioni diverse. Ad esempio, è ridondante se si specifica l'elemento `Principal` utilizzando il seguente formato:
```
"Principal": {
"AWS": [
"arn:aws:iam::AWS-account-ID:role/rolename",
"arn:aws:iam::AWS-account-ID:assumed-role/rolename/rolesessionname"
]
```
Si consiglia di rimuovere il principale del ruolo assunto.
**Termini correlati**
+ [Principali della sessione come ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-role-session)
## Suggerimento: istruzione ridondante a causa della presenza di un carattere jolly
**Codice del problema: **REDUNDANT\$1STATEMENT\$1DUE\$1TO\$1WILDCARD\$1IN\$1CONDITION
**Tipo di esito: **SUGGESTION
**Individuazione dei dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Redundant statement due to wildcard in condition: The key {{key}} in the condition block of {{operator}} does not match any values. Remove this key to simplify the condition.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The key {{key}} in the condition block of {{operator}} does not match any values. Remove this key to simplify the condition."
```
**Risoluzione del suggerimento**
Rimuovi la chiave di condizione che non corrisponde a nessun valore. Questa chiave crea una condizione irraggiungibile che non sarà mai soddisfatta, rendendola ridondante. Pulisci la tua policy rimuovendo questa chiave per migliorare la leggibilità e le prestazioni.
**Termini correlati**
+ [Elementi della policy IAM: condizione](reference_policies_elements_condition.md)
+ [Condizioni con più chiavi o valori contestuali](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS chiavi contestuali di condizione globale](reference_policies_condition-keys.md)
## Suggerimento: conferma il tipo di attestazione del pubblico
**Codice del problema: **CONFIRM\$1AUDIENCE\$1CLAIM\$1TYPE
**Tipo di esito: **SUGGESTION
**Trovare dettagli**
Nel Console di gestione AWS, i risultati di questo controllo includono il seguente messaggio:
```
Confirm audience claim type: The "{{key}}" ({{audienceType}}) claim key identifies the recipients that the JSON web token is intended for. Because this claim is single-valued, do not use a qualifier.
```
Nelle chiamate programmatiche all' AWS API AWS CLI or, il risultato di questo controllo include il seguente messaggio:
```
"findingDetails": "The "{{key}}" ({{audienceType}}) claim key identifies the recipients that the JSON web token is intended for. Because this claim is single-valued, do not use a qualifier."
```
**Risoluzione del suggerimento**
La chiave di attestazione `aud` (destinatario) è un identificatore univoco per l'app rilasciato durante la registrazione dell'app con IdP. Identifica i destinatari del token Web JSON. Le attestazioni del pubblico possono essere multivalore o a valore singolo. Se l'attestazione è multivalore, utilizza un'operatore di condizione `ForAllValues` o `ForAnyValue`. Se l'attestazione ha un valore singolo, non utilizzare un operatore di condizione.
**Termini correlati**
+ [Creazione di un ruolo per la federazione di identità Web oppure OpenID Connect (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html)
+ [Chiavi di contesto multivalore](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html#reference_policies_condition-multi-valued-context-keys)
+ [Chiavi di condizione a valore singolo vs multivalore](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_single-vs-multi-valued-condition-keys.html)