Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Gestione degli accessi AWS alle risorse
<a name="access"></a>

AWS Identity and Access Management (IAM) è un servizio web che ti aiuta a controllare in modo sicuro l'accesso alle AWS risorse. Quando un [principale](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal) effettua una richiesta di ingresso AWS, il codice di AWS applicazione verifica se il principale è autenticato (registrato) e autorizzato (dispone delle autorizzazioni). Puoi gestire l'accesso AWS creando policy e collegandole a identità o risorse IAM. AWS Le policy sono documenti JSON AWS che, se allegate a un'identità o a una risorsa, ne definiscono le autorizzazioni. Per ulteriori informazioni sui tipi di policy e i relativi utilizzi, consulta [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md).

Per ulteriori informazioni sul resto del processo di autenticazione e autorizzazione, consultare [Funzionamento di IAM](intro-structure.md).

![\[AccessManagement_Diagramma\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/access-diagram_800.png)


Durante l'autorizzazione, il codice di AWS applicazione utilizza i valori del [contesto della richiesta](intro-structure.md#intro-structure-request) per verificare le politiche corrispondenti e determinare se consentire o rifiutare la richiesta. 

AWS controlla ogni politica che si applica al contesto della richiesta. Se una singola politica nega la richiesta, AWS nega l'intera richiesta e interrompe la valutazione delle politiche. Questa azione si chiama *rifiuto esplicito*. Poiché le richieste vengono *rifiutate per impostazione predefinita*, IAM autorizza la richiesta solo se ogni parte di essa è autorizzata dalle policy applicabili. La [logica di valutazione](reference_policies_evaluation-logic.md) per una richiesta all'interno di un singolo account segue queste regole:
+ Per impostazione predefinita, tutte le richieste vengono negate implicitamente (in alternativa, per impostazione predefinita, l' Utente root dell'account AWS ha accesso completo). 
+ Un'autorizzazione esplicita in una policy basata su identità o basata su risorse sostituisce questa impostazione predefinita.
+ Se è presente un limite di autorizzazioni, un AWS Organizations SCP o un criterio di sessione, potrebbe sostituire l'autorizzazione con una negazione implicita.
+ Un rifiuto esplicito in una policy sostituisce qualsiasi permesso.

Dopo che la richiesta è stata autenticata e autorizzata, approva la richiesta. AWS Se hai bisogno di effettuare una richiesta in un altro account, una policy nell'altro account deve consentire l'accesso alla risorsa. Inoltre, l'entità IAM utilizzata per effettuare la richiesta deve avere una policy basata su identità che consente la richiesta.

## Accesso alle risorse di gestione
<a name="access_resources"></a>

Per ulteriori informazioni sulle autorizzazioni e sulla creazione di policy, consultare le seguenti risorse:

Le seguenti voci del AWS Security Blog descrivono i modi più comuni per scrivere politiche per l'accesso a bucket e oggetti Amazon S3.
+ [Scrittura di policy IAM: come concedere l'accesso a un bucket Amazon S3](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/)
+ [Scrittura di policy IAM: concessione dell'accesso a cartelle specifiche dell'utente in un bucket Amazon S3](https://aws.amazon.com/blogs/security/writing-iam-policies-grant-access-to-user-specific-folders-in-an-amazon-s3-bucket/)
+ [Policies IAM e Bucket Policies e\$1 ACLs Oh My\$1 (Controllo dell'accesso alle risorse S3)](https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/)
+ [Un primer sulle autorizzazioni a livello di risorsa RDS](https://aws.amazon.com/blogs/security/a-primer-on-rds-resource-level-permissions)
+ [Demistificazione delle autorizzazioni a livello di risorsa EC2 ](https://aws.amazon.com/blogs/security/demystifying-ec2-resource-level-permissions/)

# Politiche e autorizzazioni in AWS Identity and Access Management
<a name="access_policies"></a>

Gestisci l'accesso AWS creando policy e collegandole a identità o risorse IAM (utenti, gruppi di utenti o ruoli). AWS Una policy è un oggetto AWS che, se associato a un'identità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste politiche quando un responsabile IAM (utente o ruolo) effettua una richiesta. Le autorizzazioni nelle policy determinano l’approvazione o il rifiuto della richiesta. La maggior parte delle policy viene archiviata AWS come documenti JSON. AWS supporta sette tipi di politiche: politiche basate sull'identità, politiche basate sulle risorse, limiti delle autorizzazioni, politiche di controllo dei AWS Organizations servizi (), politiche di controllo AWS Organizations delle risorse (SCPs), elenchi di controllo degli accessi (RCPs) e politiche di sessione. ACLs

Le policy IAM definiscono le autorizzazioni relative a un’operazione, indipendentemente dal metodo utilizzato per eseguirla. Ad esempio, se una policy consente l'[GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)azione, un utente con quella policy può ottenere informazioni sull'utente dall', dall'o dall' Console di gestione AWS API. AWS CLI AWS Nella creazione di un utente IAM, è possibile scegliere di consentire l'accesso programmatico o alla console. Se è consentito l'accesso alla console, l'utente IAM può accedere alla console con le proprie credenziali di accesso. Se è consentito l'accesso programmatico, l'utente può utilizzare le chiavi di accesso per utilizzare la CLI o l'API.

## Tipi di policy
<a name="access_policy-types"></a>

I tipi di policy elencati di seguito in ordine da quello utilizzato più frequentemente a quello meno frequentemente sono disponibili per l'uso in AWS. Per ulteriori informazioni, consulta le sezioni seguenti per ogni tipo di policy.
+ **[Policy basate su identità](#policies_id-based)**: collega le policy [gestite](#managedpolicy) e [inline](#inline) alle identità IAM (utenti, gruppi a cui appartengono gli utenti o ruoli). Le policy basate su identità concedono le autorizzazioni a un'identità.
+ **[Policy basate sulle risorse](#policies_resource-based)**: collegano le policy in linea alle risorse. Gli esempi più comuni di policy basate su risorse sono le policy dei bucket Amazon S3 e le policy di attendibilità dei ruoli IAM. Le policy basate su risorse concedono le autorizzazioni a un'identità principale specificata nella policy. Le entità principali possono essere nello stesso account della risorsa o in altri account.
+ **[Limiti delle autorizzazioni](#policies_bound)**: utilizza una policy gestita come limite delle autorizzazioni per un'entità IAM (utente o ruolo). Questa policy definisce il numero massimo di autorizzazioni che la policy basata su identità può concedere a un'entità, ma non concede autorizzazioni. I limiti delle autorizzazioni non definiscono il numero massimo di autorizzazioni che una policy basata su risorse può concedere a un'entità.
+ **[AWS Organizations SCPs](#policies_scp)**— Utilizza una policy di controllo dei AWS Organizations servizi (SCP) per definire le autorizzazioni massime per gli utenti IAM e i ruoli IAM all'interno degli account dell'organizzazione o dell'unità organizzativa (OU). SCPs limita le autorizzazioni che le policy basate sull'identità o le policy basate sulle risorse concedono agli utenti IAM o ai ruoli IAM all'interno dell'account. SCPs non concedere autorizzazioni.
+ **[AWS Organizations RCPs](#policies_rcp)**— Utilizza una politica di controllo AWS Organizations delle risorse (RCP) per definire le autorizzazioni massime per le risorse all'interno degli account dell'organizzazione o dell'unità organizzativa (OU). RCPs limita le autorizzazioni che le politiche basate sull'identità e sulle risorse possono concedere alle risorse degli account all'interno dell'organizzazione. RCPs non concedere autorizzazioni.
+ **[Liste di controllo degli accessi (ACLs)](#policies_acl)**: vengono utilizzate ACLs per controllare quali entità di altri account possono accedere alla risorsa a cui è collegato l'ACL. ACLs sono simili alle politiche basate sulle risorse, sebbene siano l'unico tipo di policy che non utilizza la struttura dei documenti di policy JSON. ACLs sono politiche di autorizzazione per più account che concedono autorizzazioni al principale specificato. ACLs non possono concedere autorizzazioni a entità all'interno dello stesso account.
+ **[Criteri](#policies_session)** di sessione: passa i criteri di sessione avanzati quando utilizzi l' AWS API AWS CLI o per assumere un ruolo o un utente federato. Le policy di sessione limitano le autorizzazioni che le policy basate su identità dell'utente o del ruolo concedono alla sessione. Le policy di sessione limitano le autorizzazioni per una sessione creata, ma non possono concedere autorizzazioni. Per ulteriori informazioni, consulta la sezione relativa alle [policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session).

### Policy basate sull’identità
<a name="policies_id-based"></a>

Le policy basate su identità sono documenti di policy di autorizzazione JSON che controllano quali operazioni un'identità (utenti, gruppi di utenti e ruoli) può eseguire, su quali risorse e in quali condizioni. Le policy basate su identità possono essere ulteriormente suddivise:
+ **Politiche gestite: politiche** autonome basate sull'identità che puoi allegare a più utenti, gruppi e ruoli nel tuo. Account AWS Sono disponibili due tipi di policy gestite.
  + **AWS politiche gestite: politiche** gestite create e gestite da. AWS
  + **Policy gestite dal cliente**: le policy gestite che sono create e gestite nel tuo Account AWS. Le politiche gestite dal cliente forniscono un controllo più preciso sulle politiche rispetto alle politiche AWS gestite.
+ **Policy inline**: le policy che vengono aggiunte direttamente a un singolo utente, gruppo o ruolo. Le politiche in linea mantengono una stretta one-to-one relazione tra una politica e un'identità. Vengono eliminate quando elimini l'identità.

Per informazioni su come scegliere tra una policy gestita o una policy in linea, consulta [Scegliere tra policy gestite e policy in linea](access_policies-choosing-managed-or-inline.md).

### Policy basate sulle risorse
<a name="policies_resource-based"></a>

Le policy basate sulle risorse sono documenti di policy JSON che colleghi a una risorsa, come ad esempio un bucket Amazon S3. Queste policy concedono al principale specificato l’autorizzazione per eseguire operazioni specifiche sulla risorsa e definiscono le condizioni in cui ciò si applica. Le policy basate su risorse sono policy inline. Non esistono policy basate su risorse gestite. 

Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. L’aggiunta di un’entità principale multi-account a una policy basata sulle risorse rappresenta solo una parte della relazione di trust. Quando il principale e la risorsa sono separati Account AWS, è inoltre necessario utilizzare una politica basata sull'identità per concedere l'accesso principale alla risorsa. Tuttavia, se una policy basata su risorse concede l’accesso a un principale nello stesso account, non sono richieste ulteriori policy basate sull’identità. Per istruzioni dettagliate sulla concessione dell'accesso tra servizi, consulta [Tutorial IAM: delega l'accesso tra AWS account utilizzando i ruoli IAM](tutorial_cross-account-with-roles.md).

Il servizio IAM supporta solo un tipo di policy basata su risorse detta *policy di attendibilità* del ruolo, collegata a un ruolo IAM. Un ruolo IAM è sia un'identità che una risorsa che supporta le policy basate sulle risorse. Per questo motivo, è necessario collegare sia una policy di attendibilità sia una policy basata su identità a un ruolo IAM. Le policy di attendibilità definiscono quali entità principali (account, utenti, ruoli e utenti federati) possono assumere il ruolo. Per capire in che modo i ruoli IAM si differenziano da altre policy basate su risorse, consulta [Accesso alle risorse multi-account in IAM](access_policies-cross-account-resource-access.md).

Per scoprire quali altri servizi supportano le policy basate su risorse, consulta [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md). Per ulteriori informazioni sulle policy basate su risorse, consulta la pagina [Policy basate sulle identità e policy basate su risorse](access_policies_identity-vs-resource.md). Per capire se i principali negli account esterni alla zona di attendibilità (organizzazione o account attendibile) dispongono dell'accesso per assumere i ruoli, consulta [Cos'è IAM Access Analyzer?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html).

### Limiti delle autorizzazioni IAM
<a name="policies_bound"></a>

Un limite delle autorizzazioni è una funzione avanzata in cui si imposta il numero massimo di autorizzazioni che una policy basata su identità può concedere a un'entità IAM. Quando si imposta un limite delle autorizzazioni per un’entità, l’entità può eseguire solo le operazioni consentite dalle sue policy basate su identità e dai suoi limiti delle autorizzazioni. Se si specifica una sessione del ruolo o un utente nell'elemento principale di una policy basata sulle risorse, non è richiesta un'autorizzazione esplicita nel limite delle autorizzazioni. Tuttavia, se si specifica un ARN del ruolo nell'elemento principale di una policy basata sulle risorse, è richiesta un'autorizzazione esplicita nel limite delle autorizzazioni. In entrambi i casi, è effettiva una negazione esplicita nel limite dell'autorizzazione. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l’autorizzazione. Per ulteriori informazioni sui limiti delle autorizzazioni, consultare [Limiti delle autorizzazioni per le entità IAM](access_policies_boundaries.md).

### AWS Organizations politiche di controllo del servizio () SCPs
<a name="policies_scp"></a>

Se abiliti tutte le funzionalità in un'organizzazione, puoi applicare le politiche di controllo del servizio (SCPs) a uno o tutti i tuoi account. SCPs sono politiche JSON che specificano le autorizzazioni massime per gli utenti e i ruoli IAM all'interno degli account di un'organizzazione o di un'unità organizzativa (OU). L'SCP limita le autorizzazioni per i responsabili degli account dei membri, inclusi ciascuno. Utente root dell'account AWS Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione nelle altre policy.

*Per ulteriori informazioni su AWS Organizations e SCPs, consulta [Service control policies (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella Guida per l'AWS Organizations utente.*

### AWS Organizations politiche di controllo delle risorse (RCPs)
<a name="policies_rcp"></a>

Se abiliti tutte le funzionalità in un'organizzazione, puoi utilizzare le politiche di controllo delle risorse (RCPs) per applicare centralmente i controlli di accesso alle risorse di più risorse Account AWS. RCPs sono policy JSON che puoi utilizzare per impostare le autorizzazioni massime disponibili per le risorse nei tuoi account senza aggiornare le policy IAM associate a ciascuna risorsa di tua proprietà. L'RCP limita le autorizzazioni per le risorse negli account dei membri e può influire sulle autorizzazioni effettive per le identità, incluse le Utente root dell'account AWS, indipendentemente dal fatto che appartengano o meno all'organizzazione. Un rifiuto esplicito in qualsiasi RCP applicabile ha la precedenza su un'autorizzazione in altre policy che potrebbero essere associate a singole identità o risorse.

*Per ulteriori informazioni AWS Organizations e per RCPs includere un elenco di Servizi AWS tale supporto RCPs, consulta [le politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella Guida per l'utente.AWS Organizations *

### Liste di controllo degli accessi (ACLs)
<a name="policies_acl"></a>

Le liste di controllo degli accessi (ACLs) sono politiche di servizio che consentono di controllare quali responsabili di un altro account possono accedere a una risorsa. ACLs non possono essere utilizzate per controllare l'accesso di un principale all'interno dello stesso account. ACLs sono simili alle politiche basate sulle risorse, sebbene siano l'unico tipo di policy che non utilizza il formato del documento di policy JSON. Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica dell'Access Control List (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.

### Policy di sessione
<a name="policies_session"></a>

Le policy di sessione sono politiche avanzate che trasmetti come parametro quando crei a livello di codice una sessione temporanea per un ruolo o un utente principale AWS STS federato. Le autorizzazioni per una sessione sono l'intersezione delle policy basate su identità per l'entità IAM (utente o ruolo) utilizzate per creare la sessione e delle policy di sessione. Le autorizzazioni possono anche provenire da una policy basata su risorse. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l’autorizzazione.

Puoi creare una sessione del ruolo e passare policy di sessione a livello di programmazione utilizzando le operazioni API `AssumeRole`, `AssumeRoleWithSAML` o `AssumeRoleWithWebIdentity`. Puoi passare un singolo documento della policy di sessione inline JSON utilizzando il parametro `Policy`. Puoi utilizzare il parametro `PolicyArns` per specificare fino a 10 policy di sessione gestite. Per ulteriori informazioni sulla creazione di una sessione del ruolo, consulta [Autorizzazioni per le credenziali di sicurezza temporanee](id_credentials_temp_control-access.md).

Quando crei una sessione principale per utenti AWS STS federati, utilizzi le chiavi di accesso dell'utente IAM per chiamare in modo programmatico l'operazione API. `GetFederationToken` È inoltre necessario passare policy di sessione. Le autorizzazioni della sessione risultanti sono l'intersezione tra la policy basata su identità e la policy di sessione. Per ulteriori informazioni sulla creazione di una sessione per l'utente federato, consulta [Richiesta di credenziali tramite un gestore di identità personalizzato](id_credentials_temp_request.md#api_getfederationtoken).

Una policy basata sulle risorse è in grado di specificare l'ARN dell'utente o del ruolo come un principale. In questo caso, le autorizzazioni della policy basata sulle risorse vengono aggiunte alla policy basata su identità dell'utente o del ruolo prima che la sessione venga creata. La policy di sessione limita le autorizzazioni totali concesse dalla policy basata sulle risorse e dalla policy basata su identità. Le autorizzazioni della sessione risultante sono l'intersezione delle policy di sessione e della policy basata sulle risorse più l'intersezione delle policy di sessione e delle policy basate su identità.

![\[Valutazione della policy di sessione con una policy basata sulle risorse che specifica l'ARN dell'entità\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/EffectivePermissions-session-rbp-id.png)


Una policy basata sulle risorse è in grado di specificare l'ARN della sessione come un principale. In questo caso, le autorizzazioni della policy basata sulle risorse vengono aggiunte dopo che la sessione viene creata. Le autorizzazioni della policy basate sulle risorse non sono limitate dalla policy di sessione. La sessione risultante dispone di tutte le autorizzazioni della policy basata sulle risorse *più* l'intersezione della policy basata su identità e della policy di sessione.

![\[Valutazione della policy di sessione con una policy basata sulle risorse che specifica l'ARN della sessione\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/EffectivePermissions-session-rbpsession-id.png)


Un limite delle autorizzazioni è in grado di impostare il numero massimo di autorizzazioni per un utente o un ruolo che viene utilizzato per creare una sessione. In tal caso, le autorizzazioni della sessione risultante sono l'intersezione della policy di sessione, il limite delle autorizzazioni e la policy basata su identità. Tuttavia, un limite delle autorizzazioni non limita le autorizzazioni concesse da una policy basata sulle risorse che specifica l'ARN della sessione risultante.

![\[Valutazione della policy di sessione con un limite delle autorizzazioni\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/EffectivePermissions-session-boundary-id.png)


## Policy e utente root
<a name="access_policies-root"></a>

 Utente root dell'account AWS È influenzato da alcuni tipi di policy ma non da altri. Non è possibile collegare policy basate su identità all'utente root e non è possibile impostare il limite delle autorizzazioni per questo utente. Tuttavia, è possibile specificare l'utente root come principale in una policy basata su risorse o un'ACL. Un utente root è ancora membro di un account. Se quell'account è membro di un'organizzazione in AWS Organizations, l'utente root è interessato da SCPs e RCPs per l'account.

## Panoramica delle policy JSON
<a name="access_policies-json"></a>

La maggior parte delle politiche viene archiviata AWS come documenti JSON. Le policy basate su identità e quelle utilizzate per impostare i limiti delle autorizzazioni sono documenti di policy JSON che vengono collegati a un utente o un ruolo. Le politiche basate sulle risorse sono documenti di policy JSON allegati a una risorsa. SCPse RCPs sono documenti di policy JSON con sintassi limitata che si allegano alla radice dell'organizzazione, all' AWS Organizations unità organizzativa (OU) o a un account. ACLs sono anche collegati a una risorsa, ma è necessario utilizzare una sintassi diversa. Le policy di sessione sono le policy JSON fornite quando si assume un ruolo o una sessione per l'utente federato.

Non è necessario conoscere la sintassi JSON. Puoi utilizzare l'editor visivo in Console di gestione AWS per creare e modificare le politiche gestite dai clienti senza mai usare JSON. Tuttavia, se utilizzi policy inline per gruppi o policy complesse, devi comunque creare e modificare tali policy nell'editor JSON tramite la console. Per ulteriori informazioni sull'uso dell'editor grafico, consultare [Definire le autorizzazioni IAM personalizzate con policy gestite dal cliente](access_policies_create.md) e [Modificare le policy IAM](access_policies_manage-edit.md).

 Quando crei o modifichi una policy JSON, IAM può eseguire la convalida delle policy per facilitare la creazione di una policy efficace. IAM identificherà gli errori di sintassi JSON, mentre IAM Access Analyzer fornisce ulteriori controlli delle policy con suggerimenti che consentono di perfezionare ulteriormente le policy. Per ulteriori informazioni sulla convalida delle policy, consulta [Convalida delle policy IAM](access_policies_policy-validator.md). Per ulteriori informazioni cui controlli delle policy di IAM Access Analyzer e sui suggerimenti utili, consulta [Convalida delle policy di IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html). 

### Struttura dei documenti di policy JSON
<a name="policies-introduction"></a>

Come illustrato nella figura di seguito, un documento di policy JSON include questi elementi:
+ Informazioni opzionali sulla policy nella parte superiore del documento
+ Una o più istruzioni singole**

Ogni istruzione include informazioni su una singola autorizzazione. Se una politica include più istruzioni, AWS applica una logica a `OR` tutte le istruzioni durante la valutazione. Se a una richiesta si applicano più politiche, AWS applica una logica a `OR` tutte quelle politiche durante la valutazione. 

![\[Struttura dei documenti di policy JSON\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/AccessPolicyLanguage_General_Policy_Structure.diagram.png)


Le informazioni di un'istruzione sono contenute all'interno di una serie di elementi.
+ **Version**: specifica la versione del linguaggio di policy che desideri utilizzare. Consigliamo di utilizzare la versione `2012-10-17 ` più recente. Per ulteriori informazioni, consulta [Elementi delle policy JSON IAM: Version](reference_policies_elements_version.md)
+ **Statement**: utilizza questo elemento principale della policy come container per i seguenti elementi. Puoi includere più istruzioni in una policy.
+ **Sid** (facoltativo): includi un ID istruzione opzionale per distinguere le varie istruzioni.
+ **Effect**: utilizza `Allow` o `Deny` per indicare se la policy consente l'accesso o lo rifiuta.
+ **Principal**(Obbligatorio in alcune circostanze): se si crea una politica basata sulle risorse, è necessario indicare l'account, l'utente, il ruolo o il principale utente AWS STS federato a cui si desidera consentire o negare l'accesso. Nella creazione di una policy di autorizzazioni IAM da collegare a un utente o un ruolo, non è possibile includere questo elemento. L'entità principale è implicita come l'utente o il ruolo.
+ **Action**: includi un elenco delle operazioni consentite o rifiutate dalla policy.
+ **Resource** (obbligatorio solo in alcune circostanze): se crei una policy di autorizzazioni IAM, devi specificare un elenco di risorse a cui si applicano le operazioni. Se crei una policy basata sulle risorse, dipende dalla risorsa che stai utilizzando se questo elemento è obbligatorio o meno.
+ **Condition** (facoltativo): specifica le circostanze in base alle quali la policy concede l'autorizzazione.

Per informazioni su questi e altri elementi di policy più avanzati, consulta [Documentazione di riferimento degli elementi delle policy JSON IAM](reference_policies_elements.md). 

### Istruzioni e policy multiple
<a name="policies-syntax-multiples"></a>

Per definire più di un'autorizzazione per un'entità (utente o ruolo), puoi utilizzare più istruzioni in una singola policy. Puoi anche collegare più policy. Se tenti di definire più autorizzazioni in un'unica istruzione, la policy potrebbe non concedere l'accesso come previsto. Ti consigliamo di suddividere le policy in base al tipo di risorsa. 

A causa delle [dimensioni limitate delle policy](reference_iam-quotas.md), può essere necessario utilizzare più policy per le autorizzazioni più complesse. È inoltre consigliabile creare raggruppamenti funzionali di autorizzazioni in una policy gestita dal cliente separata. Ad esempio, crea una policy per la gestione degli utenti IAM, una per la gestione automatica e un'altra per la gestione dei bucket S3. Indipendentemente dalla combinazione di più dichiarazioni e più politiche, AWS [valuta](reference_policies_evaluation-logic.md) le politiche allo stesso modo.

Ad esempio, la policy seguente include tre istruzioni, ciascuna delle quali definisce un set di autorizzazioni separato all'interno di un unico account. Le istruzioni definiscono quanto segue:
+ La prima istruzione, con un `Sid` (ID istruzione) di `FirstStatement`, consente all'utente con la policy collegata di modificare la propria password. In questa istruzione l'elemento `Resource` è `*` (che significa "tutte le risorse"). Tuttavia, in pratica, l'operazione API `ChangePassword` (o il comando CLI `change-password` equivalente) influisce solo sulla password per l'utente che effettua la richiesta. 
+ La seconda istruzione consente all'utente di elencare tutti i bucket Amazon S3 del proprio Account AWS. In questa istruzione l'elemento `Resource` è `"*"` (che significa "tutte le risorse"). Tuttavia, poiché le policy non concedono l'accesso alle risorse di altri account, l'utente può elencare solo i bucket del proprio Account AWS. 
+ La terza istruzione consente all'utente di elencare e recuperare qualsiasi oggetto all'interno di un bucket denominato `amzn-s3-demo-bucket-confidential-data`, ma solo quando l'utente viene autenticato con la multi-factor authentication (MFA). L'elemento `Condition` della policy applica l'autenticazione MFA.

  Quando un'istruzione della policy contiene un elemento `Condition`, l'istruzione risulta valida solo se per l'elemento `Condition` viene restituito un valore True. In questo caso, `Condition` restituisce True se l'utente è stato autenticato mediante MFA. Se l'utente non dispone dell'autenticazione MFA, `Condition` restituisce False. In tal caso, la terza istruzione della policy non è applicabile e l'utente non può accedere al bucket `amzn-s3-demo-bucket-confidential-data`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "FirstStatement",
      "Effect": "Allow",
      "Action": ["iam:ChangePassword"],
      "Resource": "*"
    },
    {
      "Sid": "SecondStatement",
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*"
    },
    {
      "Sid": "ThirdStatement",
      "Effect": "Allow",
      "Action": [
        "s3:List*",
        "s3:Get*"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket-confidential-data",
        "arn:aws:s3:::amzn-s3-demo-bucket-confidential-data/*"
      ],
      "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
    }
  ]
}
```

------

### Esempi di sintassi di policy JSON
<a name="policies-syntax-examples"></a>

La policy basata sulle identità riportata di seguito consente all'entità principale implicita di elencare un singolo bucket Amazon S3 denominato `amzn-s3-demo-bucket`: 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
  }
}
```

------

La policy basata su risorse riportata di seguito può essere collegata a un bucket Amazon S3. La policy consente ai membri di uno specifico utente di Account AWS eseguire qualsiasi azione di Amazon S3 nel bucket denominato. `amzn-s3-demo-bucket` Consente qualsiasi operazione che possa essere eseguita su un bucket o sugli oggetti in esso contenuti. Poiché la policy concede la fiducia solo agli account, i singoli utenti dell'account dovranno comunque ricevere le autorizzazioni per le operazioni Amazon S3 specificate. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:root"
                ]
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
```

------

Per alcuni esempi di policy per scenari comuni, consulta [Esempi di policy basate su identità IAM](access_policies_examples.md).

## Grant least privilege
<a name="grant-least-priv"></a>

Quando crei le policy IAM, segui i consigli di sicurezza standard sulla concessione di *privilegi minimi* o sulla concessione delle sole autorizzazioni richieste per eseguire un'attività. Determina i compiti di utenti e ruoli, quindi crea policy che consentono loro di eseguire *solo* tali attività. 

Inizia con un set di autorizzazioni minimo e concedi autorizzazioni aggiuntive quando necessario. Questo è più sicuro che iniziare con autorizzazioni che siano troppo permissive e cercare di limitarle in un secondo momento.

In alternativa al minimo privilegio, puoi usare le autorizzazioni di [policy gestite da AWS](access_policies_managed-vs-inline.md#aws-managed-policies) o policy con carattere jolly `*` per iniziare a utilizzare le policy. Considera il rischio per la sicurezza di concedere ai principali più autorizzazioni di quelle necessarie per svolgere il proprio lavoro. Monitora tali principali per sapere quali autorizzazioni stanno utilizzando. Quindi scrivi le policy con il privilegio minimo.

IAM fornisce diverse opzioni che consentono di perfezionare le autorizzazioni concesse.
+ **Informazioni sui raggruppamenti a livello di accesso**: puoi utilizzare i raggruppamenti a livello di accesso per comprendere il livello di accesso concesso da una policy. Le [operazioni delle policy](reference_policies_elements_action.md) sono classificate come `List`, `Read`, `Write`, `Permissions management` o `Tagging`. Ad esempio, è possibile selezionare operazioni dai livelli di accesso `List` e `Read` per concedere accesso in sola lettura agli utenti. Per ulteriori informazioni su come utilizzare i riepiloghi delle policy per comprendere le autorizzazioni a livello di accesso, consultare [Livelli di accesso nei riepiloghi delle policy](access_policies_understand-policy-summary-access-level-summaries.md).
+ **Convalida le policy**: puoi eseguire la convalida delle policy utilizzando IAM Access Analyzer quando crei e modifichi le policy JSON. Consigliamo di rivedere e convalidare tutte le policy esistenti. Per convalidare le policy, IAM Access Analyzer fornisce oltre 100 controlli delle policy. Genera avvisi di sicurezza quando una istruzione nella tua policy consente l'accesso che consideriamo eccessivamente permissivo. È possibile utilizzare i suggerimenti utili forniti tramite gli avvisi di sicurezza mentre si lavora per concedere il minimo privilegio. Per ulteriori informazioni sui controlli delle policy di IAM Access Analyzer e sui suggerimenti utili, consulta [Convalida delle policy di IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).
+ **Genera una policy basata sull'attività di accesso**: per ottimizzare le autorizzazioni concesse, puoi generare una policy IAM basata sull'attività di accesso per un'entità IAM (utente o ruolo). IAM Access Analyzer esamina AWS CloudTrail i log e genera un modello di policy che contiene le autorizzazioni utilizzate dall'entità nel periodo di tempo specificato. È possibile utilizzare il modello per creare una policy gestita con autorizzazioni granulari e quindi collegarla al ruolo IAM. In questo modo, concedi solo le autorizzazioni necessarie all'utente o al ruolo per interagire con le AWS risorse per il tuo caso d'uso specifico. Per ulteriori informazioni, consulta [Generazione di policy per Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).
+ **Utilizza informazioni sull'ultimo accesso**: un'altra funzionalità che può aiutarti con il minimo privilegio è*Informazioni sull'ultimo accesso*. Visualizza queste informazioni nella scheda **Access Advisor** nella pagina dei dettagli della console IAM per un utente, un gruppo, un ruolo o una policy IAM. Le informazioni sull'ultimo accesso includono anche informazioni sulle azioni a cui si è effettuato l'ultimo accesso per alcuni servizi, ad esempio Amazon EC2, IAM, Lambda e Amazon S3. Se accedi utilizzando le credenziali dell'account di AWS Organizations gestione, puoi visualizzare le informazioni sull'ultimo accesso al servizio nella **AWS Organizations**sezione della console IAM. Puoi anche utilizzare l' AWS API AWS CLI or per recuperare un report relativo alle informazioni relative all'ultimo accesso per entità o policy in IAM o. AWS Organizations Puoi utilizzare queste informazioni per identificare le autorizzazioni non necessarie in modo da perfezionare il tuo IAM o AWS Organizations le tue policy per aderire meglio al principio del privilegio minimo. Per ulteriori informazioni, consulta [Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso](access_policies_last-accessed.md).
+ **Rivedi gli eventi dell'account in AWS CloudTrail****: per ridurre ulteriormente le autorizzazioni, puoi visualizzare gli eventi del tuo account nella Cronologia degli eventi. AWS CloudTrail ** CloudTrail i registri degli eventi includono informazioni dettagliate sugli eventi che puoi utilizzare per ridurre le autorizzazioni della politica. I log includono solo le operazioni e le risorse richieste dalle entità IAM. Per ulteriori informazioni, vedere [Visualizzazione CloudTrail degli eventi nella CloudTrail console nella Guida](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) per l'*AWS CloudTrail utente*.



Per ulteriori informazioni, consulta i seguenti argomenti di policy per singoli servizi, che forniscono esempi di come scrivere policy per le risorse specifiche del servizio.
+ [Utilizzo di policy basate sulle risorse per DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/access-control-resource-based.html) nella *Guida per gli sviluppatori di Amazon DynamoDB*
+ [Policy del bucket per Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
+ [Panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Guida per l'utente di Amazon Simple Storage Service*

# Policy gestite e policy inline
<a name="access_policies_managed-vs-inline"></a>

Quando imposti le autorizzazioni per un'identità in IAM, dovrai scegliere tra una policy gestita da AWS , una policy gestita dal cliente o una policy inline. Gli argomenti seguenti forniscono ulteriori informazioni su ciascuno dei tipi di policy basate sull'identità e su quando utilizzarli.

La tabella seguente descrive queste policy:


| Tipo di policy | Description | Chi gestisce la policy? | Modificare le autorizzazioni? | Numero di principali applicati alla policy? | 
| --- | --- | --- | --- | --- | 
| [AWS politiche gestite](#aws-managed-policies) | Policy autonoma creata e amministrata da AWS. | AWS | No | Molti | 
| [Policy gestite dal cliente](#customer-managed-policies) | Policy che crei per casi d’uso specifici e che puoi modificare e aggiornare tutte le volte che desideri. | Utente corrente | Sì | Molti | 
| [Policy inline](#inline-policies) | Policy creata per una singola identità IAM (utente, gruppo o ruolo) che mantiene una stretta one-to-one relazione tra una policy e un'identità. | Utente corrente | Sì | One | 

**Topics**
+ [

## AWS politiche gestite
](#aws-managed-policies)
+ [

## Policy gestite dal cliente
](#customer-managed-policies)
+ [

## Policy inline
](#inline-policies)
+ [

# Scegliere tra policy gestite e policy in linea
](access_policies-choosing-managed-or-inline.md)
+ [

# Convertire una policy in linea in una policy gestita
](access_policies-convert-inline-to-managed.md)
+ [

# Policy gestite obsolete AWS
](access_policies_managed-deprecated.md)

## AWS politiche gestite
<a name="aws-managed-policies"></a>

Una *policy gestita da AWS * è una policy autonoma che viene creata e amministrata da AWS. Una *policy autonoma* è una policy che ha un proprio nome della risorsa Amazon (ARN) che include il nome della policy. Ad esempio, `arn:aws:iam::aws:policy/IAMReadOnlyAccess` è una politica AWS gestita. Per ulteriori informazioni su ARNs, vedere[IAM ARNs](reference_identifiers.md#identifiers-arns). Per un elenco delle politiche AWS gestite per Servizi AWS, consulta [le politiche AWS gestite](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).

AWS le politiche gestite semplificano l'assegnazione delle autorizzazioni appropriate a utenti, gruppi IAM e ruoli. È più veloce della scrittura delle policy in autonomia e include le autorizzazioni per molti casi d'uso comuni.

Non è possibile modificare le autorizzazioni definite nelle AWS politiche gestite. AWS aggiorna occasionalmente le autorizzazioni definite in una politica AWS gestita. In tal caso AWS , l'aggiornamento influisce su tutte le entità principali (utenti IAM, gruppi IAM e ruoli IAM) a cui è associata la policy. AWS è più probabile che aggiorni una policy AWS gestita quando viene lanciato un nuovo AWS servizio o quando diventano disponibili nuove chiamate API per i servizi esistenti. Ad esempio, la policy AWS gestita denominata **ReadOnlyAccess**fornisce l'accesso in sola lettura a tutte Servizi AWS le risorse. Quando AWS avvia un nuovo servizio, AWS aggiorna la **ReadOnlyAccess**politica per aggiungere autorizzazioni di sola lettura per il nuovo servizio. Le autorizzazioni aggiornate vengono applicate a tutte le entità principali a cui la policy è collegata.

*Policy AWS gestite ad accesso completo*: definiscono le autorizzazioni per gli amministratori del servizio concedendo l'accesso completo a un servizio. Gli esempi includono:
+ [AmazonDynamoDBFullAccesso](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDynamoDBFullAccess.html)
+ [IAMFullAccesso](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IAMFullAccess.html)

*Policy AWS gestite dagli utenti esperti*: forniscono l'accesso completo alle risorse Servizi AWS e alle risorse, ma non consentono la gestione di utenti e gruppi IAM. Gli esempi includono:
+ [AWSCodeCommitPowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeCommitPowerUser.html) 
+ [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)

*Policy AWS gestite ad accesso parziale*: forniscono livelli di accesso specifici alle autorizzazioni a livello di accesso Servizi AWS senza consentire la gestione [delle autorizzazioni](access_policies_understand-policy-summary-access-level-summaries.md#access_policies_access-level). Gli esempi includono:
+ [AmazonMobileAnalyticsWriteOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMobileAnalyticsWriteOnlyAccess.html)
+ [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html) 

*Politiche di AWS gestione delle funzioni lavorative*: queste politiche si allineano strettamente alle funzioni lavorative comunemente utilizzate nel settore IT e facilitano la concessione delle autorizzazioni per tali funzioni lavorative. Uno dei principali vantaggi dell'utilizzo delle politiche relative alle funzioni lavorative è che vengono mantenute e aggiornate AWS man mano che vengono introdotti nuovi servizi e operazioni API. Ad esempio, la funzione [AdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html)job fornisce l'accesso completo e la delega delle autorizzazioni a ogni servizio e risorsa in AWS uso. Si consiglia di utilizzare questa policy solo per l'amministratore dell'account. Per gli utenti esperti che richiedono l'accesso completo a tutti i servizi tranne l'accesso limitato a IAM e AWS Organizations, utilizzano la funzione [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html)job. Per un elenco e descrizioni delle policy delle mansioni lavorative, consulta [AWS politiche gestite per le funzioni lavorative](access_policies_job-functions.md).

Il diagramma seguente illustra le politiche AWS gestite. **Il diagramma mostra tre politiche AWS gestite: **AdministratorAccess**PowerUserAccess****, e \$1.AWS CloudTrail ReadOnlyAccess** Si noti che una singola politica AWS gestita può essere associata a entità principali in diverse Account AWS entità principali e a diverse entità principali in un'unica Account AWS entità.

![\[Diagramma delle politiche AWS gestite\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-aws-managed-policies.diagram.png)


## Policy gestite dal cliente
<a name="customer-managed-policies"></a>

Puoi creare policy autonome personalizzate Account AWS da collegare alle entità principali (utenti IAM, gruppi IAM e ruoli IAM). Puoi creare queste *policy gestite dal cliente* per i tuoi casi d'uso specifici e modificarle e aggiornarle tutte le volte che desideri. AWS Analogamente alle politiche gestite, quando si allega una politica a un'entità principale, si assegnano all'entità le autorizzazioni definite nella policy. Quando le autorizzazioni della policy vengono aggiornate, le modifiche vengono applicate a tutte le entità principali a cui è collegata la policy.

Un ottimo modo per creare una policy gestita dal cliente è iniziare copiando una policy gestita da AWS esistente. In questo modo è possibile assicurarsi che la policy sia corretta come base ed è sufficiente personalizzarla per il proprio ambiente.

Il diagramma seguente illustra le policy gestite dal cliente. Ogni policy è un'entità in IAM con un proprio [Amazon Resource Name (ARN)](reference_identifiers.md#identifiers-arns) che include il nome della policy. Si noti che la stessa policy può essere collegata a più entità principali, ad esempio, la stessa policy **DynamoDB-books-app** è collegata a due diversi ruoli IAM.

Per ulteriori informazioni, consulta [Definire le autorizzazioni IAM personalizzate con policy gestite dal cliente](access_policies_create.md)

![\[Diagramma delle policy gestite dal cliente\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-customer-managed-policies.diagram.png)


## Policy inline
<a name="inline-policies"></a>

Una policy in linea è una policy creata per una singola identità IAM (utente, gruppo di utenti o ruolo). Le politiche in linea mantengono una stretta one-to-one relazione tra una politica e un'identità. Vengono eliminate quando elimini l'identità. È possibile creare una policy e incorporarla in un'identità, sia quando si crea l'identità sia in un secondo momento. Se una policy può essere applicata a più di un'entità, è meglio utilizzare una policy gestita.

Il diagramma seguente illustra le policy inline. Ogni policy è parte integrante dell'utente, gruppo o ruolo. Si noti che i due ruoli includono la stessa policy (la policy **DynamoDB-books-app**), ma non condividono una singola policy. Ogni ruolo dispone di una propria copia della policy.

![\[Diagramma delle policy inline\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-inline-policies.diagram.png)


# Scegliere tra policy gestite e policy in linea
<a name="access_policies-choosing-managed-or-inline"></a>

Al momento di scegliere tra policy gestite e policy inline, prendi in considerazione i casi d'uso. Nella maggior parte dei casi, si consiglia di usare le policy gestite anziché le policy inline.

**Nota**  
È possibile utilizzare insieme le policy gestite e policy inline per definire autorizzazioni comuni e univoche per un'entità principale.

Le policy gestite offrono le seguenti caratteristiche:

**Riutilizzo**  
Una singola policy gestita può essere collegata a più entità principali (utenti, gruppi e ruoli). È possibile creare una libreria di politiche che definiscono le autorizzazioni utili per l'utente Account AWS e quindi allegarle alle entità principali in base alle esigenze.

**Gestione centralizzata delle modifiche**  
Quando si modifica una policy gestita, la modifica viene applicata a tutte le entità principali a cui la policy è collegata. Ad esempio, se desideri aggiungere l'autorizzazione per una nuova AWS API, puoi aggiornare una politica gestita dal cliente o associare una politica AWS gestita per aggiungere l'autorizzazione. Se utilizzi una policy AWS gestita, AWS aggiorna la policy. Quando una policy gestita viene aggiornata, le modifiche vengono applicate a tutte le entità principali a cui è collegata la policy gestita. Al contrario, per modificare una policy in linea, è necessario modificare singolarmente ciascuna identità che contiene la policy in linea. Ad esempio, se un gruppo e un ruolo contengono la stessa policy inline, è necessario modificare individualmente entrambe le entità principali per modificare tale policy. 

**Controllo delle versioni e rollback**  
Quando si modifica una policy gestita dal cliente, la policy modificata non sovrascriverà la policy esistente. IAM crea invece una nuova versione della policy gestita. IAM memorizza fino a cinque versioni di una policy gestita dal cliente. È possibile utilizzare le versioni della policy per ripristinare una policy a una versione precedente, se necessario.   
Una versione di policy è diversa da un elemento `Version` della policy. L'elemento di policy `Version` viene utilizzato all'interno di una policy e definisce la versione del linguaggio di policy. Per ulteriori informazioni sulle versioni di policy, consultare [Controllo delle versioni delle policy IAM](access_policies_managed-versioning.md). Per ulteriori informazioni sull'elemento di policy `Version`, consultare [Elementi delle policy JSON IAM: Version](reference_policies_elements_version.md).

**Delega della gestione delle autorizzazioni**  
Puoi consentire agli utenti della tua azienda Account AWS di allegare e scollegare le politiche mantenendo il controllo sulle autorizzazioni definite in tali politiche. A tale scopo, è possibile designare alcuni utenti come amministratori completi, ossia amministratori che possono creare, aggiornare ed eliminare le policy. È quindi possibile designare altri utenti come amministratori limitati. Tali amministratori limitati possono collegare delle policy ad altre entità principali, ma solo nel caso delle policy per le quali sono stati autorizzati.  
Per ulteriori informazioni sulla delega della gestione delle autorizzazioni, consultare [Controllo dell'accesso alle policy](access_controlling.md#access_controlling-policies). 

**Limiti di caratteri per le policy più grandi**  
Il limite massimo di caratteri per le policy gestite è maggiore del limite di caratteri per le policy in linea del gruppo. Se raggiungi il limite di dimensione dei caratteri della policy in linea, puoi creare altri gruppi IAM e collegare la policy gestita al gruppo.  
Per ulteriori informazioni su quote e limiti, consulta [IAM e AWS STS quote](reference_iam-quotas.md). 

**Aggiornamenti automatici per AWS le politiche gestite**  
AWS mantiene le politiche AWS gestite e le aggiorna quando necessario, ad esempio per aggiungere autorizzazioni per nuovi AWS servizi, senza che l'utente debba apportare modifiche. Gli aggiornamenti vengono applicati automaticamente alle principali entità a cui è stata allegata la politica AWS gestita. 

## Nozioni di base sulle policy gestite
<a name="access_policies-get-started-managed-policy"></a>

Consigliamo di utilizzare le policy che [concedono il privilegio minimo](access_policies.md#grant-least-priv) o che concedono solo le autorizzazioni richieste per eseguire un processo. Il modo più sicuro per concedere il privilegio minimo consiste nello scrivere una policy gestita dal cliente solo con le autorizzazioni necessarie al team. È necessario creare un processo per consentire al team di richiedere ulteriori autorizzazioni quando necessario. La [creazione di policy gestite dai clienti IAM](access_policies_create-console.md) che forniscono al team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza.

Per iniziare ad aggiungere autorizzazioni alle tue identità IAM (utenti, gruppi di utenti e ruoli), puoi utilizzare. [AWS politiche gestite](access_policies_managed-vs-inline.md#aws-managed-policies) AWS le politiche gestite non concedono i permessi con il privilegio minimo. Considera il rischio per la sicurezza di concedere ai principali più autorizzazioni di quelle necessarie per svolgere il proprio lavoro.

Puoi allegare policy AWS gestite, incluse le funzioni lavorative, a qualsiasi identità IAM. Per ulteriori informazioni, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](access_policies_manage-attach-detach.md).

Per passare alle autorizzazioni con privilegi minimi, puoi eseguire AWS Identity and Access Management Access Analyzer per monitorare i principali con policy gestite. AWS Dopo aver appreso quali autorizzazioni stanno utilizzando, puoi scrivere o generare una policy gestita dal cliente che contenga soltanto le autorizzazioni richieste per il team. È meno sicuro, ma offre maggiore flessibilità man mano che impari a utilizzare il tuo team. AWS Per ulteriori informazioni, consulta [Generazione di policy per Sistema di analisi degli accessi IAM](access-analyzer-policy-generation.md).

AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni. Per ulteriori informazioni sulle politiche AWS gestite progettate per funzioni lavorative specifiche, vedere[AWS politiche gestite per le funzioni lavorative](access_policies_job-functions.md).

Per un elenco delle politiche AWS gestite, consulta la [AWS Managed Policy Reference Guide](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).

## Utilizzo delle policy inline
<a name="policies-using-inline-policies"></a>

Le policy in linea sono utili se si desidera mantenere una stretta one-to-one relazione tra una policy e l'identità a cui viene applicata. Ad esempio, se si desidera essere certi che le autorizzazioni di una policy non vengano inavvertitamente assegnate a un'identità diversa da quella per la quale sono state concepite. Quando si utilizza una policy inline, le autorizzazioni della policy non possono essere collegate inavvertitamente a un'identità errata. Inoltre, quando si utilizza il Console di gestione AWS per eliminare tale identità, vengono eliminate anche le politiche incorporate nell'identità perché fanno parte dell'entità principale.

# Convertire una policy in linea in una policy gestita
<a name="access_policies-convert-inline-to-managed"></a>

Se disponi di policy inline nell'account, puoi convertirle in policy gestite. A tale scopo, copia la policy in una nuova policy gestita, collega la nuova policy all'identità che ha la policy inline, quindi elimina la policy inline. 

## Conversione di una policy inline in una policy gestita
<a name="access_policies-convert-inline-to-managed-procedure"></a>

**Per convertire una policy inline in una policy gestita**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione scegli **Gruppi di utenti**, **Utenti** o **Ruoli**.

1. Nell'elenco, scegli il nome del gruppo di utenti, dell'utente o del ruolo con la policy da rimuovere.

1. Scegli la scheda **Autorizzazioni**.

1. Per i gruppi IAM, seleziona il nome della policy in linea che desideri rimuovere. Per utenti e ruoli, scegli **Mostra *n* altro**, se necessario, quindi espandi la policy in linea che desideri rimuovere.

1. Scegli **Copia** per copiare il documento della policy in formato JSON.

1. Nel riquadro di navigazione, scegli **Policy**.

1. Seleziona **Crea policy**, quindi scegli l'opzione **JSON**.

1. Sostituisci il testo esistente con il testo della policy JSON, quindi scegli **Verifica policy**.

1. Immetti un nome e una descrizione facoltativa per la policy, quindi scegli **Crea policy**.

1. Nel pannello di navigazione, scegli **Gruppi di utenti**, **Utenti** o **Ruoli** e scegli di nuovo il nome del gruppo di utenti, dell'utente o del ruolo con la policy da rimuovere.

1. Seleziona la scheda **Autorizzazioni** e scegli **Aggiungi autorizzazioni**.

1. Per i gruppi IAM, seleziona la casella di controllo accanto al nome della nuova policy, seleziona **Aggiungi autorizzazioni**, quindi scegli **Collega policy**. Per gli utenti o i ruoli, scegliere **Add permissions (Aggiungi autorizzazioni)**. Nella pagina successiva, scegli **Collega direttamente policy esistenti**, seleziona la casella di controllo accanto al nome della nuova policy, scegli **Successivo**, quindi seleziona **Aggiungi autorizzazioni**.

   Sarai riportato alla pagina **Riepilogo** per l'utente, il gruppo di utenti o il ruolo.

1. Seleziona la casella di controllo accanto alla policy in linea che desideri rimuovere, quindi scegli **Rimuovi**.

# Policy gestite obsolete AWS
<a name="access_policies_managed-deprecated"></a>

Per semplificare l'assegnazione delle autorizzazioni, AWS fornisce [policy gestite](access_policies_managed-vs-inline.md), ossia policy predefinite pronte per essere associate agli utenti, ai gruppi e ai ruoli IAM.

A volte è AWS necessario aggiungere una nuova autorizzazione a una politica esistente, ad esempio quando viene introdotto un nuovo servizio. L'aggiunta di una nuova autorizzazione a una policy esistente non disturba o rimuove qualsiasi caratteristica o possibilità.

Tuttavia, AWS potrebbe scegliere di creare una *nuova* politica quando le modifiche necessarie potrebbero avere un impatto sui clienti se applicate a una politica esistente. Ad esempio, la rimozione delle autorizzazioni da una policy esistente potrebbe violare le autorizzazioni di qualsiasi entità o applicazione IAM dalla quale dipendeva, disturbando potenzialmente un'operazione critica.

Pertanto, quando è necessaria una tale modifica, AWS crea una politica completamente nuova con le modifiche richieste e la mette a disposizione dei clienti. La policy vecchia viene contrassegnata come *obsoleta*. Per ulteriori informazioni, consulta le [policy AWS gestite obsolete nella AWS Managed](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/about-managed-policy-reference.html#deprecated-managed-policies) *Policy* Reference Guide.

# Establish permissions guardrails using data perimeters
<a name="access_policies_data-perimeters"></a>

Le barriere perimetrali dei dati sono pensate per fungere da confini permanenti per aiutare a proteggere i dati su un'ampia gamma di account e risorse. AWS I perimetri dei dati seguono le best practice di sicurezza IAM per [stabilire guardrail di autorizzazioni su più account](best-practices.md#bp-permissions-guardrails). Questi guardrail di autorizzazione a livello di organizzazione non sostituiscono i controlli di accesso dettagliati esistenti. Funzionano invece come **controlli di accesso generalizzati** che aiutano a migliorare la strategia di sicurezza assicurando che utenti, ruoli e risorse aderiscano a una serie di standard di sicurezza definiti. 

Un perimetro di dati è un insieme di barriere di autorizzazione nell' AWS ambiente che aiutano a garantire che solo le identità attendibili accedano alle risorse attendibili delle reti previste. 
+ Identità affidabili: i responsabili (ruoli o utenti IAM) dei tuoi AWS account e servizi che agiscono per tuo conto. AWS 
+ Risorse affidabili: risorse di proprietà AWS dei tuoi account o di AWS servizi che agiscono per tuo conto.
+ Reti previste: i data center locali e i cloud privati virtuali (VPCs) o le reti di AWS servizi che agiscono per conto dell'utente.

**Nota**  
In alcuni casi, potrebbe essere necessario estendere il perimetro di dati in modo da includere anche l'accesso da parte di partner commerciali fidati. È necessario prendere in considerazione tutti i modelli di accesso ai dati previsti quando si crea una definizione di identità attendibili, risorse attendibili e reti previste specifiche per l'azienda e l'utilizzo dei Servizi AWS.

I controlli perimetrali dei dati devono essere trattati come qualsiasi altro controllo di sicurezza nell'ambito del programma di sicurezza delle informazioni e di gestione del rischio. Ciò significa che è necessario eseguire un'analisi delle minacce per identificare i potenziali rischi all'interno del proprio ambiente cloud e quindi, in base ai propri criteri di accettazione del rischio, selezionare e implementare controlli perimetrali dei dati appropriati. Per definire meglio l'approccio iterativo basato sul rischio all'implementazione del perimetro dei dati, è necessario comprendere quali rischi e vettori di minaccia vengono affrontati dai controlli perimetrali dei dati, nonché le priorità di sicurezza.

## Controlli perimetrali dei dati
<a name="access_policies_data-perimeters-controls"></a>

I controlli granulari sul perimetro dei dati aiutano a raggiungere sei obiettivi di sicurezza distinti su tre perimetri di dati attraverso l'implementazione di diverse combinazioni di [Tipi di policy](access_policies.md#access_policy-types) e [chiavi di condizioni](reference_policies_condition-keys.md).

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/access_policies_data-perimeters.html)

Puoi pensare ai perimetri dei dati come alla creazione di un confine preciso attorno ai dati per prevenire schemi di accesso non intenzionali. Sebbene i perimetri dei dati possano impedire ampi accessi involontari, è comunque necessario prendere decisioni granulari sul controllo degli accessi. La definizione di un perimetro di dati non riduce la necessità di ottimizzare continuamente le autorizzazioni utilizzando strumenti come [Sistema di analisi degli accessi IAM](what-is-access-analyzer.md) come parte del percorso verso il [privilegio minimo](best-practices.md#grant-least-privilege).

Per applicare i controlli perimetrali dei dati su risorse che attualmente non sono supportate da RCPs, puoi utilizzare policy basate sulle risorse collegate direttamente alle risorse. [Per un elenco di servizi che supportano politiche basate sulle risorse, vedere Politiche di controllo delle risorse () RCPs e. RCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md)

Per applicare i controlli perimetrali di rete, ti consigliamo di utilizzare `aws:VpceOrgID`, `aws:VpceOrgPaths` e `aws:VpceAccount` solo se tutti i servizi a cui desideri limitare l’accesso sono attualmente supportati. L’utilizzo di queste chiavi di condizione con servizi non supportati può portare a esiti di autorizzazione non intenzionali. Per un elenco di servizi che supportano le chiavi, consulta [AWS chiavi di contesto della condizione globale](reference_policies_condition-keys.md). Se hai bisogno di applicare i controlli su una gamma più ampia di servizi, prendi in considerazione l’utilizzo di `aws:SourceVpc` e `aws:SourceVpce` in alternativa.

## Perimetro di identità
<a name="access_policies_data-perimeters-identity"></a>

Un perimetro di identità è un insieme di controlli preventivi di accesso generalizzati che aiutano a garantire che solo le identità attendibili possano accedere alle risorse e che solo le identità affidabili siano consentite dalla rete. Le identità affidabili di solito includono i responsabili (ruoli o utenti) degli AWS account e dei AWS servizi che agiscono per conto dell'utente. Tutte le altre identità sono considerate non attendibili e sono impedite dal perimetro dell'identità, a meno che non venga concessa un'eccezione esplicita.

Le seguenti chiavi di condizione globali aiutano a far rispettare i controlli perimetrali delle identità in base alla tua definizione delle identità attendibili. Utilizza queste chiavi nelle policy di controllo delle risorse per limitare l’accesso alle risorse o nelle [policy degli endpoint VPC](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html) per limitare l’accesso alle tue reti.

### Identità di tua proprietà
<a name="data-perimeters-identity-owned-by-you"></a>

Puoi utilizzare le seguenti chiavi di condizione per definire i principi IAM che crei e gestisci in tuo. Account AWS
+ [aws:PrincipalOrgID](reference_policies_condition-keys.md#condition-keys-principalorgid): è possibile utilizzare questa chiave di condizione per garantire che i principali IAM che effettuano la richiesta appartengano all'organizzazione specificata in AWS Organizations.
+ [aws:PrincipalOrgPaths](reference_policies_condition-keys.md#condition-keys-principalorgpaths)— È possibile utilizzare questa chiave di condizione per garantire che l'utente IAM, il ruolo IAM, il principale utente AWS STS federato, il principale federato SAML, il principale federato OIDC o la richiesta appartengano all'unità Utente root dell'account AWS organizzativa (OU) specificata in. AWS Organizations
+ [aws:PrincipalAccount](reference_policies_condition-keys.md#condition-keys-principalaccount): è possibile utilizzare questa chiave di condizione per garantire che le risorse siano accessibili solo all'account principale specificato nella policy.

### Identità dei servizi che agiscono per tuo conto AWS
<a name="data-perimeters-identity-owned-by-service"></a>

È possibile utilizzare le seguenti chiavi di condizione per consentire ai AWS servizi di utilizzare le proprie identità per accedere alle risorse dell'utente quando agiscono per conto dell'utente.
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice) e [aws:SourceOrgID](reference_policies_condition-keys.md#condition-keys-sourceorgid) (oppure [aws:SourceOrgPaths](reference_policies_condition-keys.md#condition-keys-sourceorgpaths) e [aws:SourceAccount](reference_policies_condition-keys.md#condition-keys-sourceaccount)): è possibile utilizzare queste chiavi di condizione per garantire che, quando [i principali del Servizio AWS](reference_policies_elements_principal.md#principal-services) accedono alle risorse, lo facciano solo per conto di una risorsa dell’organizzazione specificata, dell’unità organizzativa o di un account in AWS Organizations.

Per ulteriori informazioni, consulta [Stabilire un perimetro di dati su AWS: Consenti solo alle identità attendibili di accedere ai](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-identities-to-access-company-data/) dati aziendali.

## Perimetro di risorse
<a name="access_policies_data-perimeters-resource"></a>

Un perimetro di risorse è un insieme di controlli preventivi di accesso generalizzati che aiutano a garantire che solo le identità attendibili possano accedere alle risorse e che solo le identità attendibili siano consentite dalla rete. Le risorse affidabili di solito includono risorse di proprietà AWS degli account o dei AWS servizi che agiscono per conto dell'utente.

Le seguenti chiavi di condizione globali aiutano a far rispettare i controlli perimetrali delle risorse in base alla tua definizione delle risorse attendibili. Utilizza queste chiavi nelle [policy di controllo del servizio (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) per limitare le risorse a cui possono accedere le tue identità o nelle politiche degli [endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) per limitare le risorse a cui è possibile accedere dalle tue reti.

### Risorse di tua proprietà
<a name="data-perimeters-resource-owned-by-you"></a>

Puoi utilizzare le seguenti chiavi di condizione per definire le AWS risorse che crei e gestisci nel tuo. Account AWS
+ [aws:ResourceOrgID](reference_policies_condition-keys.md#condition-keys-resourceorgid): è possibile utilizzare questa chiave di condizione per garantire che la risorsa a cui si accede appartenga all'organizzazione specificata in AWS Organizations.
+ [aws:ResourceOrgPaths](reference_policies_condition-keys.md#condition-keys-resourceorgpaths): è possibile utilizzare questa chiave di condizione per garantire che la risorsa a cui si accede appartenga all'unità organizzativa (UO) specificata in AWS Organizations.
+ [aws:ResourceAccount](reference_policies_condition-keys.md#condition-keys-resourceaccount): è possibile utilizzare questa chiave di condizione per garantire che la risorsa a cui si accede appartenga all’ Account AWS specificato.

### Risorse di AWS servizi che agiscono per tuo conto
<a name="data-perimeters-resource-owned-by-service"></a>

In alcuni casi, potrebbe essere necessario consentire l'accesso a risorse AWS di proprietà, risorse che non appartengono alla vostra organizzazione e a cui accedono i vostri responsabili o i AWS servizi che agiscono per vostro conto. Per ulteriori informazioni su questi scenari, consulta [Stabilire un perimetro di dati su AWS: Consenti solo risorse attendibili](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-resources-from-my-organization/) della mia organizzazione.

## Perimetro di rete
<a name="access_policies_data-perimeters-network"></a>

Un perimetro di rete è un insieme di controlli preventivi di accesso generalizzati che aiutano a garantire che le proprie identità possano accedere solo dalle reti previste e che le risorse siano accessibili solo dalle reti previste. Le reti previste in genere includono i data center locali e i cloud privati virtuali (VPCs) e le reti di AWS servizi che agiscono per conto dell'utente. 

Le seguenti chiavi di condizione globali aiutano a far rispettare i controlli perimetrali della rete in base alla tua definizione delle reti previste. Utilizzate queste chiavi nelle [politiche di controllo dei servizi (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) per limitare le reti da cui le identità possono comunicare o nelle [politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) per limitare l'accesso alle risorse alle reti previste.

### Reti di tua proprietà
<a name="data-perimeters-network-owned-by-you"></a>

È possibile utilizzare le seguenti chiavi di condizione per definire le reti che i dipendenti e le applicazioni dovrebbero utilizzare per accedere alle risorse, come l'intervallo CIDR IP aziendale e il VPCs
+ [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip): è possibile utilizzare questa chiave di condizione per garantire che l'indirizzo IP del richiedente rientri in un intervallo IP specificato.
+ [aws:SourceVpc](reference_policies_condition-keys.md#condition-keys-sourcevpc): è possibile utilizzare questa chiave di condizione per garantire che l'endpoint VPC attraverso cui viaggia la richiesta appartenga al VPC specificato.
+ [aws:SourceVpce](reference_policies_condition-keys.md#condition-keys-sourcevpce): è possibile utilizzare questa chiave di condizione per garantire che la richiesta viaggi attraverso l'endpoint VPC specificato.
+ [aws:VpceAccount](reference_policies_condition-keys.md#condition-keys-vpceaccount)— È possibile utilizzare questa chiave di condizione per garantire che le richieste arrivino tramite endpoint VPC di proprietà dell'account specificato. AWS 
+ [aws:VpceOrgPaths](reference_policies_condition-keys.md#condition-keys-vpceorgpaths): è possibile utilizzare questa chiave di condizione per garantire che i principali IAM che effettuano la richiesta appartengano all’unità organizzativa (UO) specificata in AWS Organizations.
+ [aws:VpceOrgID](reference_policies_condition-keys.md#condition-keys-vpceorgid): è possibile utilizzare questa chiave di condizione per garantire che le richieste viaggino attraverso gli endpoint VPC appartenenti agli account nell’organizzazione specificata in AWS Organizations.

`aws:VpceAccount`, `aws:VpceOrgPaths` e `aws:VpceOrgID` sono particolarmente utili per implementare controlli perimetrali di rete che si adattano automaticamente all’utilizzo degli endpoint VPC, senza che si renda necessario aggiornare le policy quando si creano nuovi endpoint. Per un elenco di Servizi AWS che supportano queste chiavi, consulta [AWS chiavi di contesto della condizione globale](reference_policies_condition-keys.md).

### Reti di AWS servizi che agiscono per tuo conto
<a name="data-perimeters-network-owned-by-service"></a>

Puoi utilizzare le seguenti chiavi di condizione per consentire ai AWS servizi di accedere alle tue risorse dalle loro reti quando agiscono per tuo conto.
+ [aws:ViaAWSService](reference_policies_condition-keys.md#condition-keys-viaawsservice)— È possibile utilizzare questa chiave condizionale per assicurarsi che sia Servizi AWS possibile effettuare richieste per conto del proprio utente principale [Inoltro delle sessioni di accesso](access_forward_access_sessions.md) (FAS).
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice)— È possibile utilizzare questa chiave di condizione per assicurarsi che sia Servizi AWS possibile accedere alle risorse utilizzando[AWS presidi del servizio](reference_policies_elements_principal.md#principal-services).

 Esistono altri scenari in cui è necessario consentire l'accesso a Servizi AWS che accedono alle risorse dall'esterno della rete. Per ulteriori informazioni, consulta [Stabilire un perimetro di dati su AWS: Consenti l'accesso ai dati aziendali solo dalle reti previste](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-access-to-company-data-only-from-expected-networks/).

## Risorse per ulteriori informazioni sui perimetri di dati
<a name="access_policies_data-perimeters-resources"></a>

Le seguenti risorse possono rivelarsi utili per saperne di più sui perimetri di dati su AWS.
+ [Perimetri dei dati](https://aws.amazon.com/identity/data-perimeters-on-aws/) attivi AWS: scopri i perimetri dei dati e i relativi vantaggi e casi d'uso.
+  [Serie di post sul blog: Stabilire un perimetro di dati su AWS](https://aws.amazon.com/identity/data-perimeters-blog-post-series/) — Questi post del blog contengono linee guida prescrittive per stabilire il perimetro dei dati su larga scala, comprese considerazioni chiave sulla sicurezza e l'implementazione.
+  Esempi di [policy relative al perimetro dei dati: questo GitHub repository contiene esempi](https://github.com/aws-samples/data-perimeter-policy-examples/tree/ce06665ca8b2f07debee7bed5153c3be0f31c73c) di policy che coprono alcuni modelli comuni per aiutarti a implementare un perimetro di dati. AWS
+ [Supporto per il perimetro dei dati](https://github.com/aws-samples/data-perimeter-helper/tree/main?tab=readme-ov-file): questo strumento consente di progettare e anticipare l'impatto dei controlli perimetrali dei dati analizzando l'attività di accesso nei log [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).

# Limiti delle autorizzazioni per le entità IAM
<a name="access_policies_boundaries"></a>

AWS supporta i *limiti delle autorizzazioni* per le entità IAM (utenti o ruoli). Un limite delle autorizzazioni è una funzione avanzata per l'utilizzo di una policy gestita per impostare il numero massimo di autorizzazioni che una policy basata su identità può concedere a un'entità IAM. Il limite delle autorizzazioni di un'entità consente di eseguire solo le operazioni consentite dalle sue policy basate su identità e dai suoi limiti delle autorizzazioni.

Per ulteriori informazioni sui tipi di policy, consulta [Tipi di policy](access_policies.md#access_policy-types).

**Importante**  
Non utilizzare istruzioni di policy basate sulle risorse che includono un elemento di policy `NotPrincipal` con effetto `Deny` per gli utenti o i ruoli IAM ai quali è collegata una policy con limite delle autorizzazioni. L'elemento `NotPrincipal` con effetto `Deny` rifiuterà sempre qualsiasi principale IAM al quale è collegata una policy con limite delle autorizzazioni, indipendentemente dai valori specificati nell'elemento `NotPrincipal`. Ciò fa sì che alcuni utenti o ruoli IAM che altrimenti avrebbero accesso alla risorsa perdano l'accesso. Ti consigliamo di modificare le istruzioni di policy basate sulle risorse di modo che, per limitare l'accesso, utilizzino l'operatore di condizione [`ArnNotEquals`](reference_policies_elements_condition_operators.md#Conditions_ARN) con la chiave di contesto [`aws:PrincipalArn`](reference_policies_condition-keys.md#condition-keys-principalarn) anziché l'elemento `NotPrincipal`. Per ulteriori informazioni sull'elemento `NotPrincipal`, consulta la pagina [AWS Elementi della policy JSON: NotPrincipal](reference_policies_elements_notprincipal.md).

Puoi utilizzare una policy AWS gestita o una policy gestita dal cliente per impostare il limite per un'entità IAM (utente o ruolo). La policy limita il numero massimo di autorizzazioni per l'utente o il ruolo.

Ad esempio, supponiamo che l'utente IAM denominato `Shirley` debba essere autorizzato a gestire solo Amazon S3 CloudWatch, Amazon e Amazon EC2. Per applicare la regola, puoi utilizzare la policy seguente per impostare il limite delle autorizzazioni per l'utente `Shirley`:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "cloudwatch:*",
                "ec2:*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Quando utilizzi una policy per impostare il limite delle autorizzazioni per un utente, questa limita le autorizzazioni dell'utente, ma non le fornisce di per sé. In questo esempio, la policy imposta le autorizzazioni massime di tutte `Shirley` le operazioni in Amazon S3 CloudWatch e Amazon EC2. Shirley non può eseguire operazioni negli altri servizi, incluso IAM, anche se dispone di una policy di autorizzazione che lo consente. Ad esempio, prova ad aggiungere la policy seguente all'utente `Shirley`:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:CreateUser",
    "Resource": "*"
  }
}
```

------

Questa policy consente la creazione di un utente in IAM. Se colleghi questa policy di autorizzazione all'utente `Shirley` e Shirley tenta di creare un utente, l'operazione ha esito negativo. Non riesce perché il limite delle autorizzazioni non consente l'operazione `iam:CreateUser`. Date queste due policy, Shirley non ha il permesso di eseguire alcuna operazione in AWS. È necessario aggiungere una policy di autorizzazioni diversa per consentire operazioni in altri servizi, ad esempio Amazon S3. In alternativa, è possibile aggiornare il limite delle autorizzazioni per consentirle di creare un utente in IAM.

## Valutazione delle autorizzazioni valide con i limiti
<a name="access_policies_boundaries-eval-logic"></a>

Il limite delle autorizzazioni per un'entità IAM (utente o ruolo) imposta il numero massimo di autorizzazioni che è possibile concedere all'entità. Questo può influire sulle autorizzazioni valide per l'utente o il ruolo. Le autorizzazioni valide per un'entità sono quelle concesse da tutte le policy che interessano l'utente o il ruolo. All'interno di un account, le autorizzazioni di un'entità possono essere influenzate da politiche basate sull'identità, politiche basate sulle risorse, limiti delle autorizzazioni o politiche di sessione. AWS Organizations SCPs Per ulteriori informazioni sui diversi tipi di policy, consulta [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md).

Se uno di questi tipi di policy rifiuta esplicitamente l'accesso per un'operazione, la richiesta viene rifiutata. Le autorizzazioni concesse a un'entità in base a diversi tipi di autorizzazioni sono più complesse. Per maggiori dettagli su come valuta le politiche, consulta. AWS [Logica di valutazione delle policy](reference_policies_evaluation-logic.md)

**Policy basate su identità con limiti**: le policy basate su identità sono policy in linea o gestite collegate a un utente, un gruppo di utenti o un ruolo. Le policy basate su identità concedono autorizzazioni all'entità e i limiti delle autorizzazioni limitano tali autorizzazioni. Le autorizzazioni effettive sono l'intersezione di entrambi i tipi di policy. Un rifiuto esplicito in una di queste policy sostituisce l'autorizzazione.

![\[Valutazione delle policy basate su identità e dei limiti delle autorizzazioni\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/permissions_boundary.png)


**Policy basate su risorse**: le policy basate su risorse controllano il modo in cui l'entità principale specificata può accedere alla risorsa a cui la policy è collegata.

*Policy basate su risorse per utenti IAM*  
All'interno dello stesso account, le politiche basate sulle risorse che concedono le autorizzazioni all'ARN di un utente IAM (che non è una sessione principale di utenti AWS STS federati) non sono limitate da una negazione implicita in una policy o un limite di autorizzazioni basato sull'identità.  

![\[Valutazione di una policy basata su risorse, di un limite delle autorizzazioni e di una policy basata su identità\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/EffectivePermissions-rbp-boundary-id.png)


*Policy basate sulle risorse per ruoli IAM*  
**Ruolo IAM**: i criteri basati sulle risorse che concedono le autorizzazioni a un ARN del ruolo IAM sono limitati da un rifiuto implicito in un limite delle autorizzazioni o in una policy di sessione.  
**Sessione come ruolo IAM**: all'interno dello stesso account, le policy basate sulle risorse che concedono le autorizzazioni all'ARN della sessione come ruolo IAM concedono le autorizzazioni direttamente alla sessione come ruolo assunto. Le autorizzazioni concesse direttamente a una sessione non sono limitate da un rifiuto implicito in una policy basata su identità, da un limite delle autorizzazioni o da una policy di sessione. Quando si assume un ruolo e si effettua una richiesta, il principale che effettua la richiesta è l'ARN della sessione come ruolo IAM e non l'ARN del ruolo stesso.

*Politiche basate sulle risorse per le sessioni principali degli utenti federati AWS STS *  
**AWS STS sessioni principali con utenti federati: una sessione principale** con utenti AWS STS federati è una sessione creata mediante chiamata. [`GetFederationToken`](id_credentials_temp_request.md#api_getfederationtoken) Quando un utente federato effettua una richiesta, il principale che effettua la richiesta è l'ARN dell'utente federato e non l'ARN dell'utente IAM che ha eseguito la federazione. All'interno dello stesso account, le policy basate sulle risorse che concedono le autorizzazioni all'ARN dell'utente federato concedono le autorizzazioni direttamente alla sessione. Le autorizzazioni concesse direttamente a una sessione non sono limitate da un rifiuto implicito in una policy basata su identità, da un limite delle autorizzazioni o da una policy di sessione.  
Tuttavia, se una policy basata sulle risorse concede l'autorizzazione all'ARN dell'utente IAM che ha effettuato la federazione, le richieste effettuate dal principale utente federato durante la sessione sono AWS STS limitate da una negazione implicita in un limite di autorizzazione o in una policy di sessione.

**AWS Organizations SCPs**— SCPs vengono applicati a un intero. Account AWS Limitano le autorizzazioni per ogni richiesta effettuata da un'entità principale all'interno dell'account. Un'entità IAM (utente o ruolo) può effettuare una richiesta che è influenzata da una SCP, un limite delle autorizzazioni e una policy basata su identità. In questo caso, la richiesta è consentita solo se tutti e tre i tipi di policy la consentono. Le autorizzazioni effettive sono l'intersezione di tutti e tre i tipi di policy. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l’autorizzazione.

![\[Valutazione di un'SCP, di un limite delle autorizzazioni e di una policy basata su identità\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/EffectivePermissions-scp-boundary-id.png)


Puoi scoprire [se il tuo account è un membro di un'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_details.html#orgs_view_account) in AWS Organizations. I membri dell'organizzazione potrebbero essere influenzati da una SCP. Per visualizzare questi dati utilizzando il AWS CLI comando o l'operazione AWS API, devi disporre delle autorizzazioni per l'`organizations:DescribeOrganization`azione per la tua AWS Organizations entità. È necessario disporre di autorizzazioni aggiuntive per eseguire l'operazione nella AWS Organizations console. Per sapere se un SCP sta negando l'accesso a una richiesta specifica o per modificare le autorizzazioni effettive, contatta l'amministratore. AWS Organizations 

**Policy di sessione** - Le policy di sessione sono policy avanzate che vengono trasmesse come parametro quando si crea in modo programmatico una sessione temporanea per un ruolo o un utente federato. Le autorizzazioni per una sessione provengono dall'entità IAM (utente o ruolo) utilizzata per creare la sessione e dalla policy di sessione. Le autorizzazioni della policy basata su identità dell'entità sono limitate dalla policy di sessione e dal limite delle autorizzazioni. Le autorizzazioni effettive per questo set di tipi di policy sono l'intersezione di tutti e tre i tipi di policy. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l’autorizzazione. Per ulteriori informazioni sulle policy di sessione, consulta la sezione relativa alle [policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session).

![\[Valutazione di una policy di sessione, di un limite delle autorizzazioni e di una policy basata su identità\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/EffectivePermissions-session-boundary-id.png)


## Delega di responsabilità ad altri mediante i limiti delle autorizzazioni
<a name="access_policies_boundaries-delegate"></a>

Puoi utilizzare il limiti delle autorizzazioni per delegare le attività di gestione delle autorizzazioni, ad esempio la creazione di utenti, agli utenti IAM nel tuo account. Questo consente ad altri di eseguire operazioni a tuo nome all'interno di un limite specifico di autorizzazioni.

Ad esempio, supponiamo che María sia l'amministratore di X-Company. Account AWS María vuole delegare l'attività di creazione di utenti a Zhang. Tuttavia, deve accertarsi che gli utenti creati da Zhang siano conformi alle seguenti regole aziendali:
+ Gli utenti non possono utilizzare IAM per creare o gestire utenti, gruppi, ruoli o policy.
+ Agli utenti viene rifiutato l'accesso al bucket `logs` di Amazon S3 e all'istanza `i-1234567890abcdef0` di Amazon EC2.
+ Gli utenti non possono rimuovere le proprie policy limite.

Per applicare queste regole, María completa le attività seguenti, i cui dettagli sono riportati di seguito:

1. María crea la policy gestita `XCompanyBoundaries` da utilizzare come limite delle autorizzazioni per tutti i nuovi utenti nell'account.

1. María crea la policy gestita `DelegatedUserBoundary` e la assegna come limite delle autorizzazioni per Zhang. Maria prende nota dell'ARN del suo utente amministratore e lo usa nel criterio per impedire a Zhang di accedervi.

1. María crea la policy gestita `DelegatedUserPermissions` e la collega alla policy di autorizzazione per Zhang.

1. María comunica a Zhang le sue nuove responsabilità e limitazioni.

**Attività 1:** María deve prima creare una policy gestita per definire il limite per i nuovi utenti. María deve consentire a Zhang di concedere agli utenti le policy di autorizzazione necessarie, ma vuole che tali utenti abbiano delle limitazioni. A tale scopo, crea questa policy gestita dal cliente, denominata `XCompanyBoundaries`. Questa policy esegue le seguenti operazioni:
+ Consente agli utenti l'accesso completo a diversi servizi
+ Consente l'accesso autonomo limitato alla console IAM. Ciò significa che è possibile modificare la password dopo aver effettuato l'accesso alla console. Non è possibile impostare la password iniziale. Per consentire questa operazione, aggiungere l'operazione `"*LoginProfile"` all'istruzione `AllowManageOwnPasswordAndAccessKeys`.
+ Rifiuta agli utenti l'accesso al bucket di log Amazon S3 o all'istanza Amazon EC2 `i-1234567890abcdef0`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ServiceBoundaries",
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "cloudwatch:*",
                "ec2:*",
                "dynamodb:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIAMConsoleForCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswordAndAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:ChangePassword",
                "iam:GetUser",
                "iam:*ServiceSpecificCredential*",
                "iam:*SigningCertificate*"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "DenyS3Logs",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::logs",
                "arn:aws:s3:::logs/*"
            ]
        },
        {
            "Sid": "DenyEC2Production",
            "Effect": "Deny",
            "Action": "ec2:*",
            "Resource": "arn:aws:ec2:*:*:instance/i-1234567890abcdef0"
        }
    ]
}
```

------

Ogni istruzione svolge una funzione diversa:

1. La `ServiceBoundaries` dichiarazione di questa politica consente l'accesso completo ai servizi AWS specificati. Ciò significa che le operazioni di un nuovo utente in questi servizi sono limitate solo dalle policy di autorizzazione collegate all'utente.

1. La dichiarazione `AllowIAMConsoleForCredentials` consente l'accesso per elencare tutti gli utenti IAM. Questo accesso è necessario per navigare nella pagina **Users (Utenti)** nella Console di gestione AWS. Inoltre, consente di visualizzare i requisiti associati alle password per l'account, necessari per modificare la password.

1. L'istruzione `AllowManageOwnPasswordAndAccessKeys` consente agli utenti di gestire solo le proprie chiavi di accesso a livello di programmazione e le password della console. Questo è importante se Zhang o un altro amministratore concede a un nuovo utente una policy di autorizzazione con accesso IAM completo. In tal caso, l'utente può modificare le proprie autorizzazioni o quelle di altri utenti. Questa istruzione impedisce che ciò si verifichi.

1. L'istruzione `DenyS3Logs` nega esplicitamente l'accesso al bucket `logs`.

1. L'istruzione `DenyEC2Production` nega esplicitamente l'accesso all'istanza `i-1234567890abcdef0`.

**Attività 2:** María vuole consentire a Zhang di creare tutti gli utenti X-Company, ma solo con il limite delle autorizzazioni `XCompanyBoundaries`. A tale scopo, crea questa policy gestita dal cliente, denominata `DelegatedUserBoundary`. Questa policy definisce il numero massimo di autorizzazioni di cui Zhang può disporre.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateOrChangeOnlyWithBoundary",
            "Effect": "Allow",
            "Action": [
                "iam:AttachUserPolicy",
                "iam:CreateUser",
                "iam:DeleteUserPolicy",
                "iam:DetachUserPolicy",
                "iam:PutUserPermissionsBoundary",
                "iam:PutUserPolicy"
            ],
            "Resource": "*",
            "Condition": {
               "StringEquals": {
                 "iam:PermissionsBoundary": "arn:aws:iam::123456789012:policy/XCompanyBoundaries"
                }
            }
        },
        {
            "Sid": "CloudWatchAndOtherIAMTasks",
            "Effect": "Allow",
            "Action": [
              "cloudwatch:*",
              "iam:CreateAccessKey",
              "iam:CreateGroup",
              "iam:CreateLoginProfile",
              "iam:CreatePolicy",
              "iam:DeleteGroup",
              "iam:DeletePolicy",
              "iam:DeletePolicyVersion",
              "iam:DeleteUser",
              "iam:GetAccountPasswordPolicy",
              "iam:GetGroup",
              "iam:GetLoginProfile",
              "iam:GetPolicy",
              "iam:GetPolicyVersion",
              "iam:GetRolePolicy",
              "iam:GetUser",
              "iam:GetUserPolicy",
              "iam:ListAccessKeys",
              "iam:ListAttachedRolePolicies",
              "iam:ListAttachedUserPolicies",
              "iam:ListEntitiesForPolicy",
              "iam:ListGroups",
              "iam:ListGroupsForUser",
              "iam:ListMFADevices",
              "iam:ListPolicies",
              "iam:ListPolicyVersions",
              "iam:ListRolePolicies",
              "iam:ListSSHPublicKeys",
              "iam:ListServiceSpecificCredentials",
              "iam:ListSigningCertificates",
              "iam:ListUserPolicies",
              "iam:ListUsers",
              "iam:SetDefaultPolicyVersion",
              "iam:SimulateCustomPolicy",
              "iam:SimulatePrincipalPolicy",
              "iam:UpdateGroup",
              "iam:UpdateLoginProfile",
              "iam:UpdateUser"
            ],
            "NotResource": "arn:aws:iam::123456789012:user/Maria"
        },
        {
            "Sid": "NoBoundaryPolicyEdit",
            "Effect": "Deny",
            "Action": [
                "iam:CreatePolicyVersion",
                "iam:DeletePolicy",
                "iam:DeletePolicyVersion",
                "iam:SetDefaultPolicyVersion"
            ],
            "Resource": [
                "arn:aws:iam::123456789012:policy/XCompanyBoundaries",
                "arn:aws:iam::123456789012:policy/DelegatedUserBoundary"
            ]
        },
        {
            "Sid": "NoBoundaryUserDelete",
            "Effect": "Deny",
            "Action": "iam:DeleteUserPermissionsBoundary",
            "Resource": "*"
        }
    ]
}
```

------

Ogni istruzione svolge una funzione diversa:

1. L'istruzione `CreateOrChangeOnlyWithBoundary` consente a Zhang di creare utenti IAM ma solo se utilizza la policy `XCompanyBoundaries` per impostare il limite delle autorizzazioni. L'istruzione gli consente inoltre di impostare il limite delle autorizzazioni per gli utenti esistenti, ma solo utilizzando la stessa policy. Infine, consente a Zhang di gestire le policy di autorizzazione per gli utenti per i quali è stato impostato questo limite delle autorizzazioni.

1. L'istruzione `CloudWatchAndOtherIAMTasks` consente a Zhang di completare altre attività di gestione di utenti, gruppi e policy. Ha le autorizzazioni per reimpostare le password e creare chiavi di accesso per qualsiasi utente IAM non elencato nell'elemento della policy `NotResource`. Questo gli consente di aiutare gli utenti con problemi di accesso.

1. L'istruzione `NoBoundaryPolicyEdit` nega a Zhang l'accesso per aggiornare la policy `XCompanyBoundaries`. Zhang non può modificare alcuna policy utilizzata per impostare il limite delle autorizzazioni per sé o per altri utenti.

1. L'istruzione `NoBoundaryUserDelete` nega a Zhang l'accesso per eliminare il limite delle autorizzazioni per sé o per altri utenti.

María assegna quindi la policy `DelegatedUserBoundary` come [limite delle autorizzazioni](id_users_change-permissions.md#users_change_permissions-set-boundary-console) per l'utente `Zhang`. 

**Attività 3:** poiché il limite delle autorizzazioni controlla il numero massimo di autorizzazioni, ma non concede l'accesso di per sé, María deve creare una policy di autorizzazione per Zhang. A tale scopo, crea questa policy, denominata `DelegatedUserPermissions`. Questa policy definisce le operazioni che Zhang può eseguire, entro il limite definito.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "IAM",
            "Effect": "Allow",
            "Action": "iam:*",
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchLimited",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetDashboard",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListDashboards",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics"
            ],
            "Resource": "*"
        },
        {
            "Sid": "S3BucketContents",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::ZhangBucket"
        }
    ]
}
```

------

Ogni istruzione svolge una funzione diversa:

1. L'istruzione `IAM` della policy consente a Zhang l'accesso completo a IAM. Tuttavia, poiché il limite delle autorizzazioni di Zhang consente solo alcune operazioni in IAM, le sue autorizzazioni valide in IAM sono limitate solo dal relativo limite delle autorizzazioni.

1. La `CloudWatchLimited` dichiarazione consente a Zhang di eseguire cinque azioni in CloudWatch. Il suo limite di autorizzazioni consente l'accesso a tutte le azioni CloudWatch, quindi le sue CloudWatch autorizzazioni effettive sono limitate solo dalla sua politica sulle autorizzazioni.

1. L'istruzione `S3BucketContents` consente a Zhang di visualizzare il bucket `ZhangBucket` di Amazon S3. Tuttavia, il limite delle autorizzazioni di Zhang non gli consente alcuna operazione in Amazon S3, quindi non può eseguire operazioni S3, indipendentemente dalla sua policy di autorizzazione.
**Nota**  
Le policy di Zhang gli permettono di creare un utente in grado di accedere alle risorse Amazon S3 a cui lui non può accedere. Delegando queste operazioni amministrative, Maria di fatto si fida dell'accesso di Zhang ad Amazon S3. 

María collega quindi la policy `DelegatedUserPermissions` come policy di autorizzazione per l'utente `Zhang`. 

**Attività 4:** María fornisce a Zhang le istruzioni per creare un nuovo utente. Zhang può creare nuovi utenti con tutte le autorizzazioni necessarie, ma deve assegnare loro la policy `XCompanyBoundaries` come limite delle autorizzazioni.

Zhang completa le attività seguenti:

1. Zhang crea un utente con. Console di gestione AWS Digita il nome utente `Nikhil` e consente l'accesso alla console a tale utente. Cancella la casella di controllo accanto a **Richiede reimpostazione della password** poiché le policy sopra riportate consentono agli utenti di modificare la password solo dopo aver effettuato l'accesso alla console IAM.

1. Nella pagina **Imposta le autorizzazioni**, Zhang sceglie le politiche di autorizzazione di **IAMFullAccess** e **AmazonS3** che consentono a Nikhil di ReadOnlyAccess svolgere il suo lavoro. 

1. Zhang salta la sezione **Set permissions boundary (Imposta limite delle autorizzazioni)**, dimenticando le indicazioni di María.

1. Zhang esamina i dettagli utente e seleziona **Create user (Crea utente)**.

   L'operazione ha esito negativo e l'accesso viene negato. In base al limite delle autorizzazioni di Zhang, `DelegatedUserBoundary`, qualsiasi utente da lui creato deve includere la policy `XCompanyBoundaries` come limite delle autorizzazioni.

1. Zhang torna alla pagina precedente. Nella sezione **Set permissions boundary (Imposta limite delle autorizzazioni)**, seleziona la policy `XCompanyBoundaries`. 

1. Zhang esamina i dettagli utente e seleziona **Create user (Crea utente)**.

   L'utente viene creato. 

Quando Nikhil esegue l'accesso, può accedere a IAM e Amazon S3, ma non alle operazioni rifiutate dal suo limite delle autorizzazioni. Ad esempio, può modificare la propria password in IAM ma non può creare un altro utente o modificare le policy. Nikhil ha accesso in sola lettura ad Amazon S3.

Se qualcuno aggiunge una policy basata sulle risorse al bucket `logs` che consente a Nikhil di inserire un oggetto nel bucket, significa che non può ancora accedere al bucket. Questo perché qualsiasi operazione sul bucket `logs` è esplicitamente rifiutata dal suo limite delle autorizzazioni. Un rifiuto esplicito in qualsiasi tipo di policy determina il rifiuto di una richiesta. Tuttavia, se una policy basata sulle risorse collegata a un segreto di Secrets Manager consente a Nikhil di eseguire l'operazione `secretsmanager:GetSecretValue`, allora Nikhil potrà recuperare e decrittare il segreto. Questo perché le operazioni di Secrets Manager non sono esplicitamente rifiutate dal suo limite delle autorizzazioni e i rifiuti impliciti nei limiti delle autorizzazioni non limitano le policy basate sulle risorse.

# Policy basate sulle identità e policy basate su risorse
<a name="access_policies_identity-vs-resource"></a>

Una policy è un oggetto AWS che, se associato a un'identità o a una risorsa, ne definisce le autorizzazioni. Quando crei una policy di autorizzazione per limitare l'accesso a una risorsa, puoi scegliere una *policy basata su identità* o una *policy basata su risorse*.

Le **policy basate su identità** sono collegate a un utente, un gruppo o un ruolo IAM. Queste policy consentono di specificare cosa può fare quell'identità (le sue autorizzazioni). Ad esempio, puoi collegare la policy all'utente IAM di nome John, dichiarando che a questo utente è autorizzato ad eseguire l'operazione `RunInstances` di Amazon EC2. La policy potrebbe inoltre dichiarare che a John è consentito ottenere oggetti da una tabella di Amazon DynamoDB denominata `MyCompany`. È inoltre possibile consentire a John di gestire le proprie credenziali di sicurezza IAM. Le policy basate su identità sulle identità possono essere [gestite o inline](access_policies_managed-vs-inline.md).

Le **policy basate su risorse** sono collegate a una risorsa. Ad esempio, puoi collegare policy basate su risorse a bucket Amazon S3, code Amazon SQS, endpoint VPC, chiavi di crittografia AWS Key Management Service e tabelle e flussi Amazon DynamoDB. Per un elenco dei servizi che supportano le policy basate su risorse, consulta [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md).

Le policy basate su risorse consentono di specificare quali utenti hanno accesso a una risorsa e quali operazioni possono eseguirvi. Per capire se i principali negli account esterni alla zona di attendibilità (organizzazione o account attendibile) dispongono dell'accesso per assumere i ruoli, consulta [Cos'è IAM Access Analyzer?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html). Le policy basate su risorse sono solo inline, non gestite.

**Nota**  
Le policy *basate su risorse* sono diverse dalle autorizzazioni *a livello di risorsa*. È possibile collegare policy basate su risorse direttamente a una risorsa, come descritto in questo argomento. Le autorizzazioni a livello di risorsa si riferiscono alla capacità di specificare singole risorse in [ARNs](reference_identifiers.md#identifiers-arns)una politica. Le politiche basate sulle risorse sono supportate solo da alcuni servizi. AWS Per un elenco dei servizi che supportano delle policy basate su risorse e le autorizzazioni a livello di risorsa, consultare [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md).

Per informazioni su come interagiscono le policy basate su identità e le policy basate sulle risorse all'interno dello stesso account, consulta [Valutazione delle policy per le richieste all'interno di un singolo account](reference_policies_evaluation-logic_policy-eval-basics.md).

Per informazioni su come le policy interagiscono tra gli account, consulta [Cross-account policy evaluation logic](reference_policies_evaluation-logic-cross-account.md).

Per comprendere meglio questi concetti, visualizza la figura riportata di seguito. L'amministratore dell'account `123456789012` ha collegato *policy basate su identità* agli utenti `John`, `Carlos` e `Mary`. Alcune delle operazioni in queste policy possono essere eseguite su risorse specifiche. Ad esempio, l'utente `John` può eseguire alcune operazioni su `Resource X`. Si tratta di un'*autorizzazione a livello di risorsa* in una policy basata su identità. L'amministratore inoltre ha aggiunto *policy basate su risorse* a `Resource X`, `Resource Y` e `Resource Z`. Le policy basate su risorse consentono di specificare chi può accedere alla risorsa. Ad esempio, la policy basata su risorsa su `Resource X` consente agli utenti `John` e `Mary` l'accesso all'elenco e in lettura a quella risorsa.

![\[Policy basate su identità e policy basate su risorse\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/Types_of_Permissions.diagram.png)


L'esempio di account `123456789012` consente agli utenti seguenti di eseguire le operazioni elencate:
+ **John**: John può eseguire operazioni di lettura ed elenco su `Resource X`. Gli è concessa questa autorizzazione dalla policy basata su identità sul suo utente e dalla policy basata su risorsa su `Resource X`.
+ **Carlos**: Carlos può eseguire operazioni di lettura, scrittura ed elenco su `Resource Y` ma gli viene rifiutato l’accesso a `Resource Z`. La policy basata su identità su Carlos gli consente di eseguire operazioni di lettura ed elenco su `Resource Y`. La policy basata sulla risorsa `Resource Y`, inoltre, gli concede autorizzazioni di scrittura. Tuttavia, anche se la sua policy basata su identità gli consente l'accesso a `Resource Z`, la policy basata sulla risorsa `Resource Z` nega tale accesso. Un `Deny` esplicito sostituisce un `Allow` e il suo accesso a `Resource Z` viene negato. Per ulteriori informazioni, consulta [Logica di valutazione delle policy](reference_policies_evaluation-logic.md). 
+ **Mary**: Mary può eseguire operazioni di scrittura, lettura ed elenco su `Resource X`, `Resource Y` e `Resource Z`. La sua policy basata su identità le consente più operazioni su più risorse rispetto alle policy basate su risorse, ma nessuna di queste nega l'accesso.
+ **Zhang**: Zhang ha accesso completo a `Resource Z`. Zhang non ha policy basate su identità, ma la policy basata sulla risorsa `Resource Z` gli consente l'accesso completo alla risorsa. Zhang può anche eseguire elenco e leggere operazioni su `Resource Y`.

Le policy basate su identità e le policy basate su risorse sono entrambe policy di autorizzazione e vengono valutate insieme. Per una richiesta a cui si applicano solo i criteri di autorizzazione, controlla AWS innanzitutto tutti i criteri per un. `Deny` Se ne esiste una, la richiesta viene negata. Quindi, AWS verifica ogni `Allow`. Se almeno un'istruzione della policy consente l'operazione nella richiesta, la richiesta è consentita. Non importa se l'`Allow` è concessa dalla policy basata su identità o dalla policy basata su risorse.

**Importante**  
Questa logica si applica solo quando la richiesta viene effettuata all'interno di un singolo Account AWS. Per le richieste effettuate da un account a un altro, il richiedente nell'`Account A` deve disporre di una policy basata su identità che gli consenta di effettuare una richiesta alla risorsa nell'`Account B`. Inoltre, la policy basata sulla risorsa nell'`Account B` deve consentire al richiedente nell'`Account A` di accedere alla risorsa. In entrambi gli account devono essere presenti policy che consentono l'operazione, altrimenti la richiesta non riesce. Per ulteriori informazioni sull'utilizzo delle policy basate sulle risorse per l'accesso tra account, consulta [Accesso alle risorse multi-account in IAM](access_policies-cross-account-resource-access.md).

Un utente che dispone di autorizzazioni specifiche potrebbe richiedere una risorsa a cui è collegata anche una policy di autorizzazione. In tal caso, AWS valuta entrambi i set di autorizzazioni per determinare se concedere l'accesso alla risorsa. Per ulteriori informazioni su come vengono valutate le policy, consultare [Logica di valutazione delle policy](reference_policies_evaluation-logic.md). 

**Nota**  
Amazon S3 supporta le policy basate sulle identità e le policy basate su risorse (dette *policy dei bucket*). Inoltre, Amazon S3 supporta un meccanismo di autorizzazione noto come *lista di controllo accessi (ACL)* che è indipendente dalle policy e dalle autorizzazioni IAM. Puoi utilizzare le policy IAM in combinazione con Amazon S3 ACLs. Per ulteriori informazioni, consulta [Controllo accessi](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingAuthAccess.html) nella *Guida per l'utente di Amazon Simple Storage Service*. 

# Controlla l'accesso alle AWS risorse utilizzando le policy
<a name="access_controlling"></a>

Puoi utilizzare una policy per controllare l'accesso alle risorse all'interno di IAM o in tutto AWS.

Per utilizzare una [policy](access_policies.md) per controllare l'accesso in AWS, è necessario comprendere in che modo AWS concede l'accesso. AWS è composto da raccolte di *risorse*. Un utente IAM è una risorsa. Un bucket Amazon S3 è una risorsa. Quando si utilizza l' AWS API AWS CLI, il o il Console di gestione AWS per eseguire un'operazione (come la creazione di un utente), si invia una *richiesta* per tale operazione. La richiesta specifica un'operazione, una risorsa, un'*entità principale* (utente o ruolo), un *account principale* e qualsiasi altra informazione necessaria per la richiesta. Tutte queste informazioni forniscono il *contesto*.

AWS verifica quindi che tu (il principale) sia autenticato (effettuato l'accesso) e autorizzato (disponi del permesso) a eseguire l'azione specificata sulla risorsa specificata. Durante l'autorizzazione, AWS controlla tutte le politiche che si applicano al contesto della richiesta. La maggior parte delle politiche viene archiviata AWS come [documenti JSON](access_policies.md#access_policies-json) e specifica le autorizzazioni per le entità principali. Per ulteriori informazioni sui tipi di policy e i relativi utilizzi, consulta [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md).

AWS autorizza la richiesta solo se ogni parte della richiesta è consentita dalle politiche. Per visualizzare un diagramma di questo processo, consultare [Funzionamento di IAM](intro-structure.md). Per informazioni dettagliate su come AWS determinare se una richiesta è consentita, consulta[Logica di valutazione delle policy](reference_policies_evaluation-logic.md). 

Quando crei una policy IAM, puoi controllare l'accesso ai seguenti elementi:
+ **[Principali](#access_controlling-principals)**: controlla quello che la persona che effettua la richiesta ([principale](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal)) è autorizzata a fare. 
+ **[Identità IAM](#access_controlling-identities)**: controlla a quali identità IAM (gruppi IA;, utenti e ruoli) è possibile accedere e come.
+ **[Policy IAM](#access_controlling-policies)**: controlla quali utenti possono creare, modificare ed eliminare le policy gestite dai clienti e quali utenti possono collegare e scollegare tutte le policy gestite.
+ **[Risorse AWS](#access_controlling-resources)**: consente di controllare quali utenti hanno accesso alle risorse tramite una policy basata sulle identità o una policy basata sulle risorse.
+ **[Account AWS](#access_controlling-principal-accounts)**: consente di controllare se una richiesta è consentita solo per i membri di un determinato account.

Le politiche consentono di specificare chi ha accesso alle AWS risorse e quali azioni può eseguire su tali risorse. Inizialmente, nessun utente IAM dispone di autorizzazioni. Ovvero, per impostazione predefinita, gli utenti non possono eseguire alcuna operazione, neppure visualizzare le proprie chiavi di accesso. Per fornire a un utente l'autorizzazione per eseguire un'operazione, è possibile aggiungere l'autorizzazione all'utente, ovvero collegare una policy all'utente. In alternativa, puoi aggiungere l'utente a un gruppo di utenti con l'autorizzazione desiderata.

Ad esempio, è possibile concedere a un utente l'autorizzazione per l'elencazione delle proprie chiavi di accesso. È inoltre possibile espandere tale autorizzazione e consentire inoltre a ciascun utente di creare, aggiornare ed eliminare le proprie chiavi. 

Quando concedi le autorizzazioni a un gruppo di utenti, tutti gli utenti in quel gruppo potranno usufruire di tali autorizzazioni. Ad esempio, puoi concedere al gruppo di utenti Administrators l'autorizzazione a eseguire qualsiasi azione IAM su qualsiasi Account AWS risorsa. Un altro esempio: è possibile fornire al gruppo di utenti Manager l'autorizzazione per descrivere le istanze Amazon EC2 dell' Account AWS.

Per informazioni su come delegare le autorizzazioni di base per utenti, gruppi IAM e ruoli, consulta [Autorizzazioni necessarie per accedere alle risorse IAM](access_permissions-required.md). Per ulteriori esempi di policy che utilizzano queste autorizzazioni, consultare [Esempi di policy per amministrare le risorse IAM](id_credentials_delegate-permissions_examples.md).

## Controllo dell'accesso per le entità principali
<a name="access_controlling-principals"></a>

È possibile usare le policy per controllare le operazioni che la persona da cui proviene la richiesta (entità principale) è autorizzata a effettuare. A tale scopo, è necessario collegare una policy basata su identità all'identità di questa persona (utente, gruppo di utenti o ruolo). È possibile utilizzare anche un [limite di autorizzazioni](access_policies_boundaries.md) per impostare il numero massimo di autorizzazioni che un'entità (utente o ruolo) può avere.

Ad esempio, supponiamo di volere che l'utente Zhang Wei abbia accesso completo ad Amazon DynamoDB CloudWatch, Amazon EC2 e Amazon S3. È possibile creare due policy diverse, in modo che successivamente sia possibile suddividerle nel caso sia necessario un set di autorizzazioni per un utente diverso. In alternativa, è possibile includere entrambe le autorizzazioni in una singola policy e quindi collegare tale policy all'utente IAM denominato Zhang Wei. È anche possibile collegare una policy a un gruppo di utenti a cui Zhang appartiene o a un ruolo che Zhang può assumere. Di conseguenza, quando Zhang visualizza i contenuti di un bucket di S3, le sue richieste vengono accettate. Se prova a creare un nuovo utente IAM, la richiesta viene rifiutata perché non dispone dell'autorizzazione. 

È possibile utilizzare un limite delle autorizzazioni su Zhang per fare in modo che non gli venga mai dato accesso al bucket `amzn-s3-demo-bucket1` di S3. A tale scopo, è necessario determinare il *numero massimo* di autorizzazioni per Zhang. In questo caso è possibile controllare le sue attività con le policy di autorizzazione. L'importante è che non possa accedere al bucket riservato. Quindi usi la seguente policy per definire il limite di Zhang per consentire tutte le AWS azioni per Amazon S3 e alcuni altri servizi ma negare l'accesso al bucket S3. `amzn-s3-demo-bucket1` Poiché il limite delle autorizzazioni non consente alcuna operazione IAM, impedisce a Zhang di eliminare il proprio limite o quello di altri utenti.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PermissionsBoundarySomeServices",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:*",
                "dynamodb:*",
                "ec2:*",
                "s3:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsBoundaryNoConfidentialBucket",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1",
                "arn:aws:s3:::amzn-s3-demo-bucket1/*"
            ]
        }
    ]
}
```

------

Quando si assegna una policy come questa come limite delle autorizzazioni per un utente, la policy non concede alcuna autorizzazione. Imposta il numero massimo di autorizzazioni che una policy basata su identità può concedere a un'entità IAM. Per ulteriori informazioni sui limiti delle autorizzazioni, consultare [Limiti delle autorizzazioni per le entità IAM](access_policies_boundaries.md).

Per informazioni dettagliate sulle procedure precedenti, è possibile consultare le risorse seguenti:
+ Per ulteriori informazioni sulla creazione di una policy IAM che è possibile collegare a un principale, consulta [Definire le autorizzazioni IAM personalizzate con policy gestite dal cliente](access_policies_create.md).
+ Per ulteriori informazioni su come collegare una policy IAM a un principale, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](access_policies_manage-attach-detach.md).
+ Per consultare un esempio di policy per concedere accesso completo a EC2, consultare [Amazon EC2: consente l'accesso completo a EC2 entro una regione specifica, a livello di programmazione e nella console](reference_policies_examples_ec2_region.md).
+ Per permettere l'accesso in sola lettura a un bucket S3, utilizzare le prime due istruzioni della seguente policy di esempio: [Amazon S3: consente l'accesso in lettura e scrittura agli oggetti in un bucket S3, in modo programmatico e nella console](reference_policies_examples_s3_rw-bucket-console.md).
+ Per visualizzare una policy di esempio che consente agli utenti di impostare le credenziali, ad esempio la password della console, le chiavi di accesso a livello di programmazione e i dispositivi MFA, consulta la pagina [AWS: consente agli utenti IAM autenticati con MFA di gestire le proprie credenziali nella pagina Credenziali di sicurezza](reference_policies_examples_aws_my-sec-creds-self-manage.md).

## Controllo dell'accesso alle identità
<a name="access_controlling-identities"></a>

Puoi usare le policy IAM per controllare le operazioni che tutti gli utenti possono eseguire per un'identità mediante la creazione di una policy da collegare a tutti gli utenti tramite un gruppo di utenti. Per eseguire questa operazione, è necessario creare una policy che limita le operazioni che possono essere eseguite per un'identità oppure gli utenti che possono accedere.

Ad esempio, puoi creare un gruppo di utenti denominato **AllUsers**e quindi associare quel gruppo di utenti a tutti gli utenti. Quando si crea il gruppo di utenti, è possibile fornire a tutti gli utenti l'accesso per impostare le proprie credenziali come descritto nella sezione precedente. È quindi possibile creare una policy che rifiuti l'accesso alla modifica del gruppo di utenti a meno che il nome utente non sia incluso nella condizione della policy. Tuttavia, la parte della policy rifiuta solo l'accesso a chiunque eccetto gli utenti elencati. È inoltre necessario includere le autorizzazioni per permettere tutte le operazioni di gestione del gruppo di utenti per tutti gli utenti del gruppo. Infine, puoi collegare questa policy al gruppo di utenti in modo che venga applicata a tutti gli utenti. Di conseguenza, quando un utente non specificato nella policy cerca di apportare modifiche al gruppo di utenti, la richiesta viene rifiutata. 

**Per creare questa policy con l'editor visivo**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**. 

   Se è la prima volta che selezioni **Policy**, verrà visualizzata la pagina **Benvenuto nelle policy gestite**. Seleziona **Inizia**.

1. Scegli **Crea policy**.

1. Nella sezione **Editor di policy**, scegli l'opzione **Visivo**.

1. In **Seleziona un servizio**, scegli **IAM**.

1. In **Operazioni consentite**, digita **group** nella casella di ricerca. L'editor visivo mostra tutte le operazioni IAM che contengono la parola `group`. Selezionare tutte le caselle di controllo.

1. Selezionare **Resources (Risorse)** per specificare le risorse per la policy. In base alle operazioni scelte, dovrebbero venire visualizzati i tipi di risorse **gruppo** e **utente**.
   + **gruppo**: scegli **Aggiungi ARNs**. Per **Risorse in**, seleziona l'opzione **Qualsiasi account**. Seleziona la casella di controllo **Qualsiasi nome di gruppo con percorso**, quindi digita il nome del gruppo di utenti **AllUsers**. Quindi scegliere **Add (Aggiungi) ARNs**.
   + **utente**: seleziona la casella di controllo accanto a **Qualsiasi in questo account**.

   Una delle operazioni scelte, `ListGroups`, non supporta l'utilizzo di risorse specifiche. Non è necessario selezionare **All resources (Tutte le risorse)** per tale operazione. Quando salvi la policy o la visualizzi nell'editor **JSON**, puoi notare che IAM crea automaticamente un nuovo blocco di autorizzazioni che concede l'autorizzazione per questa operazione a tutte le risorse.

1. Per aggiungere un altro blocco di autorizzazioni, scegli **Aggiungi altre autorizzazioni**.

1. Scegli **Seleziona un servizio** e quindi **IAM**.

1. Scegli **Operazioni consentite**, quindi seleziona **Passa ad autorizzazioni rifiutate**. In questo caso, l'intero blocco viene utilizzato per rifiutare le autorizzazioni.

1. Nella casella di ricerca digitare **group**. L'editor visivo mostra tutte le operazioni IAM che contengono la parola `group`. Selezionare le caselle di controllo accanto alle seguenti operazioni:
   + **CreateGroup**
   + **DeleteGroup**
   + **RemoveUserFromGroup**
   + **AttachGroupPolicy**
   + **DeleteGroupPolicy**
   + **DetachGroupPolicy**
   + **PutGroupPolicy**
   + **UpdateGroup**

1. Selezionare **Resources (Risorse)** per specificare le risorse per la policy. In base alle operazioni scelte, dovrebbe venire visualizzato il tipo di risorse **group (gruppo)**. Scegliere **Aggiungi ARNs**. Per **Risorse in**, seleziona l'opzione **Qualsiasi account**. Per **Qualsiasi nome gruppo con percorso**, digita il nome del gruppo di utenti **AllUsers**. Quindi scegliere **Add (Aggiungi) ARNs**.

1. Scegli **Condizioni di richiesta - *opzionale***, quindi scegli **Aggiungi altra condizione**. Completare il modulo con i seguenti valori:
   + **Chiave di condizione**: scegli **aws:username**
   + **Qualificatore**: scegli **Default**
   + **Operatore**: scegli **StringNotEquals**
   + **Valore**: digita **srodriguez**, quindi scegli **Aggiungi** per aggiungere un altro valore. Digita **mjackson**, quindi scegli **Aggiungi** per aggiungere un altro valore. Digita **adesai** e quindi seleziona **Aggiungi un altro valore di condizione**.

   Questa condizione garantisce che l'accesso venga rifiutato per le operazioni di gestione del gruppo di utenti specificate se l'utente che effettua la chiamata non è incluso nell'elenco. Poiché l'autorizzazione viene rifiutata in modo esplicito, il blocco precedente che consentiva a tali utenti di chiamare le operazioni viene ignorato. Per gli utenti inclusi nell'elenco, l'accesso non viene rifiutato e viene concessa dell'autorizzazione del primo blocco di autorizzazioni, in modo che possano gestire completamente il gruppo.

1. Quando hai terminato, seleziona **Successivo**.
**Nota**  
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'opzione dell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Nella pagina **Verifica e crea**, digita **LimitAllUserGroupManagement** in **Nome della policy**. In **Description (Descrizione)**, digitare **Allows all users read-only access to a specific user group, and allows only specific users access to make changes to the user group**. Rivedi il campo **Autorizzazioni definite in questa policy** per accertarti di disporre delle autorizzazioni previste. Quindi selezionare **Create policy (Crea policy)** per salvare la nuova policy.

1. Collega la policy al tuo gruppo di utenti. Per ulteriori informazioni, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](access_policies_manage-attach-detach.md).

In alternativa, è possibile creare la stessa policy utilizzando questo esempio di documento di policy JSON. Per visualizzare questa policy JSON, consulta [IAM: consente a utenti IAM specifici di gestire un gruppo a livello di programmazione e nella console](reference_policies_examples_iam_users-manage-group.md). Per istruzioni dettagliate sulla creazione di una policy utilizzando un documento JSON, consulta [Creazione di policy utilizzando l'editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

## Controllo dell'accesso alle policy
<a name="access_controlling-policies"></a>

Puoi controllare in che modo gli utenti possono applicare le policy AWS gestite. Per eseguire questa operazione, collegare questa policy per tutti gli utenti. In teoria, è possibile eseguire questa operazione utilizzando un gruppo di utenti.

Ad esempio, potresti creare una policy che consenta agli utenti di allegare solo [IAMUserChangePassword](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/IAMUserChangePassword)le policy [PowerUserAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/PowerUserAccess) AWS gestite a un nuovo utente, gruppo di utenti o ruolo IAM.

Per le policy gestite dal cliente, è possibile controllare chi può creare, aggiornare ed eliminare queste policy. È possibile controllare chi può collegare e scollegare le policy per entità principali (gruppi IAM, utenti e ruoli). È inoltre possibile controllare quali policy un utente può collegare o distaccare e per quale entità.

Ad esempio, è possibile concedere autorizzazioni a un account amministratore per creare, aggiornare ed eliminare le policy. Quindi è possibile assegnare le autorizzazioni a un team leader o a un altro amministratore limitato collegare o distaccare queste policy a/da entità principali che l'amministratore limitato gestisce.

Per ulteriori informazioni, fare riferimento a queste risorse:
+ Per ulteriori informazioni sulla creazione di una policy IAM che è possibile collegare a un principale, consulta [Definire le autorizzazioni IAM personalizzate con policy gestite dal cliente](access_policies_create.md).
+ Per ulteriori informazioni su come collegare una policy IAM a un principale, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](access_policies_manage-attach-detach.md).
+ Per consultare un esempio di policy per limitare l'uso di policy gestito, consultare [IAM: limita le policy gestite che possono essere applicate a un utente, un gruppo o un ruolo IAM.](reference_policies_examples_iam_limit-managed.md).

### Controllo delle autorizzazioni per la creazione, l'aggiornamento e l'eliminazione di policy gestite dal cliente
<a name="policies-controlling-access-create-update-delete"></a>

Puoi usare le [policy IAM](access_policies.md) per controllare chi può creare, aggiornare ed eliminare le policy gestite dal cliente nell' Account AWS. L'elenco seguente contiene le operazioni di API che si riferiscono direttamente a creazione, aggiornamento ed eliminazione di policy o versioni di policy: 
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html)
+ [CreatePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicyVersion.html)
+ [DeletePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicy.html)
+ [DeletePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicyVersion.html)
+ [SetDefaultPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SetDefaultPolicyVersion.html)

Le operazioni API nell'elenco precedente corrispondono alle operazioni che è possibile consentire o rifiutare, ovvero le autorizzazioni che è possibile concedere, utilizzando una policy IAM. 

Esaminiamo l'esempio di policy seguente. Permette a un utente di creare, aggiornare (ovvero creare una nuova versione della policy), eliminare e impostare una versione predefinita per tutte le policy gestite dal cliente nell' Account AWS. La policy di esempio, inoltre, consente all'utente di elencare e ottenere le policy. Per ulteriori informazioni su come creare una policy utilizzando questo esempio di documento di policy JSON, consultare [Creazione di policy utilizzando l'editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

**Example Esempio di policy che permette la creazione, l'aggiornamento, l'eliminazione, la visualizzazione, l'ottenimento e la configurazione della versione di default per tutte le policy**    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "iam:CreatePolicy",
      "iam:CreatePolicyVersion",
      "iam:DeletePolicy",
      "iam:DeletePolicyVersion",
      "iam:GetPolicy",
      "iam:GetPolicyVersion",
      "iam:ListPolicies",
      "iam:ListPolicyVersions",
      "iam:SetDefaultPolicyVersion"
    ],
    "Resource": "*"
  }
}
```

È possibile creare policy che limitano l'uso di queste operazioni delle API che interessano solo le policy gestite specificate dall'utente. Ad esempio, è possibile permettere a un utente di impostare la versione predefinita ed eliminare le versioni di policy, ma solo per determinate policy gestite dal cliente. A tale scopo, è necessario specificare l'ARN della policy nell'elemento `Resource` della policy che concede l'autorizzazione. 

L'esempio seguente mostra una policy che consente a un utente di eliminare versioni della policy e impostare la versione predefinita. Tuttavia, queste azioni sono consentite solo per le policy gestite dal cliente che includono il percorso /TEAM-A/. L'ARN della policy gestita dal cliente è specificato nell'elemento `Resource` della policy. In questo esempio l'ARN include un percorso e un carattere jolly e quindi corrisponde a tutte le policy gestite dal cliente che includono il percorso /TEAM-A/. Per ulteriori informazioni su come creare una policy utilizzando questo esempio di documento di policy JSON, consultare [Creazione di policy utilizzando l'editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

Per ulteriori informazioni sull'utilizzo di percorsi di clienti nei nomi delle policy gestite dal cliente, consultare [Nomi descrittivi e percorsi](reference_identifiers.md#identifiers-friendly-names). 

**Example Esempio di policy che consente di eliminare le versioni di policy e impostare la versione di default solo per policy specifiche**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:DeletePolicyVersion",
            "iam:SetDefaultPolicyVersion"
        ],
        "Resource": "arn:aws:iam::111122223333:policy/TEAM-A/*"
    }
}
```

### Controllo delle autorizzazioni per collegare e distaccare le policy gestite
<a name="policies-controlling-access-attach-detach"></a>

È possibile utilizzare le policy IAM anche per permettere agli utenti di utilizzare policy gestite specifiche. In pratica, è possibile controllare le autorizzazioni che un utente può concedere ad altre entità principali. 

L'elenco seguente mostra le operazioni di API che consentono direttamente di collegare e distaccare le policy gestite a/da entità principali:
+  [AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)
+ [AttachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachRolePolicy.html)
+ [AttachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachUserPolicy.html)
+ [DetachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachGroupPolicy.html)
+ [DetachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachRolePolicy.html)
+ [DetachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html)

È possibile creare policy che limitino l'uso di queste operazioni API in modo da influire solo sulle entità and/or principali delle politiche gestite specifiche specificate. Ad esempio, è possibile permettere a un utente di collegare le policy gestite, ma per le policy specificate dall'utente. Oppure, è possibile permettere a un utente di collegare le policy gestite, ma alle entità del principale specificate dall'utente. 

L'esempio di policy seguente consente a un utente di collegare le policy gestite solo ai gruppi IAM e ai ruoli che includono il percorso /TEAM-A/. Il gruppo di utenti e il ruolo ARNs sono specificati nell'`Resource`elemento della politica. (In questo esempio ARNs includono un percorso e un carattere jolly e quindi corrispondono a tutti i gruppi e i ruoli IAM che includono il percorso /TEAM-A/). Per ulteriori informazioni su come creare una policy utilizzando questo esempio di documento di policy JSON, consultare [Creazione di policy utilizzando l'editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

**Example Esempio di policy che consente di collegare policy gestite solo a gruppi di utenti o ruoli specifici**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:AttachGroupPolicy",
            "iam:AttachRolePolicy"
        ],
        "Resource": [
            "arn:aws:iam::111122223333:group/TEAM-A/*",
            "arn:aws:iam::111122223333:role/TEAM-A/*"
        ]
    }
}
```

È possibile limitare ulteriormente le operazioni dell'esempio precedente per influire solo su determinate policy. In altre parole, puoi controllare le autorizzazioni che un utente può collegare ad altre entità principali, aggiungendo una condizione alla policy. 

In questo esempio, la condizione garantisce che le autorizzazioni `AttachGroupPolicy` e `AttachRolePolicy` siano consentite solo quando la policy da collegare corrisponde a uno delle policy specificate. La condizione utilizza la [chiave della condizione](reference_policies_elements_condition.md) `iam:PolicyARN` per determinare quali policy possono essere collegate. L'esempio di policy seguente amplia il concetto espresso nell'esempio precedente. Consente a un utente di collegare solo le policy gestite che includono il percorso /TEAM-A/ solo ai gruppi IAM e ai ruoli che includono il percorso /TEAM-A/. Per ulteriori informazioni su come creare una policy utilizzando questo esempio di documento di policy JSON, consultare [Creazione di policy utilizzando l'editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:AttachGroupPolicy",
            "iam:AttachRolePolicy"
        ],
        "Resource": [
            "arn:aws:iam::111122223333:group/TEAM-A/*",
            "arn:aws:iam::111122223333:role/TEAM-A/*"
        ],
        "Condition": {
            "ArnLike": {
                "iam:PolicyARN": "arn:aws:iam::111122223333:policy/TEAM-A/*"
            }
        }
    }
}
```

------

Questa policy utilizza l'operatore di condizione `ArnLike` ma puoi anche utilizzare l'operatore di condizione `ArnEquals` perché questi due operatori si comportano in modo identico. Per ulteriori informazioni su `ArnLike` e `ArnEquals`, consulta [Operatori di condizione con Amazon Resource Name (ARN)](reference_policies_elements_condition_operators.md#Conditions_ARN) nella sezione *Tipi di condizione* dei *Riferimenti agli elementi della policy*. 

Ad esempio, è possibile limitare l'uso di operazioni per coinvolgere solo le policy gestite specificate dall'utente. A tale scopo, è necessario specificare l'ARN della policy nell'elemento `Condition` della policy che concede l'autorizzazione. Ad esempio, per specificare l'ARN di una policy gestita dal cliente:

```
"Condition": {"ArnEquals": 
  {"iam:PolicyARN": "arn:aws:iam::123456789012:policy/POLICY-NAME"}
}
```

È inoltre possibile specificare l'ARN di una policy AWS gestita nell'elemento di `Condition` una policy. L'ARN di una policy AWS gestita utilizza l'alias speciale `aws` nella policy ARN anziché un ID account, come in questo esempio:

```
"Condition": {"ArnEquals": 
  {"iam:PolicyARN": "arn:aws:iam::aws:policy/AmazonEC2FullAccess"}
}
```

## Controllo dell'accesso alle risorse
<a name="access_controlling-resources"></a>

È possibile controllare chi ha accesso alle risorse utilizzando una policy basata sulle identità o una policy basata sulle risorse. In una policy basata sulle identità si collega la policy a un'identità e si specifica a quali risorse può accedere tale identità. In una policy basata sulle risorse, si collega una policy alla risorsa che si desidera controllare. Nella policy, è necessario specificare quali entità principali possono accedere a tale risorsa. Per ulteriori informazioni su entrambi questi tipi di policy, consultare [Policy basate sulle identità e policy basate su risorse](access_policies_identity-vs-resource.md).

Per ulteriori informazioni, fare riferimento a queste risorse:
+ Per ulteriori informazioni sulla creazione di una policy IAM che è possibile collegare a un principale, consulta [Definire le autorizzazioni IAM personalizzate con policy gestite dal cliente](access_policies_create.md).
+ Per ulteriori informazioni su come collegare una policy IAM a un principale, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](access_policies_manage-attach-detach.md).
+ Amazon S3 supporta l'utilizzo delle policy basate su risorse nei relativi bucket. Per ulteriori informazioni, consulta [Esempi di policy di bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html).
<a name="NoDefaultPermissions"></a>
**Gli autori delle risorse non dispongono automaticamente di autorizzazioni**  
Se accedi utilizzando le Utente root dell'account AWS credenziali, sei autorizzato a eseguire qualsiasi azione sulle risorse che appartengono all'account. Tuttavia, ciò non è valido per gli utenti IAM. Un utente IAM potrebbe disporre dell'accesso per creare una risorsa, ma le autorizzazioni dell'utente, anche per tale risorsa, sono limitate a quanto è stato concesso esplicitamente. Ciò significa che la semplice creazione di una risorsa, ad esempio di un ruolo IAM, non garantisce automaticamente l'autorizzazione per la modifica o l'eliminazione di tale ruolo. Inoltre, l'autorizzazione può essere revocata in qualsiasi momento dal proprietario dell'account o da un altro utente che dispone dell'accesso per gestire le autorizzazioni.

## Controllo dell'accesso ai principali in un account specifico
<a name="access_controlling-principal-accounts"></a>

È possibile concedere direttamente agli utenti IAM dell'account l'accesso alle risorse. Se gli utenti di un altro account devono accedere alle risorse, è possibile creare un ruolo IAM. Un ruolo è un'entità che include autorizzazioni, ma non è associata a un utente specifico. Gli utenti di altri account possono assumere quel ruolo e accedere alle risorse in base alle autorizzazioni assegnate al ruolo. Per ulteriori informazioni, consulta [Accesso per un utente IAM in un altro Account AWS di tua proprietà](id_roles_common-scenarios_aws-accounts.md).

**Nota**  
Alcuni servizi supportano le policy basate sulle risorse, come descritto in [Policy basate sulle identità e policy basate su risorse](access_policies_identity-vs-resource.md) (ad esempio Amazon S3, Amazon SNS e Amazon SQS). Per tali servizi, un'alternativa all'utilizzo dei ruoli consiste nel collegare una policy alla risorsa (bucket, argomento o coda) che si desidera condividere. La politica basata sulle risorse può specificare l' AWS account che dispone delle autorizzazioni per accedere alla risorsa.

# Controllo dell'accesso a e per utenti e ruoli IAM mediante i tag
<a name="access_iam-tags"></a>

Utilizza le informazioni nella sezione seguente per controllare chi può accedere agli utenti e ai ruoli IAM e a quali risorse gli utenti e i ruoli possono accedere. Per informazioni più generali ed esempi di controllo dell'accesso ad altre AWS risorse, incluse altre risorse IAM, consulta[Tag per AWS Identity and Access Management le risorse](id_tags.md).

**Nota**  
Per dettagli sulla distinzione tra maiuscole e minuscole per le chiavi dei tag e i valori delle chiavi dei tag, consulta [Case sensitivity](id_tags.md#case-sensitivity).

I tag possono essere collegati alla *risorsa* IAM, trasferiti nella *richiesta* o collegati al *principale* che effettua la richiesta. Un utente o ruolo IAM può essere sia una risorsa che un principale. Ad esempio, puoi scrivere una policy che consente a un utente di elencare i gruppi per un utente. Questa operazione è consentita solo se l'utente che effettua la richiesta (principale) ha lo stesso tag `project=blue` dell'utente che sta tentando di visualizzare. In questo esempio, l'utente può visualizzare l'appartenenza al gruppo per qualsiasi utente, incluso se stesso, purché stia lavorando sullo stesso progetto.

Per controllare gli accessi in base ai tag, devi fornire informazioni sui tag nell'[elemento condizione](reference_policies_elements_condition.md) di una policy. Quando crei una policy IAM, puoi utilizzare i tag IAM e la chiave di condizione tag associata per controllare l'accesso a quanto segue:
+ **[Risorsa](access_tags.md#access_tags_control-resources)**: controlla l'accesso alle risorse di utente o ruolo in base ai relativi tag. Per fare ciò, usa la chiave **aws:ResourceTag/*key-name***condition per specificare quale coppia chiave-valore di tag deve essere associata alla risorsa. Per ulteriori informazioni, consulta [Controllo dell'accesso alle AWS risorse](access_tags.md#access_tags_control-resources).
+ **[Richiesta](access_tags.md#access_tags_control-requests)**: controlla quali tag possono essere passati in una richiesta IAM. A tale scopo, usa la chiave **aws:RequestTag/*key-name***condition per specificare quali tag possono essere aggiunti, modificati o rimossi da un utente o ruolo IAM. Questa chiave viene utilizzata allo stesso modo per le risorse IAM e altre AWS risorse. Per ulteriori informazioni, consulta [Controllo dell'accesso durante AWS le richieste](access_tags.md#access_tags_control-requests).
+ **[Principale](#access_iam-tags_control-principals)**: controlla le operazioni consentite alla persona che effettua la richiesta (il principale) in base ai tag collegati all'utente o al ruolo IAM di tale persona. Per fare ciò, usa la chiave **aws:PrincipalTag/*key-name***condition per specificare quali tag devono essere allegati all'utente o al ruolo IAM prima che la richiesta sia consentita.
+ **[Qualsiasi parte del processo di autorizzazione](#access_iam-tags_control-tag-keys)**: utilizza la chiave **aws: TagKeys** condition per controllare se chiavi di tag specifiche possono essere utilizzate in una richiesta o da un principale. In questo caso, il valore chiave non è importante. Questa chiave si comporta in modo simile per IAM e altri AWS servizi. Tuttavia, quando aggiungi tag a un utente in IAM, questo controlla anche se il principale può effettuare la richiesta a qualsiasi servizio. Per ulteriori informazioni, consulta [Controllo dell'accesso in base alle chiavi di tag](access_tags.md#access_tags_control-tag-keys).

È possibile creare una policy IAM utilizzando l'editor visivo, tramite JSON o importando una policy gestita esistente. Per informazioni dettagliate, vedi [Definire le autorizzazioni IAM personalizzate con policy gestite dal cliente](access_policies_create.md).

**Nota**  
Puoi anche passare [tag di sessione](id_session-tags.md) quando assumi un ruolo IAM o esegui la federazione di un utente. Questi tag sono validi solo per la durata della sessione.

## Controllo dell'accesso per i principali IAM
<a name="access_iam-tags_control-principals"></a>

È possibile controllare le operazioni che il principale è autorizzato a eseguire in base ai tag collegati all'identità di tale persona. 

Questo esempio mostra come creare una policy basata sull'identità che consenta a qualsiasi utente in questo account di visualizzare l'appartenenza al gruppo per qualsiasi utente, incluso sé stesso, purché stia lavorando sullo stesso progetto. Questa operazione è consentita solo quando il tag della risorsa dell'utente e il tag del principale hanno lo stesso valore per la chiave del tag `project`. Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "iam:ListGroupsForUser",
            "Resource": "arn:aws:iam::111222333444:user/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/project": "${aws:PrincipalTag/project}"}
            }
        }]
}
```

------

## Controllo dell'accesso in base alle chiavi di tag
<a name="access_iam-tags_control-tag-keys"></a>

Puoi utilizzare i tag nelle policy IAM per controllare se chiavi di tag specifiche possono essere utilizzate in una richiesta o da un principale.

Questo esempio mostra come creare una policy basata sull'identità che consenta di rimuovere solo il tag con la chiave `temporary` da parte degli utenti. Per utilizzare questa politica, sostituisci la *italicized placeholder text* politica dell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": "iam:UntagUser",
        "Resource": "*",
        "Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": ["temporary"]}}
    }]
}
```

------

# Controllo dell'accesso alle AWS risorse tramite tag
<a name="access_tags"></a>

Puoi utilizzare i tag per controllare l'accesso alle tue AWS risorse che supportano l'etichettatura, incluse le risorse IAM. Puoi aggiungere i tag a utenti e ruoli IAM per controllare a cosa possono accedere. Per ulteriori informazioni su come applicare tag a utenti e ruoli IAM, consulta [Tag per AWS Identity and Access Management le risorse](id_tags.md). Inoltre, puoi controllare l'accesso alle seguenti risorse IAM: policy gestite dal cliente, provider di identità IAM, profili delle istanze, certificati server e dispositivi MFA virtuali. Per visualizzare un tutorial per la creazione e il test di una policy che consente ai ruoli IAM con tag principali di accedere alle risorse con tag corrispondenti, consulta [Tutorial IAM: definisci le autorizzazioni per accedere alle AWS risorse in base ai tag](tutorial_attribute-based-access-control.md). Utilizza le informazioni contenute nella sezione seguente per controllare l'accesso ad altre AWS risorse, incluse le risorse IAM, senza etichettare gli utenti o i ruoli IAM.

Prima di utilizzare i tag per controllare l'accesso alle tue AWS risorse, devi capire come AWS concedere l'accesso. AWS è composto da raccolte di *risorse*. Una istanza Amazon EC2 è una risorsa. Un bucket Amazon S3 è una risorsa. Puoi utilizzare l' AWS API AWS CLI, the o the Console di gestione AWS per eseguire un'operazione, come la creazione di un bucket in Amazon S3. In questo caso, invii una *richiesta* per tale operazione. La richiesta specifica un'operazione, una risorsa, un'*entità principale* (utente o ruolo), un *account principale* e qualsiasi altra informazione necessaria per la richiesta. Tutte queste informazioni forniscono il *contesto*.

AWS verifica quindi che tu (l'entità principale) sia autenticato (effettuato l'accesso) e autorizzato (disponi del permesso) a eseguire l'azione specificata sulla risorsa specificata. Durante l'autorizzazione, AWS controlla tutte le politiche che si applicano al contesto della richiesta. La maggior parte delle politiche viene archiviata AWS come [documenti JSON](access_policies.md#access_policies-json) e specifica le autorizzazioni per le entità principali. Per ulteriori informazioni sui tipi di policy e i relativi utilizzi, consulta [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md).

AWS autorizza la richiesta solo se ogni parte della richiesta è consentita dalle politiche. Per visualizzare un diagramma e per ulteriori informazioni sull'infrastruttura IAM, consulta [Funzionamento di IAM](intro-structure.md). Per ulteriori informazioni su come IAM determina se una richiesta è consentita, consulta [Logica di valutazione delle policy](reference_policies_evaluation-logic.md).

I tag possono complicare questo processo perché possono essere collegati alla *risorsa* o trasferiti nella *richiesta* verso servizi che supportano il tagging. Per controllare gli accessi in base ai tag, devi fornire informazioni sui tag nell'[elemento condizione](reference_policies_elements_condition.md) di una policy. Per sapere se un AWS servizio supporta il controllo dell'accesso tramite tag, consulta [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md) e cerca i servizi con **Sì** nella colonna **ABAC**. Scegli il nome del servizio per visualizzarne la documentazione sul controllo degli accessi e delle autorizzazioni.

Puoi quindi creare una policy IAM che consenta o rifiuti l'accesso a una risorsa in base al tag di quella risorsa. In quella policy, puoi utilizzare chiavi di condizione tag per controllare gli accessi a quanto segue:
+ **[Risorsa](#access_tags_control-resources)**: controlla l'accesso alle risorse del AWS servizio in base ai tag presenti su tali risorse. Per fare ciò, usa la chiave **aws:ResourceTag/*key-name***condition per determinare se consentire l'accesso alla risorsa in base ai tag allegati alla risorsa.
+ **[Risorsa](#access_tags_control-requests)**: controlla quali tag possono essere passati in una richiesta. Per fare ciò, usa la chiave di *key-name* condizione **aws:RequestTag/**per specificare quali coppie chiave-valore di tag possono essere passate in una richiesta di taggare una AWS risorsa.
+ **[Qualsiasi parte del processo di autorizzazione](#access_tags_control-tag-keys)**: usa la chiave **aws: TagKeys** condition per controllare se in una richiesta possono essere presenti chiavi di tag specifiche. 

È possibile creare una policy IAM visivamente, utilizzando JSON o importando una policy gestita esistente. Per informazioni dettagliate, vedi [Definire le autorizzazioni IAM personalizzate con policy gestite dal cliente](access_policies_create.md).

**Nota**  
Alcuni servizi consentono agli utenti di specificare tag durante la creazione della risorsa, se dispongono delle autorizzazioni per utilizzare l'operazione che crea la risorsa.

## Controllo dell'accesso alle AWS risorse
<a name="access_tags_control-resources"></a>

Puoi utilizzare le condizioni delle tue policy IAM per controllare l'accesso alle AWS risorse in base ai tag presenti su quella risorsa. Puoi eseguire questa operazione utilizzando la chiave di condizione `aws:ResourceTag/tag-key` globale o una chiave specifica del servizio. Alcuni servizi, supportano solo la versione specifica del servizio di questa chiave e non la versione globale. 

**avvertimento**  
Non cercare di controllare chi può passare un ruolo assegnando tag al ruolo e utilizzando la chiave di condizione `ResourceTag` in una policy con l'operazione `iam:PassRole`. Questo approccio non produce risultati affidabili. Per ulteriori informazioni sulle autorizzazioni richieste per trasferire un ruolo a un servizio, consulta [Concedere a un utente le autorizzazioni per passare un ruolo a un servizio AWS](id_roles_use_passrole.md).

 Questo esempio mostra come creare una policy basata sull'identità che consenta di avviare o arrestare le istanze Amazon EC2. Queste operazioni sono consentite solo se il tag dell'istanza `Owner` ha il valore del nome utente. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
```

------

Puoi allegare questa policy agli utenti IAM nel tuo account. Se un utente denominato `richard` prova ad avviare un'istanza Amazon EC2, l'istanza deve avere il tag `Owner=richard` o `owner=richard`. In caso contrario, gli verrà negato l'accesso. La chiave di tag `Owner` corrisponde sia a `Owner` sia a `owner` perché i nomi delle chiavi di condizione non distinguono tra maiuscole e minuscole. Per ulteriori informazioni, consulta [Elementi delle policy JSON IAM: Condition](reference_policies_elements_condition.md).

Questo esempio mostra come creare una policy basata sull'identità che utilizza il tag del principale `team` nell'ARN della risorsa. La policy concede l'autorizzazione per eliminare le code del servizio di coda semplice Amazon (Amazon SQS), ma solo se il nome della coda inizia con il nome del team seguito da `-queue`. Ad esempio, `qa-queue` se `qa` è il nome del team per il tag del principale `team`.

------
#### [ JSON ]

****  

```
{
      "Version":"2012-10-17",		 	 	 
      "Statement": {
        "Sid": "AllQueueActions",
        "Effect": "Allow",
        "Action": "sqs:DeleteQueue",
        "Resource": "arn:aws:sqs:us-east-2:111122223333:${aws:PrincipalTag/team}-queue"
      }
}
```

------

## Controllo dell'accesso durante AWS le richieste
<a name="access_tags_control-requests"></a>

Puoi utilizzare le condizioni nelle tue policy IAM per controllare quali coppie chiave-valore di tag possono essere passate in una richiesta che applica i tag a una AWS risorsa.

Questo esempio mostra come creare una policy basata sull'identità che consenta di utilizzare l'operazione `CreateTags` di Amazon EC2 per assegnare tag a un'istanza. Puoi collegare i tag solo se il tag contiene la chiave `environment` e i valori `production` o `preprod`. Se lo desideri, puoi utilizzare il modificatore `ForAllValues` con la chiave di condizione `aws:TagKeys` per indicare che nella richiesta è ammessa solo la chiave `environment`. In questo modo gli utenti smetteranno di includere altre chiavi ad esempio utilizzando per errore `Environment` invece di `environment`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "ec2:CreateTags",
        "Resource": "arn:aws:ec2:*:*:instance/*",
        "Condition": {
            "StringEquals": {
                "aws:RequestTag/environment": [
                    "preprod",
                    "production"
                ]
            },
            "ForAllValues:StringEquals": {"aws:TagKeys": "environment"}
        }
    }
}
```

------

## Controllo dell'accesso in base alle chiavi di tag
<a name="access_tags_control-tag-keys"></a>

Puoi utilizzare una condizione nelle policy IAM per controllare se determinate chiavi di tag possono essere utilizzate in una richiesta.

Quando utilizzi le policy per controllare l'accesso tramite tag, ti consigliamo di utilizzare la chiave [`aws:TagKeys`condition](reference_policies_condition-keys.md#condition-keys-tagkeys). AWS i servizi che supportano i tag potrebbero consentire di creare più nomi di chiavi di tag che differiscono solo in base alle maiuscole e minuscole, ad esempio etichettare un'istanza `stack=production` Amazon EC2 con e. `Stack=test` Nelle condizioni delle policy i nomi delle chiavi non distinguono tra maiuscole e minuscole. Questo significa che se specifichi `"aws:ResourceTag/TagKey1": "Value1"` nell'elemento condizione della policy, la condizione corrisponderà a una chiave di tag della risorsa denominata `TagKey1` o `tagkey1`, ma non a entrambe. Per impedire la duplicazione dei tag con una chiave che cambia solo per le dimensioni dei caratteri, utilizza la condizione `aws:TagKeys` per definire le chiavi di tag applicabili dagli utenti, o usa le policy di tag disponibili con AWS Organizations. Per ulteriori informazioni, consulta [Tag Policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) nella *Guida per l’utente di AWS Organizations *. 

Questo esempio mostra come creare una policy basata sull'identità che consenta di creare e assegnare tag a un secreto di Secrets Manager, ma solo con le chiavi di tag `environment` o `cost-center`. La condizione `Null` garantisce che la condizione sia `false` in assenza di tag nella richiesta.

```
{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:CreateSecret",
            "secretsmanager:TagResource"
        ],
        "Resource": "*",
        "Condition": {
            "Null": {
                "aws:TagKeys": "false"
            },
            "ForAllValues:StringEquals": {
                "aws:TagKeys": [
                    "environment",
                    "cost-center"
                ]
            }
        }
}
```

# Accesso alle risorse multi-account in IAM
<a name="access_policies-cross-account-resource-access"></a>

Per alcuni AWS servizi, puoi concedere l'accesso a più account alle tue risorse utilizzando IAM. A tale scopo, è possibile collegare una policy direttamente alla risorsa da condividere oppure utilizzare un ruolo come proxy.

Per condividere direttamente la risorsa, la risorsa da condividere deve supportare le [policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-resource-based-policies). A differenza di una policy basata su identità per un ruolo, una policy basata su risorse specifica chi (quale principale) può accedere a tale risorsa.

Utilizza un ruolo come proxy quando desideri accedere a risorse di un altro account che non supportano le policy basate su risorse.

Per ulteriori dettagli sulle differenze tra questi tipi di policy, consulta la sezione [Policy basate sulle identità e policy basate su risorse](access_policies_identity-vs-resource.md).

**Nota**  
I ruoli IAM e le policy basate sulle risorse delegano l'accesso tra account solo all'interno di una singola partizione. Ad esempio, poniamo che tu abbia un account nella Regione Stati Uniti occidentali (California settentrionale) nella partizione `aws` standard. Hai anche un account in Cina nella partizione `aws-cn`. Non puoi utilizzare una politica basata sulle risorse nel tuo account in Cina per consentire l'accesso agli utenti del tuo account standard. AWS 

## Accesso multi-account tramite ruoli
<a name="access_policies-cross-account-using-roles"></a>

Non tutti i AWS servizi supportano politiche basate sulle risorse. Per questi servizi, puoi utilizzare i ruoli IAM multi-account per centralizzare la gestione delle autorizzazioni quando fornisci l'accesso multi-account a più servizi. Un ruolo IAM su più account è un ruolo IAM che include una [policy di fiducia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#term_trust-policy) che consente ai responsabili IAM di un altro AWS account di assumere il ruolo. In poche parole, puoi creare un ruolo in un AWS account che delega autorizzazioni specifiche a un altro account. AWS 

Per informazioni sul collegamento di una policy a un'identità IAM, consulta [Gestire le policy IAM](access_policies_manage.md).

**Nota**  
Quando un principale passa a un ruolo per utilizzare temporaneamente le rispettive autorizzazioni, rinuncia alle autorizzazioni originali e assume quelle assegnate al ruolo che ha assunto.

Diamo un'occhiata al processo complessivo prendendo in esame un software di un partner APN che deve accedere a un account cliente.

1. Il cliente crea un ruolo IAM nel proprio account con una policy IAM che consente l'accesso alle risorse Amazon S3 richieste dal partner APN. In questo esempio, il nome del ruolo è `APNPartner`.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "s3:*",
               "Resource": [
                   "arn:aws:s3:::bucket-name"
               ]
           }
       ]
   }
   ```

------

1. Quindi, il cliente specifica che il ruolo può essere assunto dall' AWS account del partner fornendo l' Account AWS ID del partner APN nella [politica di fiducia relativa](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) al ruolo. `APNPartner`

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:role/APN-user-name"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

1. Il cliente fornisce il nome della risorsa Amazon (ARN) del ruolo al partner APN. L'ARN è il nome completo del ruolo.

   ```
   arn:aws:iam::Customer-Account-ID:role/APNPartner
   ```
**Nota**  
Ti consigliamo di utilizzare un ID esterno in situazioni multi-tenant. Per informazioni dettagliate, vedi [Accesso a Account AWS siti di proprietà di terzi](id_roles_common-scenarios_third-party.md).

1. Quando il software del partner APN deve accedere all'account del cliente, chiama l'[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)API AWS Security Token Service con l'ARN del ruolo nell'account del cliente. STS restituisce una AWS credenziale temporanea che consente al software di svolgere il proprio lavoro.

Per un altro esempio di concessione dell'accesso multi-account utilizzando i ruoli, consulta la sezione [Accesso per un utente IAM in un altro Account AWS di tua proprietà](id_roles_common-scenarios_aws-accounts.md). Puoi anche seguire il [Tutorial IAM: delega l'accesso tra AWS account utilizzando i ruoli IAM](tutorial_cross-account-with-roles.md).

## Accesso multi-account utilizzando policy basate su risorse
<a name="access_policies-cross-account-using-resource-based-policies"></a>

Quando un account accede a una risorsa tramite un altro account utilizzando una policy basata su risorse, il principale continua a utilizzare l'account attendibile e non deve rinunciare alle proprie autorizzazioni per ricevere quelle del ruolo. In altre parole, il principale ha accesso alle risorse dell'account attendibile e contemporaneamente alla risorsa nell'account che concede fiducia. Questa funzione è utile per attività come la copia di informazioni da o verso la risorsa condivisa nell'altro account.

I principali che è possibile specificare in una politica basata sulle risorse includono account, utenti IAM, responsabili di utenti federati, responsabili AWS STS federati SAML, principali federati OIDC, ruoli IAM, sessioni con ruoli presunti o servizi. AWS Per ulteriori informazioni, consulta la sezione [Specifica di un principale](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying).

Per capire se i principali negli account esterni alla zona di attendibilità (organizzazione o account attendibile) dispongono dell'accesso per assumere i ruoli, consulta la sezione [Identificazione di risorse condivise con un'entità esterna](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-resource-identification).

L'elenco seguente include alcuni dei servizi che supportano le politiche basate sulle risorse. AWS **Per un elenco completo del numero crescente di AWS servizi che supportano l'associazione di politiche di autorizzazione alle risorse anziché ai principali, consulta [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md) e cerca i servizi con **Sì** nella colonna Resource Based.**
+ **Bucket Amazon S3**: la policy è collegata al bucket, ma controlla l'accesso sia al bucket sia agli oggetti in esso contenuti. Per maggiori informazioni, consulta [Policy del bucket per Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) nella *Guida per l'utente di Amazon Simple Storage Service*. In alcuni casi, può essere opportuno utilizzare ruoli per l'accesso per più account ad Amazon S3. Per ulteriori informazioni, consulta le [spiegazioni passo per passo di esempio](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
+ **Argomenti Amazon Simple Notification Service (Amazon SNS)**: per ulteriori informazioni, consulta la sezione [Casi di esempio per il controllo degli accessi Amazon SNS](https://docs.aws.amazon.com//sns/latest/dg/sns-access-policy-use-cases.html) nella *Guida per gli sviluppatori di Amazon Simple Notification Service*.
+ **Code di Amazon Simple Queue Service (Amazon SQS)**: per ulteriori informazioni, consulta [Appendice: La sintassi della policy di accesso](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html) nella*Guida per gli sviluppatori di Amazon Simple Queue Service*. 

## Politiche basate sulle risorse per la delega delle autorizzazioni AWS
<a name="access_policies-cross-account-delegating-resource-based-policies"></a>

Se una risorsa concede le autorizzazioni ai principali nell'account, puoi delegare tali autorizzazioni a identità IAM specifiche. Le identità sono utenti, gruppi di utenti o ruoli nell'account. Per delegare le autorizzazioni, collegare una policy all'identità. È possibile concedere fino al numero massimo di autorizzazioni consentite dall'account proprietario della risorsa.

**Importante**  
Nell'accesso multi-account, il principale deve disporre della condizione `Allow` nella policy di identità **e** nella policy basata su risorse.

Si supponga che una policy basata sulle risorse consenta a tutti i principali nell'account l'accesso amministrativo completo a una risorsa. Quindi puoi delegare l'accesso completo, l'accesso in sola lettura o qualsiasi altro accesso parziale ai principali del tuo account. AWS In alternativa, se la policy basata sulle risorse consente solo le autorizzazioni per la presentazione di elenchi, è possibile delegare solo l'accesso all'elenco. Se si tenta di delegare più autorizzazioni rispetto a quelle possedute dall'account, i principali avranno comunque solo accesso all'elenco.

Per ulteriori informazioni su come vengono prese queste decisioni, consulta la sezione [Determinare se una richiesta è consentita o rifiutata all'interno di un account](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-denyallow.html).

**Nota**  
I ruoli IAM e le policy basate sulle risorse delegano l'accesso tra account solo all'interno di una singola partizione. Ad esempio, non è possibile aggiungere l'accesso tra account tra un account nella partizione `aws` standard e un account nella partizione `aws-cn`. 

Ad esempio, si supponga di gestire `AccountA` e `AccountB`. Nell'AccountA, disponi di un bucket Amazon S3 denominato `BucketA`.

![\[Una policy basata su risorse creata per il bucket Amazon S3 fornisce le autorizzazioni dell'AccountB all'AccountA.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/access_policies-cross-account.png)


1. Colleghi una policy basata su risorse ad `BucketA` che consente a tutti i principali nell'AccountB l'accesso completo agli oggetti nel bucket. Possono creare, leggere o eliminare qualsiasi oggetto in tale bucket. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "PrincipalAccess",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:root"
               },
               "Action": "s3:*",
               "Resource": "arn:aws:s3:::BucketA/*"
           }
       ]
   }
   ```

------

   AccountA fornisce all'AccountB l'accesso completo al BucketA denominando AccountB come un principale nella policy basata su risorse. Di conseguenza, l'AccountB è autorizzato a eseguire qualsiasi operazione nel BucketA e l'amministratore dell'AccountB può delegare l'accesso ai propri utenti nell'AccountB.

   L'utente root dell'AccountB dispone di tutte le autorizzazioni concesse all'account. Pertanto, l'utente root dispone di accesso completo al BucketA.

1. Nell'AccountB, collega una policy all'utente IAM denominato User2. Tale policy consente all'utente l'accesso in sola lettura agli oggetti nel BucketA. Ciò significa che User2 può visualizzare gli oggetti, ma non crearli, modificarli o eliminarli. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect" : "Allow", 
               "Action" : [ 
                   "s3:Get*", 
                   "s3:List*" ], 
                   "Resource" : "arn:aws:s3:::BucketA/*" 
           } 
       ]
   }
   ```

------

   Il livello massimo di accesso che AccountB è in grado di delegare è il livello di accesso concesso all'account. In questo caso, la policy basata su risorse ha concesso l'accesso completo all'AccountB, ma User2 dispone solo dell'accesso di sola lettura.

   L'amministratore dell'AccountB non concede l'accesso a User1. Per impostazione predefinita, gli utenti non dispongono di autorizzazioni ad eccezione di quelle concesse in modo esplicito, pertanto User1 non ha accesso al BucketA.

IAM valuta le autorizzazioni di un principale nel momento in cui il principale effettua una richiesta. Se usi i caratteri jolly (\$1) per consentire agli utenti l'accesso completo alle tue risorse, i mandanti possono accedere a tutte le risorse a cui ha accesso il tuo account. AWS Ciò vale anche per le risorse che vengono aggiunte o a cui si ha accesso dopo aver creato le policy dell'utente.

Nell'esempio precedente, se l'AccountB avesse collegato a User2 una policy che concedeva l'accesso completo a tutte le risorse in tutti gli account, User2 avrebbe automaticamente avuto accesso a qualsiasi risorsa alla quale ha accesso l'AccountB. Ciò include l'accesso al BucketA e l'accesso a qualsiasi altra risorsa concesso dalle policy basate su risorse nell'AccountA.

Per ulteriori informazioni sugli usi complessi dei ruoli, come la concessione dell'accesso ad applicazioni e servizi, consulta la sezione [Scenari comuni per i ruoli IAM](id_roles_common-scenarios.md).

**Importante**  
Concedere l'accesso solo a entità attendibili e fornire il livello minimo di accesso necessario. Ogni volta che l'entità fidata è un altro AWS account, a qualsiasi responsabile IAM può essere concesso l'accesso alla tua risorsa. L' AWS account fidato può delegare l'accesso solo nella misura in cui gli è stato concesso l'accesso; non può delegare un accesso maggiore di quello concesso all'account stesso.

Per ulteriori informazioni sulle autorizzazioni, le policy e il linguaggio di policy di autorizzazioni che è possibile utilizzare per scrivere policy, consultare [Gestione degli accessi AWS alle risorse](access.md).

# Inoltro delle sessioni di accesso
<a name="access_forward_access_sessions"></a>

Le sessioni di accesso inoltrato (FAS) sono una tecnologia IAM utilizzata dai AWS servizi per trasmettere identità, autorizzazioni e attributi di sessione quando un AWS servizio effettua una richiesta per conto dell'utente. FAS utilizza le autorizzazioni dell'identità che chiama un AWS servizio, combinate con l'identità di un AWS servizio per effettuare richieste ai servizi downstream. Le richieste FAS vengono inviate ai AWS servizi per conto di un responsabile IAM solo dopo che un servizio ha ricevuto una richiesta che richiede interazioni con altri AWS servizi o risorse per essere completata. Quando viene effettuata una richiesta FAS:
+ Il servizio che riceve la richiesta iniziale da un principale IAM controlla le autorizzazioni di tale principale IAM.
+ Anche il servizio che riceve la conseguente richiesta FAS controlla le autorizzazioni dello stesso principale IAM.

Ad esempio, FAS viene utilizzato da Amazon S3 per effettuare chiamate AWS Key Management Service per decrittografare un oggetto [quando](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) SSE-KMS è stato utilizzato per crittografarlo. Quando si scarica un oggetto crittografato SSE-KMS, un ruolo denominato **data-reader** chiama l'oggetto GetObject su Amazon S3 e non chiama direttamente. AWS KMS Dopo aver ricevuto la GetObject richiesta e autorizzato il lettore di dati, Amazon S3 effettua quindi una richiesta FAS AWS KMS a per decrittografare l'oggetto Amazon S3. Quando KMS riceve la richiesta FAS, controlla le autorizzazioni del ruolo e autorizza la richiesta di decrittografia solamente se data-reader dispone delle autorizzazioni corrette sulla chiave KMS. Le richieste ad Amazon S3 AWS KMS sono autorizzate utilizzando le autorizzazioni del ruolo e hanno esito positivo solo se data-reader dispone delle autorizzazioni sia per l'oggetto Amazon S3 che per la chiave KMS. AWS 

![\[Un diagramma di flusso di un ruolo IAM passato come principale prima ad Amazon S3 e poi a AWS KMS.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/access-fas-example.png)


**Nota**  
I servizi che hanno ricevuto una richiesta FAS possono a loro volta effettuare richieste FAS aggiuntive. In questi casi, il principale che esegue la richiesta deve disporre delle autorizzazioni per tutti i servizi chiamati da FAS.

## Richieste FAS e condizioni delle policy IAM
<a name="access_fas_policy_conditions"></a>

Quando vengono effettuate richieste FAS, le chiavi di condizione [aws:CalledVia](reference_policies_condition-keys.md#condition-keys-calledvia), [aws:CalledViaFirst](reference_policies_condition-keys.md#condition-keys-calledviafirst) e [aws:CalledViaLast](reference_policies_condition-keys.md#condition-keys-calledvialast) vengono compilate con il principale di servizio del servizio che ha avviato la chiamata FAS. Il valore della chiave di condizione [aws:ViaAWSService](reference_policies_condition-keys.md#condition-keys-viaawsservice) viene impostato su `true` ogni volta che viene effettuata una richiesta FAS. Nel diagramma seguente, per la richiesta a direct non è impostata CloudFormation alcuna chiave o condizionale. `aws:CalledVia` `aws:ViaAWSService` Quando CloudFormation e DynamoDB effettuano richieste FAS downstream per conto del ruolo, i valori per queste chiavi di condizione vengono compilati.

![\[Un diagramma di flusso di un ruolo IAM che viene passato come principale a CloudFormation e quindi passa i valori della chiave della condizione a DynamoDB e. AWS KMS\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/access-fas-example2.png)


Per consentire l'invio di una richiesta FAS quando altrimenti verrebbe negata da una dichiarazione di politica Deny con una chiave di condizione che verifica gli indirizzi IP di origine o l'origine VPCs, è necessario utilizzare le chiavi di condizione per fornire un'eccezione per le richieste FAS nella politica Deny. Questa operazione può essere eseguita per tutte le richieste FAS utilizzando la chiave di condizione `aws:ViaAWSService`. Per consentire solo a AWS servizi specifici di effettuare richieste FAS, utilizza. `aws:CalledVia`

**Importante**  
Quando viene effettuata una richiesta FAS in seguito a una richiesta iniziale effettuata tramite un endpoint VPC, i valori delle chiavi di condizione per `aws:SourceVpce`, `aws:SourceVpc` e `aws:VpcSourceIp` della richiesta iniziale non vengono utilizzati nelle richieste FAS. Quando si scrivono policy utilizzando `aws:VPCSourceIP` o `aws:SourceVPCE` per concedere l'accesso in modo condizionale, è inoltre necessario utilizzare `aws:ViaAWSService` o `aws:CalledVia` per consentire le richieste FAS. Quando viene effettuata una richiesta FAS dopo che una richiesta iniziale è stata ricevuta da un endpoint di AWS servizio pubblico, le richieste FAS successive verranno effettuate con lo stesso `aws:SourceIP` valore della chiave di condizione.

## Esempio: consentire ad Amazon S3 l'accesso da un VPC o tramite FAS
<a name="access_fas_example"></a>

Nel seguente esempio di policy IAM, le richieste Amazon S3 e GetObject Athena sono consentite solo se provengono da endpoint VPC collegati a o se la richiesta è una richiesta *example\$1vpc* FAS effettuata da Athena.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "OnlyAllowMyIPs",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*",
        "athena:StartQueryExecution",
        "athena:GetQueryResults",
        "athena:GetWorkGroup",
        "athena:StopQueryExecution",
        "athena:GetQueryExecution"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceVPC": [
          "vpc-111bbb22"
          ]
        }
      }
    },
    {
      "Sid": "OnlyAllowFAS",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*"
      ],
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "athena.amazonaws.com"
        }
      }
    }
  ]
}
```

------

Per ulteriori esempi di utilizzo delle chiavi di condizione per consentire l'accesso FAS, consulta il [repository di esempi di policy per implementare un perimetro di dati](https://github.com/aws-samples/data-perimeter-policy-examples).

# Esempi di policy basate su identità IAM
<a name="access_policies_examples"></a>

Una [policy](access_policies.md) è un oggetto AWS che, se associato a un'identità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste politiche quando un responsabile IAM (utente o ruolo) effettua una richiesta. Le autorizzazioni nelle policy determinano l’approvazione o il rifiuto della richiesta. La maggior parte delle policy viene archiviata AWS come documenti JSON allegati a un'identità IAM (utente, gruppo di utenti o ruolo). Le policy basate sulle identità includono policy gestite da AWS , policy gestite dal cliente e policy inline. Per ulteriori informazioni su come creare una policy IAM utilizzando questi documenti di policy JSON, consulta [Creazione di policy utilizzando l'editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

Per impostazione predefinita, tutte le richieste vengono rifiutate, pertanto è necessario fornire l'accesso a servizi, azioni e risorse da rendere disponibili per l'identità. Se desideri consentire l'accesso anche per completare le operazioni specificate nella console IAM, dovrai fornire ulteriori autorizzazioni.

La seguente libreria di policy può aiutarti a definire le autorizzazioni per le tue identità IAM. Una volta trovata la policy desiderata, seleziona **view this policy (visualizza la policy)** per consultare il JSON della policy. Puoi utilizzare il documento di policy JSON come modello per le tue policy.

**Nota**  
Per inviare una policy e includerla in questa guida di riferimento, utilizza il pulsante **Feedback** in fondo a questa pagina.

## Politiche di esempio: AWS
<a name="policy_library_AWS"></a>
+ Consente l'accesso in un intervallo di date specifico. ([Visualizzare questa policy](reference_policies_examples_aws-dates.md)).
+ Consente di abilitare e disabilitare AWS le regioni. ([Visualizzare questa policy](reference_policies_examples_aws-enable-disable-regions.md)).
+ Consente agli utenti autenticati con MFA di gestire le proprie credenziali nella pagina **Credenziali di sicurezza**. ([Visualizzare questa policy](reference_policies_examples_aws_my-sec-creds-self-manage.md)).
+ Consente un accesso specifico quando utilizzi MFA durante un determinato intervallo di date. ([Visualizzare questa policy](reference_policies_examples_aws_mfa-dates.md)).
+ Consente agli utenti di gestire le proprie credenziali nella pagina **Credenziali di sicurezza**. ([Visualizzare questa policy](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md)).
+ Consente agli utenti di gestire il proprio dispositivo MFA nella pagina **Credenziali di sicurezza**. ([Visualizzare questa policy](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md)).
+ Consente agli utenti di gestire la propria password nella pagina **Credenziali di sicurezza**. ([Visualizzare questa policy](reference_policies_examples_aws_my-sec-creds-self-manage-password-only.md)).
+ Consente agli utenti di gestire la propria password, le chiavi di accesso e le chiavi pubbliche SSH nella pagina **Credenziali di sicurezza**. ([Visualizzare questa policy](reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh.md)).
+ Nega l'accesso a in AWS base alla regione richiesta. ([Visualizzare questa policy](reference_policies_examples_aws_deny-requested-region.md)).
+ Nega l'accesso a in AWS base all'indirizzo IP di origine. ([Visualizzare questa policy](reference_policies_examples_aws_deny-ip.md)).

## Politica di esempio: AWS Data Exchange
<a name="policy_data_exchange"></a>
+ Nega l'accesso alle risorse Amazon S3 al di fuori del tuo account, tranne AWS Data Exchange. ([Visualizzare questa policy](reference_policies_examples_resource_account_data_exch.md)).

## Politiche di esempio: AWS Data Pipeline
<a name="policy_library_DataPipeline"></a>
+ Rifiuta l'accesso alle pipeline non create dall'utente ([Visualizzare questa policy](reference_policies_examples_datapipeline_not-owned.md)).

## Policy di esempio: Amazon DynamoDB
<a name="policy_library_DynamoDB"></a>
+ Consente l'accesso a una specifica tabella Amazon DynamoDB ([Visualizza questa policy](reference_policies_examples_dynamodb_specific-table.md)).
+ Consente l'accesso ad attributi Amazon DynamoDB specifici ([Visualizza questa policy](reference_policies_examples_dynamodb_attributes.md)).
+ Consente l'accesso a livello di elemento ad Amazon DynamoDB in base a un ID Amazon Cognito ([Visualizza questa policy](reference_policies_examples_dynamodb_items.md)).

## Politiche di esempio: Amazon EC2
<a name="policy_library_ec2"></a>
+ Consente di allegare o scollegare i volumi Amazon EBS alle EC2 istanze Amazon in base ai tag ([Visualizza](reference_policies_examples_ec2_ebs-owner.md) questa policy).
+ [Consente l'avvio di EC2 istanze Amazon in una sottorete specifica, a livello di codice e nella console (Visualizza questa politica).](reference_policies_examples_ec2_instances-subnet.md)
+ Consente la gestione dei gruppi EC2 di sicurezza Amazon associati a un VPC specifico, in modo programmatico e nella console ([Visualizza](reference_policies_examples_ec2_securitygroups-vpc.md) questa policy).
+ Consente di avviare o arrestare EC2 le istanze Amazon che un utente ha taggato, a livello di codice e nella console ([Visualizza](reference_policies_examples_ec2_tag-owner.md) questa politica).
+ Consente di avviare o arrestare EC2 istanze Amazon in base alle risorse e ai tag principali, a livello di codice e nella console ([Visualizza](reference_policies_examples_ec2-start-stop-tags.md) questa politica).
+ Consente di avviare o arrestare EC2 le istanze Amazon quando la risorsa e i tag principali corrispondono ([Visualizza questa politica](reference_policies_examples_ec2-start-stop-match-tags.md)).
+ Consente EC2 l'accesso completo ad Amazon all'interno di una regione specifica, a livello di programmazione e nella console. ([Visualizzare questa policy](reference_policies_examples_ec2_region.md)).
+ Consente l'avvio o l'arresto di un' EC2 istanza Amazon specifica e la modifica di un gruppo di sicurezza specifico, a livello di codice e nella console ([Visualizza](reference_policies_examples_ec2_instance-securitygroup.md) questa politica).
+ Nega l'accesso a specifiche EC2 operazioni di Amazon senza MFA [(Visualizza questa](reference_policies_examples_ec2_require-mfa.md) politica).
+ Limita la terminazione EC2 delle istanze Amazon a un intervallo di indirizzi IP specifico ([Visualizza questa politica](reference_policies_examples_ec2_terminate-ip.md)).

## Politiche di esempio: AWS Identity and Access Management (IAM)
<a name="policy_library_IAM"></a>
+ Consente l'accesso all'API del simulatore di policy ([Visualizzare questa policy](reference_policies_examples_iam_policy-sim.md)).
+ Consente l'accesso alla console del simulatore di policy ([Visualizzare questa policy](reference_policies_examples_iam_policy-sim-console.md)).
+ Consente l'assunzione di qualsiasi ruolo che dispone di un tag specifico, a livello di programmazione e nella console ([Visualizzare questa policy](reference_policies_examples_iam-assume-tagged-role.md)).
+ Consente e nega l'accesso a più servizi, a livello di programmazione e nella console ([Visualizzare questa policy](reference_policies_examples_iam_multiple-services-console.md)).
+ Consente l'aggiunta di un tag specifico a un utente IAM con un altro tag specifico, a livello di programmazione e nella console ([Visualizza questa policy](reference_policies_examples_iam-add-tag.md)).
+ Consente l'aggiunta di un tag specifico a qualsiasi utente o ruolo IAM, a livello di programmazione e nella console ([Visualizza questa policy](reference_policies_examples_iam-add-tag-user-role.md)).
+ Consente la creazione di un nuovo utente solo con tag specifici ([Visualizzare questa policy](reference_policies_examples_iam-new-user-tag.md)).
+ Consente la generazione e il recupero di report delle credenziali IAM ([Visualizzare questa policy](reference_policies_examples_iam-credential-report.md)).
+ Consente la gestione dell'appartenenza a un gruppo, a livello di programmazione e nella console ([Visualizzare questa policy](reference_policies_examples_iam_manage-group-membership.md)).
+ Consente la gestione di un tag specifico ([Visualizzare questa policy](reference_policies_examples_iam-manage-tags.md)).
+ Consente di passare un ruolo IAM a un servizio specifico ([Visualizza questa policy](reference_policies_examples_iam-passrole-service.md)).
+ Consente l'accesso in sola lettura alla console IAM senza la creazione di report ([Visualizza questa policy](reference_policies_examples_iam_read-only-console-no-reporting.md)).
+ Consente l'accesso in sola lettura alla console IAM ([Visualizza questa policy](reference_policies_examples_iam_read-only-console.md)).
+ Consente a utenti specifici di gestire un gruppo, a livello di programmazione e nella console ([Visualizzare questa policy](reference_policies_examples_iam_users-manage-group.md)).
+ Consente l'impostazione di requisiti della password dell'account, a livello di programmazione e nella console ([Visualizzare questa policy](reference_policies_examples_iam_set-account-pass-policy.md)).
+ Consente l'utilizzo dell'API del simulatore di policy per gli utenti con un percorso specifico ([Visualizzare questa policy](reference_policies_examples_iam_policy-sim-path.md)).
+ Consente l'utilizzo della console del simulatore di policy per gli utenti con un percorso specifico ([Visualizzare questa policy](reference_policies_examples_iam_policy-sim-path-console.md)).
+ Consente agli utenti IAM di gestire in modo autonomo un dispositivo MFA ([Visualizzare questa policy](reference_policies_examples_iam_mfa-selfmanage.md)).
+ Consente agli utenti IAM di impostare le credenziali a livello di programmazione e nella console. ([Visualizzare questa policy](reference_policies_examples_iam_credentials_console.md)).
+ Consente di visualizzare le informazioni sull'ultimo accesso al servizio per una AWS Organizations policy nella console IAM. ([Visualizzare questa policy](reference_policies_examples_iam_service-accessed-data-orgs.md)).
+ Limita le policy gestite che possono essere applicate a un utente, un gruppo o un ruolo IAM ([Visualizza questa policy](reference_policies_examples_iam_limit-managed.md)).
+ Consente l'accesso alle policy IAM solo nel tuo account. [Visualizza questa policy](resource_examples_iam_policies_resource_account.md).

## Politiche di esempio: AWS Lambda
<a name="policy_library_Lambda"></a>
+ Consente a una AWS Lambda funzione di accedere a una tabella Amazon DynamoDB [(Visualizza](reference_policies_examples_lambda-access-dynamodb.md) questa policy).

## Policy di esempio: Amazon RDS
<a name="policy_library_RDS"></a>
+ Consente l'accesso completo al database Amazon RDS in una regione specifica. ([Visualizzare questa policy](reference_policies_examples_rds_region.md)).
+ Consente il ripristino dei database Amazon RDS, in modo programmatico e nella console ([Visualizza questa policy](reference_policies_examples_rds_db-console.md))
+ Consente ai proprietari di tag l'accesso completo alle risorse Amazon RDS che hanno taggato ([Visualizza questa policy](reference_policies_examples_rds_tag-owner.md)).

## Policy di esempio: Amazon S3
<a name="policy_library_S3"></a>
+ Consente a un utente Amazon Cognito di accedere a oggetti del proprio bucket Amazon S3 ([Visualizza questa policy](reference_policies_examples_s3_cognito-bucket.md))
+ Consente agli utenti con credenziali temporanee di accedere alla propria home directory in Amazon S3, in modo programmatico e nella console ([Visualizza questa policy](reference_policies_examples_s3_federated-home-directory-console.md)).
+ Consente l'accesso S3 completo, ma nega esplicitamente l'accesso al bucket di produzione se l'amministratore non ha effettuato l'accesso utilizzando MFA negli ultimi trenta minuti ([Visualizzare questa policy](reference_policies_examples_s3_full-access-except-production.md)).
+ Consente agli utenti IAM di accedere alla propria directory home in Amazon S3, in modo programmatico e nella console ([Visualizza questa policy](reference_policies_examples_s3_home-directory-console.md)).
+ Consente a un utente di gestire un singolo bucket Amazon S3 e nega ogni altra AWS azione e risorsa ([Visualizza](reference_policies_examples_s3_deny-except-bucket.md) questa policy).
+ Consente un accesso di tipo `Read` e `Write` a un bucket Amazon S3 specifico ([Visualizza questa policy](reference_policies_examples_s3_rw-bucket.md)).
+ Consente un accesso di tipo `Read` e `Write` a un bucket Amazon S3 specifico, in modo programmatico e nella console ([Visualizza questa policy](reference_policies_examples_s3_rw-bucket-console.md)).

# AWS: consente l'accesso in base alla data e all'ora
<a name="reference_policies_examples_aws-dates"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta l'accesso alle operazioni in base alla data e all'ora. Questa policy limita l'accesso alle operazioni che si verificano tra il 1° aprile 2020 e il 30 giugno 2020 (UTC), inclusi. Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

Per ulteriori informazioni sull'utilizzo di condizioni multiple all'interno di un blocco `Condition` di una policy IAM, consultare [Valori multipli in una condizione](reference_policies_elements_condition.md#Condition-multiple-conditions)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "service-prefix:action-name",
            "Resource": "*",
            "Condition": {
                "DateGreaterThan": {"aws:CurrentTime": "2020-04-01T00:00:00Z"},
                "DateLessThan": {"aws:CurrentTime": "2020-06-30T23:59:59Z"}
            }
        }
    ]
}
```

------

**Nota**  
Non è possibile utilizzare una variabile di policy con l'operatore di condizione Date. Per ulteriori informazioni, consulta la sezione [Elemento condizione](reference_policies_variables.md#policy-vars-conditionelement)

# AWS: consente di abilitare e disabilitare le regioni AWS
<a name="reference_policies_examples_aws-enable-disable-regions"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta a un amministratore di abilitare e disabilitare la regione Asia Pacifico (Hong Kong) (ap-east-1). Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. Questa impostazione viene visualizzata nella pagina **Account settings (Impostazioni dell'account)** nella Console di gestione AWS. Questa pagina include informazioni sensibili a livello di account, che devono essere visualizzate e gestite solo da amministratori dell'account. Per utilizzare questo criterio, sostituisci il criterio riportato *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

**Importante**  
Non è possibile abilitare o disabilitare le regioni abilitate per impostazione predefinita. Puoi includere solo le regioni *disabilitate* per impostazione predefinita. Per ulteriori informazioni, consulta [Gestione delle regioni AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) nella *Riferimenti generali di AWS*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnableDisableHongKong",
            "Effect": "Allow",
            "Action": [
                "account:EnableRegion",
                "account:DisableRegion"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {"account:TargetRegion": "ap-east-1"}
            }
        },
        {
            "Sid": "ViewConsole",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# AWS: consente agli utenti IAM autenticati con MFA di gestire le proprie credenziali nella pagina Credenziali di sicurezza
<a name="reference_policies_examples_aws_my-sec-creds-self-manage"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta agli utenti IAM autenticati tramite l'[autenticazione a più fattori (MFA)](id_credentials_mfa.md) di gestire le proprie credenziali sulla pagina **Credenziali di sicurezza**. Questa pagina della Console di gestione AWS mostra informazioni sull'account, come l'ID account e l'ID utente canonico. Gli utenti possono anche visualizzare e modificare le password, le chiavi di accesso, i dispositivi MFA, i certificati X.509, le chiavi SSH e le credenziali Git. Questa policy di esempio include le autorizzazioni necessarie per visualizzare e modificare tutte le informazioni sulla pagina. Richiede inoltre che l'utente si configuri e si autentichi tramite MFA prima di eseguire qualsiasi altra operazione in. AWS Per consentire agli utenti di gestire le proprie credenziali senza MFA, consulta [AWS: consente agli utenti IAM di gestire le proprie credenziali nella pagina Credenziali di sicurezza](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).

Per ulteriori informazioni su come gli utenti possono accedere alla pagina **Credenziali di sicurezza**, consulta [Come gli utenti IAM possono cambiare le proprie password (console)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**Nota**  
Questo criterio di esempio non consente agli utenti di reimpostare una password durante Console di gestione AWS il primo accesso. Ti consigliamo di non concedere autorizzazioni ai nuovi utenti fino a quando non hanno effettuato l'accesso. Per ulteriori informazioni, consulta [Come posso creare utenti IAM in modo sicuro?](troubleshoot.md#troubleshoot_general_securely-create-iam-users). Inoltre, ciò impedisce agli utenti con una password scaduta di reimpostare la password durante l'accesso. Per consentire questa operazione, aggiungere `iam:ChangePassword` e `iam:GetAccountPasswordPolicy` all'istruzione `DenyAllExceptListedIfNoMFA`. Tuttavia, non ti consigliamo di farlo perché consentire agli utenti di cambiare la password senza MFA può costituire un rischio per la sicurezza.
Se intendi utilizzare questa policy per l'accesso programmatico, devi chiamare [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html) per l'autenticazione con l'MFA. Per ulteriori informazioni, consulta [Accesso sicuro alle API con MFA](id_credentials_mfa_configure-api-require.md).

**Che cosa fa questa policy?**
+ L'istruzione `AllowViewAccountInfo` consente all'utente di visualizzare le informazioni a livello di account. Queste autorizzazioni devono essere nella propria istruzione perché non supportano o non devono specificare l'ARN di una risorsa. Le autorizzazioni specificano invece `"Resource" : "*"`. Questa istruzione include le seguenti operazioni che consentono all'utente di visualizzare informazioni specifiche: 
  + `GetAccountPasswordPolicy`: visualizza i requisiti della password dell'account cambiando la propria password utente IAM.
  + `ListVirtualMFADevices`: consente di visualizzare i dettagli di un dispositivo MFA virtuale abilitato per l'utente.
+ L'istruzione `AllowManageOwnPasswords` consente all'utente di modificare la propria password. Questa istruzione include anche l'operazione `GetUser`, obbligatoria per visualizzare la maggior parte delle informazioni nella pagina **My security credentials** (Le mie credenziali di sicurezza).
+ L'istruzione `AllowManageOwnAccessKeys` consente all'utente di creare, aggiornare ed eliminare le proprie chiavi di accesso. L'utente può anche ottenere informazioni su quando è stata utilizzata l'ultima volta la chiave di accesso specificata. 
+ L'istruzione `AllowManageOwnSigningCertificates` consente all'utente di caricare, aggiornare ed eliminare i propri certificati di firma.
+ L'istruzione `AllowManageOwnSSHPublicKeys` consente all'utente di caricare, aggiornare ed eliminare le proprie chiavi pubbliche SSH per CodeCommit.
+ L'istruzione `AllowManageOwnGitCredentials` consente all'utente di creare, aggiornare ed eliminare le proprie credenziali Git per CodeCommit.
+ L'istruzione `AllowManageOwnVirtualMFADevice` consente all'utente di creare il proprio dispositivo virtuale MFA. L'ARN della risorsa in questa istruzione consente all'utente di creare un dispositivo MFA con qualsiasi nome, ma le altre istruzioni nella policy consentono all'utente soltanto di collegare il dispositivo all'utente correntemente registrato.
+ L'istruzione `AllowManageOwnUserMFA` consente all'utente di visualizzare o gestire il dispositivo MFA virtuale, U2F o hardware per il proprio utente. L'ARN della risorsa in questa istruzione consente di accedere solo all'utente IAM dell'utente stesso. Gli utenti non possono visualizzare o gestire il dispositivo MFA per altri utenti. 
+ L'`DenyAllExceptListedIfNoMFA`istruzione nega l'accesso a tutte le azioni in tutti i AWS servizi, ad eccezione di alcune azioni elencate, ma ***solo se*** l'utente non ha effettuato l'accesso con MFA. L'istruzione utilizza una combinazione di `"Deny"` e `"NotAction"` per negare esplicitamente l'accesso a tutte le operazioni che non sono nell'elenco. Gli elementi elencati non sono negati o consentiti da questa istruzione. Tuttavia, le azioni sono consentite da altre istruzioni della policy. Per ulteriori informazioni sulla logica di questa istruzione, vedere [NotAction with](reference_policies_elements_notaction.md) Deny. Se l'utente ha eseguito l'accesso con l'autenticazione MFA, il test `Condition` dà esito negativo e questa istruzione non produce effetti. In questo caso, altre policy o dichiarazioni per l'utente determinano le autorizzazioni dell'utente.

  Questa istruzione garantisce che quando l'utente non ha effettuato l'accesso con MFA può eseguire solo le operazioni elencate. Inoltre, possono eseguire le operazioni elencate, solo se un'altra istruzione o policy consente l'accesso a tali operazioni. Questo non consente a un utente di creare una password all'accesso, perché l'operazione `iam:ChangePassword` non deve essere consentita senza l'autorizzazione MFA.

  La versione `...IfExists` dell'operatore `Bool` garantisce che se la chiave `aws:MultiFactorAuthPresent` manca, la condizione restituisce true. Questo significa che a un utente che accede a un'API con le credenziali di lungo termine, ad esempio con una chiave di accesso, viene negato l'accesso alle operazioni API non IAM.

Questa policy non consente agli utenti di visualizzare la pagina **Utenti** nella console IAM o utilizzare questa pagina per accedere alle proprie informazioni utente. Per consentire questa operazione, aggiungere l'operazione `iam:ListUsers` all'istruzione `AllowViewAccountInfo` e all'istruzione `DenyAllExceptListedIfNoMFA`. Inoltre, non consente agli utenti di cambiare la password sulla proprio pagina utente. Per consentire questa operazione, aggiungi le operazioni `iam:GetLoginProfile` e `iam:UpdateLoginProfile` all'istruzione `AllowManageOwnPasswords`. Inoltre, per consente a un utente di cambiare la password dalla propria pagina utente senza l'accesso tramite MFA, aggiungere l'operazione `iam:UpdateLoginProfile` all'istruzione `DenyAllExceptListedIfNoMFA`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSigningCertificates",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSigningCertificate",
                "iam:ListSigningCertificates",
                "iam:UpdateSigningCertificate",
                "iam:UploadSigningCertificate"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnGitCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:ResetServiceSpecificCredential",
                "iam:UpdateServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/*"
        },
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:GetMFADevice",
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice",
                "sts:GetSessionToken"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

# AWS: consente l'accesso specifico tramite MFA entro date specifiche
<a name="reference_policies_examples_aws_mfa-dates"></a>

Questo esempio mostra come creare una policy basata sull'identità che utilizzi più condizioni che vengono valutate in base a un operatore `AND` logico. Consente l'accesso completo al servizio denominato `SERVICE-NAME-1` e l'accesso alle operazioni `ACTION-NAME-A` e `ACTION-NAME-B` nel servizio denominato `SERVICE-NAME-2`. Queste operazioni sono consentite solo quando l'utente è autenticato tramite l'[autenticazione a più fattori (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html). L'accesso è limitato alle operazioni effettuate tra il 1 luglio 2017 e il 31 dicembre 2017 (UTC), inclusi. Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

Per ulteriori informazioni sull'utilizzo di condizioni multiple all'interno di un blocco `Condition` di una policy IAM, consultare [Valori multipli in una condizione](reference_policies_elements_condition.md#Condition-multiple-conditions)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "service-prefix-1:*",
            "service-prefix-2:action-name-a",
            "service-prefix-2:action-name-b"
        ],
        "Resource": "*",
        "Condition": {
            "Bool": {"aws:MultiFactorAuthPresent": true},
            "DateGreaterThan": {"aws:CurrentTime": "2017-07-01T00:00:00Z"},
            "DateLessThan": {"aws:CurrentTime": "2017-12-31T23:59:59Z"}
        }
    }
}
```

------

# AWS: consente agli utenti IAM di gestire le proprie credenziali nella pagina Credenziali di sicurezza
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta agli utenti IAM di gestire le proprie credenziali nella pagina **Credenziali di sicurezza**. Questa Console di gestione AWS pagina mostra informazioni sull'account come l'ID account e l'ID utente canonico. Gli utenti possono anche visualizzare e modificare le password, le chiavi di accesso, i certificati X.509, le chiavi SSH e le credenziali Git. Questa policy di esempio include le autorizzazioni necessarie per visualizzare e modificare le informazioni sulla pagina *eccetto* il dispositivo MFA dell'utente. Per consentire agli utenti di gestire le proprie credenziali con MFA, consulta [AWS: consente agli utenti IAM autenticati con MFA di gestire le proprie credenziali nella pagina Credenziali di sicurezza](reference_policies_examples_aws_my-sec-creds-self-manage.md).

Per ulteriori informazioni su come gli utenti possono accedere alla pagina **Credenziali di sicurezza**, consulta [Come gli utenti IAM possono cambiare le proprie password (console)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**Che cosa fa questa policy?**
+ L'istruzione `AllowViewAccountInfo` consente all'utente di visualizzare le informazioni a livello di account. Queste autorizzazioni devono essere nella propria istruzione perché non supportano o non devono specificare l'ARN di una risorsa. Le autorizzazioni specificano invece `"Resource" : "*"`. Questa istruzione include le seguenti operazioni che consentono all'utente di visualizzare informazioni specifiche: 
  + `GetAccountPasswordPolicy`: visualizza i requisiti della password dell'account cambiando la propria password utente IAM.
  + `GetAccountSummary`: visualizza l'ID account e l'[ID utente canonico](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId) dell'account.
+ L'istruzione `AllowManageOwnPasswords` consente all'utente di modificare la propria password. Questa istruzione include anche l'operazione `GetUser`, obbligatoria per visualizzare la maggior parte delle informazioni nella pagina **My security credentials** (Le mie credenziali di sicurezza).
+ L'istruzione `AllowManageOwnAccessKeys` consente all'utente di creare, aggiornare ed eliminare le proprie chiavi di accesso. L'utente può anche ottenere informazioni su quando è stata utilizzata l'ultima volta la chiave di accesso specificata. 
+ L'istruzione `AllowManageOwnSigningCertificates` consente all'utente di caricare, aggiornare ed eliminare i propri certificati di firma.
+ L'istruzione `AllowManageOwnSSHPublicKeys` consente all'utente di caricare, aggiornare ed eliminare le proprie chiavi pubbliche SSH per CodeCommit.
+ L'istruzione `AllowManageOwnGitCredentials` consente all'utente di creare, aggiornare ed eliminare le proprie credenziali Git per CodeCommit.

Questa policy non consente agli utenti di visualizzare o gestire i propri dispositivi MFA. Inoltre, non sono in grado di visualizzare la pagina **Utenti** nella console IAM o utilizzare questa pagina per accedere alle proprie informazioni utente. Per consentire questa operazione, aggiungere l'operazione `iam:ListUsers` all'istruzione `AllowViewAccountInfo`. Inoltre, non consente agli utenti di cambiare la password sulla proprio pagina utente. Per consentire questa operazione, aggiungere le operazioni `iam:CreateLoginProfile`, `iam:DeleteLoginProfile`, `iam:GetLoginProfile` e `iam:UpdateLoginProfile` all'istruzione `AllowManageOwnPasswords`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary"       
            ],
            "Resource": "*"
        },       
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSigningCertificates",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSigningCertificate",
                "iam:ListSigningCertificates",
                "iam:UpdateSigningCertificate",
                "iam:UploadSigningCertificate"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnGitCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:ResetServiceSpecificCredential",
                "iam:UpdateServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# AWS: consente agli utenti IAM autenticati con MFA di gestire il proprio dispositivo MFA nella pagina Credenziali di sicurezza
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta agli utenti IAM autenticati tramite l'[autenticazione a più fattori (MFA)](id_credentials_mfa.md) di gestire il proprio dispositivo MFA sulla pagina **Credenziali di sicurezza**. Questa Console di gestione AWS pagina mostra le informazioni sull'account e sull'utente, ma l'utente può solo visualizzare e modificare il proprio dispositivo MFA. Per consentire agli utenti di gestire le proprie credenziali con MFA, consulta [AWS: consente agli utenti IAM autenticati con MFA di gestire le proprie credenziali nella pagina Credenziali di sicurezza](reference_policies_examples_aws_my-sec-creds-self-manage.md).

**Nota**  
Se un utente IAM con questa policy non è autenticato tramite MFA, questa policy nega l'accesso a tutte le AWS azioni tranne quelle necessarie per l'autenticazione tramite MFA. Per utilizzare l' AWS API AWS CLI and, gli utenti IAM devono prima recuperare il proprio token MFA utilizzando AWS STS [GetSessionToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html)l'operazione e quindi utilizzare quel token per autenticare l'operazione desiderata. Altre policy, ad esempio le policy basate sulle risorse o altre policy basate sull'identità, possono consentire operazioni in altri servizi. Questa policy negherà tale accesso se l'utente IAM non dispone dell'autenticazione MFA.

Per ulteriori informazioni su come gli utenti possono accedere alla pagina **Credenziali di sicurezza**, consulta [Come gli utenti IAM possono cambiare le proprie password (console)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**Che cosa fa questa policy?**
+ L'istruzione `AllowViewAccountInfo` consente all'utente di visualizzare i dettagli di un dispositivo MFA virtuale abilitato per l'utente. Questa autorizzazione deve essere nella propria dichiarazione perché non specifica un ARN della risorsa. È necessario invece specificare `"Resource" : "*"`.
+ L'istruzione `AllowManageOwnVirtualMFADevice` consente all'utente di creare il proprio dispositivo virtuale MFA. L'ARN della risorsa in questa istruzione consente all'utente di creare un dispositivo MFA con qualsiasi nome, ma le altre istruzioni nella policy consentono all'utente soltanto di collegare il dispositivo all'utente correntemente registrato.
+ L'istruzione `AllowManageOwnUserMFA` consente all'utente di visualizzare o gestire il proprio dispositivo MFA virtuale, U2F o hardware. L'ARN della risorsa in questa istruzione consente di accedere solo all'utente IAM dell'utente stesso. Gli utenti non possono visualizzare o gestire il dispositivo MFA per altri utenti.
+ L'`DenyAllExceptListedIfNoMFA`istruzione nega l'accesso a tutte le azioni in tutti i AWS servizi, ad eccezione di alcune azioni elencate, ma ***solo se*** l'utente non ha effettuato l'accesso con MFA. L'istruzione utilizza una combinazione di `"Deny"` e `"NotAction"` per negare esplicitamente l'accesso a tutte le operazioni che non sono nell'elenco. Gli elementi elencati non sono negati o consentiti da questa istruzione. Tuttavia, le azioni sono consentite da altre istruzioni della policy. Per ulteriori informazioni sulla logica di questa istruzione, vedere [NotAction with](reference_policies_elements_notaction.md) Deny. Se l'utente ha eseguito l'accesso con l'autenticazione MFA, il test `Condition` dà esito negativo e questa istruzione non produce effetti. In questo caso, altre policy o dichiarazioni per l'utente determinano le autorizzazioni dell'utente.

  Questa istruzione garantisce che quando l'utente non ha effettuato l'accesso con MFA può eseguire solo le operazioni elencate. Inoltre, possono eseguire le operazioni elencate, solo se un'altra istruzione o policy consente l'accesso a tali operazioni.

  La versione `...IfExists` dell'operatore `Bool` garantisce che se la chiave `aws:MultiFactorAuthPresent` manca, la condizione restituisce true. Questo significa che a un utente che accede a un'operazione API con le credenziali di lungo termine, come una chiave di accesso, viene negato l'accesso alle operazioni API non IAM.

Questa policy non consente agli utenti di visualizzare la pagina **Utenti** nella console IAM o utilizzare questa pagina per accedere alle proprie informazioni utente. Per consentire questa operazione, aggiungere l'operazione `iam:ListUsers` all'istruzione `AllowViewAccountInfo` e all'istruzione `DenyAllExceptListedIfNoMFA`.

**avvertimento**  
Non aggiungere l'autorizzazione per l'eliminazione di un dispositivo MFA senza autenticazione MFA. Gli utenti con questa policy potrebbero tentare di autoassegnarsi un dispositivo MFA virtuale e ricevere un errore in cui si specifica che non sono autorizzati a eseguire `iam:DeleteVirtualMFADevice`. In questo caso, **non** aggiungere tale autorizzazione all'istruzione `DenyAllExceptListedIfNoMFA`. Agli utenti che non si autenticano tramite MFA non deve mai essere consentito di eliminare il dispositivo MFA. Gli utenti potrebbero visualizzare questo errore se hanno in precedenza iniziato ad assegnare un dispositivo MFA virtuale all'utente e annullato il processo. Per risolvere questo problema, tu o un altro amministratore dovete eliminare il dispositivo MFA virtuale esistente dell'utente utilizzando l'API AWS CLI o AWS . Per ulteriori informazioni, consulta [Non sono autorizzato a eseguire: iam: DeleteVirtual MFADevice](troubleshoot.md#troubleshoot_general_access-denied-delete-mfa).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": "iam:ListVirtualMFADevices",
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/*"
        },
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:GetMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice",
                "sts:GetSessionToken"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {"aws:MultiFactorAuthPresent": "false"}
            }
        }
    ]
}
```

------

# AWS: consente agli utenti IAM di modificare la password della console sulla pagina Credenziali di sicurezza
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-password-only"></a>

Questo esempio mostra come è possibile creare una policy basata sull'identità che consenta agli utenti IAM di modificare la propria Console di gestione AWS password nella pagina Credenziali **di sicurezza**. Questa Console di gestione AWS pagina mostra le informazioni sull'account e sull'utente, ma l'utente può accedere solo alla propria password. Per consentire agli utenti di gestire le proprie credenziali con MFA, consulta [AWS: consente agli utenti IAM autenticati con MFA di gestire le proprie credenziali nella pagina Credenziali di sicurezza](reference_policies_examples_aws_my-sec-creds-self-manage.md). Per consentire agli utenti di gestire le proprie credenziali senza MFA, consulta [AWS: consente agli utenti IAM di gestire le proprie credenziali nella pagina Credenziali di sicurezza](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).

Per ulteriori informazioni su come gli utenti possono accedere alla pagina **Credenziali di sicurezza**, consulta [Come gli utenti IAM possono cambiare le proprie password (console)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**Che cosa fa questa policy?**
+ L'istruzione `ViewAccountPasswordRequirements` consente all'utente di visualizzare i requisiti della password dell'account cambiando la propria password utente IAM.
+ L'istruzione `ChangeOwnPassword` consente all'utente di modificare la propria password. Questa istruzione include anche l'operazione `GetUser`, obbligatoria per visualizzare la maggior parte delle informazioni nella pagina **My security credentials (Le mie credenziali di sicurezza)**.

Questa policy non consente agli utenti di visualizzare la pagina **Utenti** nella console IAM o utilizzare questa pagina per accedere alle proprie informazioni utente. Per consentire questa operazione, aggiungere l'operazione `iam:ListUsers` all'istruzione `ViewAccountPasswordRequirements`. Inoltre, non consente agli utenti di cambiare la password sulla proprio pagina utente. Per consentire questa operazione, aggiungi le operazioni `iam:GetLoginProfile` e `iam:UpdateLoginProfile` all'istruzione `ChangeOwnPasswords`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewAccountPasswordRequirements",
            "Effect": "Allow",
            "Action": "iam:GetAccountPasswordPolicy",
            "Resource": "*"
        },
        {
            "Sid": "ChangeOwnPassword",
            "Effect": "Allow",
            "Action": [
                "iam:GetUser",
                "iam:ChangePassword"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# AWS: consente agli utenti IAM di gestire la propria password, le chiavi di accesso e le chiavi pubbliche SSH nella pagina Credenziali di sicurezza
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta agli utenti IAM di gestire la propria password, le chiavi di accesso e i certificati X.509 nella pagina **Credenziali di sicurezza**. Questa pagina della Console di gestione AWS mostra informazioni sull'account, come l'ID account e l'ID utente canonico. Gli utenti possono anche visualizzare e modificare le password, le chiavi di accesso, i dispositivi MFA, i certificati X.509, le chiavi SSH e le credenziali Git. Questa policy di esempio include le autorizzazioni necessarie per visualizzare e modificare solo le password, le chiavi di accesso e il certificato X.509. Per consentire agli utenti di gestire le proprie credenziali con MFA, consulta [AWS: consente agli utenti IAM autenticati con MFA di gestire le proprie credenziali nella pagina Credenziali di sicurezza](reference_policies_examples_aws_my-sec-creds-self-manage.md). Per consentire agli utenti di gestire le proprie credenziali senza MFA, consulta [AWS: consente agli utenti IAM di gestire le proprie credenziali nella pagina Credenziali di sicurezza](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).

Per ulteriori informazioni su come gli utenti possono accedere alla pagina **Credenziali di sicurezza**, consulta [Come gli utenti IAM possono cambiare le proprie password (console)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**Che cosa fa questa policy?**
+ L'istruzione `AllowViewAccountInfo` consente all'utente di visualizzare le informazioni a livello di account. Queste autorizzazioni devono essere nella propria istruzione perché non supportano o non devono specificare l'ARN di una risorsa. Le autorizzazioni specificano invece `"Resource" : "*"`. Questa istruzione include le seguenti operazioni che consentono all'utente di visualizzare informazioni specifiche: 
  + `GetAccountPasswordPolicy`: visualizza i requisiti della password dell'account cambiando la propria password utente IAM.
  + `GetAccountSummary`: visualizza l'ID account e l'[ID utente canonico](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId) dell'account.
+ L'istruzione `AllowManageOwnPasswords` consente all'utente di modificare la propria password. Questa istruzione include anche l'operazione `GetUser`, obbligatoria per visualizzare la maggior parte delle informazioni nella pagina **My security credentials** (Le mie credenziali di sicurezza).
+ L'istruzione `AllowManageOwnAccessKeys` consente all'utente di creare, aggiornare ed eliminare le proprie chiavi di accesso. L'utente può anche ottenere informazioni su quando è stata utilizzata l'ultima volta la chiave di accesso specificata. 
+ L'istruzione `AllowManageOwnSSHPublicKeys` consente all'utente di caricare, aggiornare ed eliminare le proprie chiavi pubbliche SSH per CodeCommit.

Questa policy non consente agli utenti di visualizzare o gestire i propri dispositivi MFA. Inoltre, non sono in grado di visualizzare la pagina **Utenti** nella console IAM o utilizzare questa pagina per accedere alle proprie informazioni utente. Per consentire questa operazione, aggiungere l'operazione `iam:ListUsers` all'istruzione `AllowViewAccountInfo`. Inoltre, non consente agli utenti di cambiare la password sulla proprio pagina utente. Per consentire questa operazione, aggiungi le operazioni `iam:GetLoginProfile` e `iam:UpdateLoginProfile` all'istruzione `AllowManageOwnPasswords`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# AWS: nega l'accesso in AWS base alla regione richiesta
<a name="reference_policies_examples_aws_deny-requested-region"></a>

Questo esempio illustra come creare una policy basata sull'identità che neghi l'accesso a qualsiasi operazione esterna alle regioni specificate utilizzando la [chiave di condizione `aws:RequestedRegion`](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion), fatta eccezione per le operazioni nei servizi specificati tramite `NotAction`. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

Questa policy utilizza l'elemento `NotAction` con l'effetto `Deny`, che rifiuta esplicitamente l'accesso a tutte le operazioni che *non* sono elencate nella dichiarazione. Le azioni relative a IAM CloudFront, Route 53 e Supporto ai servizi non devono essere negate, poiché si tratta di servizi AWS globali molto diffusi con un unico endpoint che si trova fisicamente nella `us-east-1` regione. Poiché tutte le richieste a questi servizi vengono effettuate alla regione `us-east-1`, le richieste vengono rifiutate senza l'elemento `NotAction`. Modifica questo elemento per includere operazioni per altri servizi globali AWS che utilizzi, ad esempio `budgets`, `globalaccelerator`, `importexport`, `organizations` o `waf`. Alcuni altri servizi globali, come Amazon Q Developer nelle applicazioni di chat AWS Device Farm, sono servizi globali con endpoint che si trovano fisicamente nella `us-west-2` regione. Per ulteriori informazioni su tutti i servizi che dispongono di un singolo endpoint globale, consulta [Regioni ed endpoint AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) nella *Riferimenti generali di AWS*. Per ulteriori informazioni sull'utilizzo dell'elemento `NotAction` con l'effetto `Deny`, consulta [Elementi delle policy JSON IAM: NotAction](reference_policies_elements_notaction.md). 

**Importante**  
Questa policy non consente alcuna operazione. Utilizza questa policy in combinazione con altre policy che consentono operazioni specifiche. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyAllOutsideRequestedRegions",
            "Effect": "Deny",
            "NotAction": [
                "cloudfront:*",
                "iam:*",
                "organizations:*",
                "route53:*",
                "support:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}
```

------

# AWS: nega l'accesso in AWS base all'IP di origine
<a name="reference_policies_examples_aws_deny-ip"></a>

Questo esempio mostra come è possibile creare una policy basata sull'identità che neghi l'accesso a tutte le AWS azioni dell'account quando la richiesta proviene da soggetti esterni all'intervallo IP *specificato*. La policy è utile quando gli indirizzi IP per la tua azienda sono all'interno di determinati intervalli. In questo esempio, la richiesta verrà rifiutata a meno che non provenga dall'intervallo CIDR 192.0.2.0/24 o 203.0.113.0/24. La politica non nega le richieste effettuate dai AWS servizi che utilizzano l'indirizzo IP [Inoltro delle sessioni di accesso](access_forward_access_sessions.md) del richiedente originale.

Fare attenzione a utilizzare condizioni negative nella stessa dichiarazione di policy come `"Effect": "Deny"`. In questo caso, le operazioni specificate nella dichiarazione di policy vengono negate in modo esplicito in tutte le condizioni, *ad eccezione* di quelle specificate.

**Importante**  
Questa policy non consente alcuna operazione. Utilizza questa policy in combinazione con altre policy che consentono operazioni specifiche. 

Quando altre policy consentono operazioni, le entità possono effettuare richieste all'interno dell'intervallo di indirizzi IP. Un AWS servizio può anche effettuare richieste utilizzando le credenziali del principale. Quando un'entità effettua una richiesta al di fuori dell'intervallo IP, la richiesta viene negata.

Per ulteriori informazioni sull'utilizzo della chiave di condizione `aws:SourceIp`, incluse le informazioni su quando `aws:SourceIp` potrebbe non funzionare nelle policy, consulta [AWS chiavi di contesto della condizione globale](reference_policies_condition-keys.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            }
        }
    }
}
```

------

# AWS: nega l'accesso alle risorse Amazon S3 al di fuori del tuo account tranne AWS Data Exchange
<a name="reference_policies_examples_resource_account_data_exch"></a>

Questo esempio mostra come potresti creare una politica basata sull'identità che neghi l'accesso a tutte le risorse AWS che non appartengono al tuo account, ad eccezione delle risorse necessarie per il normale funzionamento. AWS Data Exchange Per utilizzare questa politica, sostituisci la politica dell'*italicized placeholder text*esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md). 

È possibile creare una politica simile per limitare l'accesso alle risorse all'interno di un'organizzazione o di un'unità organizzativa, contabilizzando al contempo le risorse di AWS Data Exchange proprietà utilizzando i tasti di condizione `aws:ResourceOrgPaths` e`aws:ResourceOrgID`.

Se lo utilizzi AWS Data Exchange nel tuo ambiente, il servizio crea e interagisce con risorse come i bucket Amazon S3 di proprietà dell'account del servizio. Ad esempio, AWS Data Exchange invia richieste ai bucket Amazon S3 di proprietà del AWS Data Exchange servizio per conto del principale IAM (utente o ruolo) invocando il. AWS Data Exchange APIs In tal caso, l'utilizzo `aws:ResourceAccount``aws:ResourceOrgPaths`, o `aws:ResourceOrgID` nell'ambito di una policy, senza tenere conto delle risorse di AWS Data Exchange proprietà, nega l'accesso ai bucket di proprietà dell'account di servizio.
+ L'istruzione `DenyAllAwsResourcesOutsideAccountExceptS3` utilizza l'elemento `NotAction` con l'effetto [Deny](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) che nega esplicitamente l'accesso a tutte le operazioni non elencate nell'istruzione e che non appartengono all'account elencato. L'elemento `NotAction` indica le eccezioni a questa istruzione. Queste azioni fanno eccezione a questa dichiarazione perché se le azioni vengono eseguite su risorse create da AWS Data Exchange, la policy le nega.
+ L'istruzione `DenyAllS3ResoucesOutsideAccountExceptDataExchange` utilizza una combinazione delle condizioni `ResourceAccount` e `CalledVia` per negare l'accesso alle tre operazioni di Amazon S3 escluse nell'istruzione precedente. L'istruzione nega le operazioni se le risorse non appartengono all'account elencato e se il servizio chiamante non è AWS Data Exchange. L'istruzione non nega le operazioni se la risorsa appartiene all'account elencato o l'operazione viene eseguita dal principale del servizio elencato, `dataexchange.amazonaws.com`.

**Importante**  
Questa policy non consente alcuna operazione. Utilizza l'effetto `Deny`, che neghi esplicitamente l'accesso a tutte le risorse elencate nell'istruzione che non appartengono all'account elencato. Utilizza questa policy in combinazione con altre policy che consentono l'accesso a risorse specifiche.

L'esempio seguente mostra come configurare la policy per consentire l'accesso ai bucket Amazon S3 richiesti.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAllAwsReourcesOutsideAccountExceptAmazonS3",
      "Effect": "Deny",
      "NotAction": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    },
    {
      "Sid": "DenyAllS3ResourcesOutsideAccountExceptDataExchange",
      "Effect": "Deny",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        },
        "ForAllValues:StringNotEquals": {
          "aws:CalledVia": [
            "dataexchange.amazonaws.com"
          ]
        }
      }
    }
  ]
}
```

------

# AWS Data Pipeline: nega l'accesso alle DataPipeline pipeline che un utente non ha creato
<a name="reference_policies_examples_datapipeline_not-owned"></a>

Questo esempio mostra come creare una policy basata sull'identità che neghi l'accesso alle pipeline che non sono state create da un utente. Se il valore del campo `PipelineCreator` corrisponde al nome dell'utente IAM, le operazioni specificate non saranno rifiutate. Questa policy concede le autorizzazioni necessarie per completare questa azione in modo programmatico dall'API o. AWS AWS CLI

**Importante**  
Questa policy non consente alcuna operazione. Utilizza questa policy in combinazione con altre policy che consentono operazioni specifiche. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ExplicitDenyIfNotTheOwner",
            "Effect": "Deny",
            "Action": [
                "datapipeline:ActivatePipeline",
                "datapipeline:AddTags",
                "datapipeline:DeactivatePipeline",
                "datapipeline:DeletePipeline",
                "datapipeline:DescribeObjects",
                "datapipeline:EvaluateExpression",
                "datapipeline:GetPipelineDefinition",
                "datapipeline:PollForTask",
                "datapipeline:PutPipelineDefinition",
                "datapipeline:QueryObjects",
                "datapipeline:RemoveTags",
                "datapipeline:ReportTaskProgress",
                "datapipeline:ReportTaskRunnerHeartbeat",
                "datapipeline:SetStatus",
                "datapipeline:SetTaskStatus",
                "datapipeline:ValidatePipelineDefinition"
            ],
            "Resource": ["*"],
            "Condition": {
                "StringNotEquals": {"datapipeline:PipelineCreator": "${aws:userid}"}
            }
        }
    ]
}
```

------

# Amazon DynamoDB: consente l'accesso a una tabella specifica
<a name="reference_policies_examples_dynamodb_specific-table"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta l'accesso completo alla tabella `MyTable` di DynamoDB. Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

**Importante**  
Questa policy consente tutte le operazioni che possono essere eseguite su una tabella DynamoDB. Per esaminare queste operazioni, consulta [Autorizzazioni API di DynamoDB: riferimento a operazioni, risorse e condizioni](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/api-permissions-reference.html) nella *Guida per gli sviluppatori di Amazon DynamoDB*. Puoi fornire le stesse autorizzazioni elencando ogni singola azione. Tuttavia, se utilizzi il carattere jolly (`*`) nell'elemento `Action`, ad esempio `"dynamodb:List*"`, non sarà necessario aggiornare la policy se DynamoDB aggiunge una nuova operazione Elenco. 

Questa policy consente le operazioni solo sulle tabelle DynamoDB con il nome specificato. Per consentire ai tuoi utenti di `Read` accedere a tutto in DynamoDB, puoi anche allegare [AmazonDynamoDBReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBReadOnlyAccess) AWS la policy gestita.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListAndDescribe",
            "Effect": "Allow",
            "Action": [
                "dynamodb:List*",
                "dynamodb:DescribeReservedCapacity*",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTimeToLive"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SpecificTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:BatchGet*",
                "dynamodb:DescribeStream",
                "dynamodb:DescribeTable",
                "dynamodb:Get*",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWrite*",
                "dynamodb:CreateTable",
                "dynamodb:Delete*",
                "dynamodb:Update*",
                "dynamodb:PutItem"
            ],
            "Resource": "arn:aws:dynamodb:*:*:table/MyTable"
        }
    ]
}
```

------

# Amazon DynamoDB: consente l'accesso ad attributi specifici
<a name="reference_policies_examples_dynamodb_attributes"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta l'accesso ad attributi DynamoDB specifici. Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

Il requisito `dynamodb:Select` impedisce all'operazione API di restituire qualsiasi attributo per cui non si abbia il permesso, come ad esempio da una proiezione di indice. Per ulteriori informazioni sulle chiavi di condizione DynamoDB, consulta [Specifica delle condizioni: uso delle chiavi di condizione](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/specifying-conditions.html#FGAC_DDB.ConditionKeys) nella *Guida per gli sviluppatori di Amazon DynamoDB*. Per ulteriori informazioni sulle condizioni multiple o sulle chiavi di condizioni multiple all'interno di un blocco di policy IAM `Condition`, consultare la pagina [Valori multipli in una condizione](reference_policies_elements_condition.md#Condition-multiple-conditions)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:GetItem",
                "dynamodb:BatchGetItem",
                "dynamodb:Query",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem",
                "dynamodb:DeleteItem",
                "dynamodb:BatchWriteItem"
            ],
            "Resource": ["arn:aws:dynamodb:*:*:table/table-name"],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:Attributes": [
                        "column-name-1",
                        "column-name-2",
                        "column-name-3"
                    ]
                },
                "StringEqualsIfExists": {"dynamodb:Select": "SPECIFIC_ATTRIBUTES"}
            }
        }
    ]
}
```

------

# Amazon DynamoDB: consente l'accesso a livello di elemento a DynamoDB in base a un ID Amazon Cognito
<a name="reference_policies_examples_dynamodb_items"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta l'accesso a livello di elemento alla tabella DynamoDB `MyTable` in base all'ID utente di un pool di identità Amazon Cognito. Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

Per utilizzare questa policy, devi strutturare la tabella DynamoDB in modo che l'ID utente del pool di identità Amazon Cognito costituisca la chiave di partizione. Per ulteriori informazioni, consulta [Creazione di una tabella](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.CreateTable) nella *Guida per gli sviluppatori di Amazon DynamoDB*.

Per ulteriori informazioni sulle chiavi di condizione DynamoDB, consulta [Specifica delle condizioni: uso delle chiavi di condizione](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/specifying-conditions.html#FGAC_DDB.ConditionKeys) nella *Guida per gli sviluppatori di Amazon DynamoDB*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:PutItem",
                "dynamodb:Query",
                "dynamodb:UpdateItem"
            ],
            "Resource": ["arn:aws:dynamodb:*:*:table/MyTable"],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:LeadingKeys": ["${cognito-identity.amazonaws.com:sub}"]
                }
            }
        }
    ]
}
```

------

# Amazon EC2: Collegare o distaccare volumi Amazon EBS alle istanze EC2 in base ai tag
<a name="reference_policies_examples_ec2_ebs-owner"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta ai proprietari di volumi EBS di collegare o scollegare i propri volumi EBS, definiti utilizzando il tag `VolumeUser`, alle istanze EC2 contrassegnate con tag come istanze di sviluppo (`Department=Development`). Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

Per ulteriori informazioni su come creare policy IAM per controllare l'accesso a risorse Amazon EC2, consulta [Controllo dell'accesso alle risorse Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/UsingIAM.html) nella *Guida per l'utente di Amazon EC2*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Department": "Development"}
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Resource": "arn:aws:ec2:*:*:volume/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/VolumeUser": "${aws:username}"}
            }
        }
    ]
}
```

------

# Amazon EC2: consente l'avvio di istanze EC2 in una sottorete specifica, in modo programmatico e nella console
<a name="reference_policies_examples_ec2_instances-subnet"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta di elencare informazioni per tutti gli oggetti EC2 e di avviare istanze EC2 in una specifica sottorete. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. Per utilizzare questa politica, sostituisci quella dell'*italicized placeholder text*esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*",
                "ec2:GetConsole*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:RunInstances",
            "Resource": [
                "arn:aws:ec2:*:*:subnet/subnet-subnet-id",
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:volume/*",
                "arn:aws:ec2:*::image/ami-*",
                "arn:aws:ec2:*:*:key-pair/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        }
    ]
}
```

------

# Amazon EC2: consente la gestione dei gruppi di sicurezza EC2 con una specifica coppia chiave-valore tag, in modo programmatico e nella console
<a name="reference_policies_examples_ec2_securitygroups-vpc"></a>

In questo esempio viene illustrato come creare una policy basata sull'identità che conceda agli utenti l'autorizzazione a intraprendere determinate operazioni per i gruppi di sicurezza con lo stesso tag. Questa policy concede le autorizzazioni per visualizzare i gruppi di sicurezza nella console Amazon EC2, per aggiungere e rimuovere le regole in entrata e in uscita e per elencare e modificare le descrizioni delle regole per i gruppi di sicurezza esistenti con il tag `Department=Test`. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
      "Effect": "Allow",
      "Action": [
         "ec2:DescribeSecurityGroups",
         "ec2:DescribeSecurityGroupRules",
         "ec2:DescribeTags"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "ec2:AuthorizeSecurityGroupIngress", 
         "ec2:RevokeSecurityGroupIngress", 
         "ec2:AuthorizeSecurityGroupEgress", 
         "ec2:RevokeSecurityGroupEgress", 
         "ec2:ModifySecurityGroupRules",
         "ec2:UpdateSecurityGroupRuleDescriptionsIngress", 
         "ec2:UpdateSecurityGroupRuleDescriptionsEgress"
      ],
      "Resource": [
         "arn:aws:ec2:us-east-1:111122223333:security-group/*"
      ],
      "Condition": {
         "StringEquals": {
            "aws:ResourceTag/Department": "Test"
         }
      }
     },     
     {
      "Effect": "Allow",
      "Action": [
         "ec2:ModifySecurityGroupRules"
      ],
      "Resource": [
         "arn:aws:ec2:us-east-1:111122223333:security-group-rule/*"
      ]
     }
   ]
}
```

------

# Amazon EC2: consente l'avvio o l'arresto di istanze EC2 che un utente ha contrassegnato, a livello programmatico e nella console
<a name="reference_policies_examples_ec2_tag-owner"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta a un utente IAM di avviare o arrestare le istanze EC2, ma solo se il `Owner` del tag dell'istanza ha il valore del nome utente di quell'utente. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Owner": "${aws:username}"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
```

------

# EC2: avvia o interrompe le istanze in base ai tag
<a name="reference_policies_examples_ec2-start-stop-tags"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta di avviare o arrestare le istanze con la coppia chiave-valore di tag `Project = DataAnalytics`, ma solo ai principali con la coppia chiave-valore di tag `Department = Data`. Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md). 

La condizione nella policy restituisce true se entrambe le parti della condizione sono vere. L'istanza deve avere il tag `Project=DataAnalytics`. Inoltre, il principale IAM (utente o ruolo) da cui proviene la richiesta deve avere il tag `Department=Data`. 

**Nota**  
Come best practice, collega policy con la chiave di condizione `aws:PrincipalTag` a gruppi IAM, nel caso in cui non tutti gli utenti dispongano del tag specificato. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "StartStopIfTags",
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Project": "DataAnalytics",
                    "aws:PrincipalTag/Department": "Data"
                }
            }
        }
    ]
}
```

------

# EC2: avvio o arresto di istanze in base alla corrispondenza dei tag della risorsa e del principale
<a name="reference_policies_examples_ec2-start-stop-match-tags"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta a un principale di avviare o interrompere un'istanza Amazon EC2 quando il tag della risorsa dell'istanza e il tag del principale hanno lo stesso valore per la chiave di tag `CostCenter`. Questa politica concede le autorizzazioni necessarie per completare questa azione in modo programmatico dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md). 

**Nota**  
Come best practice, collega policy con la chiave di condizione `aws:PrincipalTag` a gruppi IAM, nel caso in cui non tutti gli utenti dispongano del tag specificato. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "ec2:startInstances",
            "ec2:stopInstances"
        ],
        "Resource": "*",
        "Condition": {"StringEquals": 
            {"aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"}}
    }
}
```

------

# Amazon EC2: consente l'accesso completo a EC2 entro una regione specifica, a livello di programmazione e nella console
<a name="reference_policies_examples_ec2_region"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta l'accesso completo a EC2 in una regione specifica. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md). Per un elenco dei codici di regione, consulta [Regioni disponibili](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-available-regions) nella *Guida per l'utente di Amazon EC2*.

In alternativa, puoi utilizzare la chiave di condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion), supportata da tutte le operazioni API di Amazon EC2. Per ulteriori informazioni, consulta [Esempio: limitazione dell'accesso a una regione specifica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region) nella *Guida per l'utente di Amazon EC2*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "ec2:*",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ec2:Region": "us-east-2"
                }
            }
        }
    ]
}
```

------

# Amazon EC2: consente l'avvio o l'arresto di un'istanza EC2 e la modifica di un gruppo di sicurezza, in modo programmatico e nella console
<a name="reference_policies_examples_ec2_instance-securitygroup"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta l'avvio o l'arresto di un'istanza EC2 specifica e la modifica di un determinato gruppo di sicurezza. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSecurityGroupReferences",
        "ec2:DescribeStaleSecurityGroups"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:StartInstances",
        "ec2:StopInstances"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:instance/i-instance-id",
        "arn:aws:ec2:*:*:security-group/sg-security-group-id"
      ],
      "Effect": "Allow"
    }
  ]
}
```

------

# Amazon EC2: richiede MFA (GetSessionToken) per operazioni EC2 specifiche
<a name="reference_policies_examples_ec2_require-mfa"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta l'accesso completo a tutte le operazioni AWS API in Amazon EC2. Tuttavia, rifiuta esplicitamente l'accesso alle operazioni API `StopInstances` e `TerminateInstances` se l'utente non viene autenticato utilizzando l'[autenticazione a più fattori (MFA, Multi-Factor Authentication)](id_credentials_mfa.md). Per eseguire questa operazione a livello di programmazione, l'utente deve includere valori `SerialNumber` e `TokenCode` opzionali durante la chiamata all'operazione `GetSessionToken`. Questa operazione restituisce credenziali temporanee autenticate utilizzando MFA. Per saperne di più, consulta. GetSessionToken [Richiesta di credenziali per gli utenti in ambienti non attendibili](id_credentials_temp_request.md#api_getsessiontoken)

Che cosa fa questa policy?
+ L'istruzione `AllowAllActionsForEC2` consente tutte le operazioni Amazon EC2.
+ La dichiarazione `DenyStopAndTerminateWhenMFAIsNotPresent` rifiuta le operazioni `TerminateInstances` e `StopInstances` quando manca il contesto MFA. Ciò significa che le operazioni vengono rifiutate quando manca il contesto dell'autenticazione a più fattori (ovvero, MFA non è stato utilizzato). Un rifiuto sostituisce il consenso.

**Nota**  
Il controllo della condizione per `MultiFactorAuthPresent` nella dichiarazione `Deny` non deve essere `{"Bool":{"aws:MultiFactorAuthPresent":false}}`, perché tale chiave non è presente e non può essere valutata quando MFA non viene utilizzato. Utilizzare invece il controllo `BoolIfExists` per vedere se la chiave è presente prima di controllare il valore. Per ulteriori informazioni, consulta [... IfExists operatori di condizionamento](reference_policies_elements_condition_operators.md#Conditions_IfExists).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAllActionsForEC2",
            "Effect": "Allow",
            "Action": "ec2:*",
            "Resource": "*"
        },
        {
            "Sid": "DenyStopAndTerminateWhenMFAIsNotPresent",
            "Effect": "Deny",
            "Action": [
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {"aws:MultiFactorAuthPresent": false}
            }
        }
    ]
}
```

------

# Amazon EC2: limita la chiusura delle istanze EC2 a un intervallo di indirizzi IP
<a name="reference_policies_examples_ec2_terminate-ip"></a>

Questo esempio mostra come creare una policy basata sull'identità che limiti le istanze EC2, consentendo l'operazione, ma negando esplicitamente l'accesso quando la richiesta proviene da un indirizzo IP esterno all'intervallo specificato. La policy è utile quando gli indirizzi IP per la tua azienda sono all'interno di determinati intervalli. Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

Se questa politica viene utilizzata in combinazione con altre politiche che consentono l'`ec2:TerminateInstances`azione (come la politica EC2 FullAccess AWS gestita da [Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess)), l'accesso viene negato. Questo perché una dichiarazione di rifiuto esplicita prevale su una dichiarazione di consenso. Per ulteriori informazioni, consulta [In che modo la logica del codice di AWS applicazione valuta le richieste di consentire o negare l'accesso](reference_policies_evaluation-logic_policy-eval-denyallow.md).

**Importante**  
La chiave `aws:SourceIp` condizionale nega l'accesso a un utente Servizio AWS, ad esempio AWS CloudFormation, che effettua chiamate per conto dell'utente. Per ulteriori informazioni su come utilizzare la chiave di condizione `aws:SourceIp`, consultare [AWS chiavi di contesto della condizione globale](reference_policies_condition-keys.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["ec2:TerminateInstances"],
            "Resource": ["*"]
        },
        {
            "Effect": "Deny",
            "Action": ["ec2:TerminateInstances"],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            },
            "Resource": ["*"]
        }
    ]
}
```

------

# IAM: accesso all'API del simulatore di policy
<a name="reference_policies_examples_iam_policy-sim"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta l'utilizzo dell'API del simulatore di policy per le policy collegate a un utente, un gruppo o un ruolo nell' Account AWS corrente. Questa policy consente inoltre l'accesso per simulare le policy meno sensibili passate all'API come stringhe. Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetContextKeysForCustomPolicy",
                "iam:GetContextKeysForPrincipalPolicy",
                "iam:SimulateCustomPolicy",
                "iam:SimulatePrincipalPolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

**Nota**  
Per consentire a un utente di accedere alla console del simulatore di policy per simulare le policy associate a un utente, gruppo o ruolo nel sistema corrente, consulta. Account AWS[IAM: accesso alla console del simulatore di policy](reference_policies_examples_iam_policy-sim-console.md)

# IAM: accesso alla console del simulatore di policy
<a name="reference_policies_examples_iam_policy-sim-console"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta l'utilizzo della console del simulatore di policy per le policy collegate a un utente, un gruppo o un ruolo nell' Account AWS corrente. Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI

[Puoi accedere alla console IAM Policy Simulator all'indirizzo:/https://policysim.aws.amazon.com](https://policysim.aws.amazon.com/)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetGroup",
                "iam:GetGroupPolicy",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:GetUser",
                "iam:GetUserPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListAttachedRolePolicies",
                "iam:ListAttachedUserPolicies",
                "iam:ListGroups",
                "iam:ListGroupPolicies",
                "iam:ListGroupsForUser",
                "iam:ListRolePolicies",
                "iam:ListRoles",
                "iam:ListUserPolicies",
                "iam:ListUsers"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

# IAM: assumere ruoli che dispongono di un tag specifico
<a name="reference_policies_examples_iam-assume-tagged-role"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta a un utente IAM di assumere ruoli con la coppia chiave-valore di tag `Project = ExampleCorpABC`. Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md). 

Se un ruolo con questo tag esiste nello stesso account dell'utente, l'utente può assumere tale ruolo. Se un ruolo con questo tag esiste in un account diverso da quello dell'utente, sono richieste autorizzazioni aggiuntive. La policy di attendibilità del ruolo tra account deve anche consentire all'utente o a tutti i membri dell'account dell'utente di assumere il ruolo. Per ulteriori informazioni sull'utilizzo di ruoli per l'accesso tra account, consulta [Accesso per un utente IAM in un altro Account AWS di tua proprietà](id_roles_common-scenarios_aws-accounts.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AssumeTaggedRole",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:ResourceTag/Project": "ExampleCorpABC"}
            }
        }
    ]
}
```

------

# IAM: consente e rifiuta l'accesso a più servizi a livello di programmazione e nella console
<a name="reference_policies_examples_iam_multiple-services-console"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta l'accesso completo a diversi servizi e l'accesso autonomo limitato in IAM. Rifiuta inoltre l'accesso al bucket `logs` di Amazon S3 o all'istanza `i-1234567890abcdef0` Amazon EC2. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

**avvertimento**  
Questa policy consente l'accesso completo a tutte le operazioni e risorse in più servizi. Questa policy deve essere applicata solo ad amministratori fidati.

Puoi usare questa policy come un limite delle autorizzazioni per definire il numero massimo di autorizzazioni che una policy basata su identità può concedere a un utente IAM. Per ulteriori informazioni, consulta [Delega di responsabilità ad altri mediante i limiti delle autorizzazioni](access_policies_boundaries.md#access_policies_boundaries-delegate). Quando la policy viene usata come un limite delle autorizzazioni per un utente, le dichiarazioni definiscono i seguenti limiti:
+ L'istruzione `AllowServices` consente l'accesso completo ai servizi AWS specificati. Ciò significa che le operazioni dell'utente in questi servizi sono limitate solo dalle policy di autorizzazioni collegate all'utente.
+ La dichiarazione `AllowIAMConsoleForCredentials` consente l'accesso per elencare tutti gli utenti IAM. Questo accesso è necessario per navigare nella pagina **Users (Utenti)** nella Console di gestione AWS. Inoltre, consente di visualizzare i requisiti associati alle password per l'account, operazione necessaria per permettere all'utente di modificare la sua password.
+ L'istruzione `AllowManageOwnPasswordAndAccessKeys` consente agli utenti di gestire solo le proprie chiavi di accesso programmatiche e password della console. Questo è importante perché se un'altra policy offre a un utente l'accesso IAM completo, tale utente può modificare le sue autorizzazioni o quelle di altri utenti. Questa istruzione impedisce che ciò si verifichi.
+ L'istruzione `DenyS3Logs` nega esplicitamente l'accesso al bucket `logs`. Questa policy applica limitazioni aziendali all'utente.
+ L'istruzione `DenyEC2Production` nega esplicitamente l'accesso all'istanza `i-1234567890abcdef0`.

Questa policy non consente l'accesso ad altri servizi o operazioni. Quando la politica viene utilizzata come limite di autorizzazioni per un utente, anche se altre politiche allegate all'utente consentono tali azioni, AWS rifiuta la richiesta.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowServices",
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "cloudwatch:*",
                "ec2:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIAMConsoleForCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswordAndAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:ChangePassword",
                "iam:GetUser",
                "iam:*LoginProfile*"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "DenyS3Logs",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::logs",
                "arn:aws:s3:::logs/*"
            ]
        },
        {
            "Sid": "DenyEC2Production",
            "Effect": "Deny",
            "Action": "ec2:*",
            "Resource": "arn:aws:ec2:*:*:instance/i-1234567890abcdef0"
        }
    ]
}
```

------

# IAM: aggiunta di un tag specifico a un utente con un determinato tag
<a name="reference_policies_examples_iam-add-tag"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta di aggiungere la chiave di tag `Department` con i valori di tag `Marketing`, `Development` o `QualityAssurance` a un utente IAM. Tale utente deve già includere la coppia chiave-valore di tag `JobFunction = manager`. È possibile usare questa policy per richiedere che un responsabile appartenga solo a uno dei tre reparti. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md). 

L'istruzione `ListTagsForAllUsers` consente di visualizzare i tag per tutti gli utenti nell'account. 

La prima condizione nell'istruzione `TagManagerWithSpecificDepartment` utilizza l'operatore di condizione `StringEquals`. La condizione restituisce true se entrambe le parti della condizione sono vere. L'utente che necessita di tag deve già disporre del tag `JobFunction=Manager`. La richiesta deve includere la chiave di tag `Department` con uno dei valori di tag elencati. 

La seconda condizione utilizza l'operatore di condizione `ForAllValues:StringEquals`. La condizione restituisce true se tutte le chiavi di tag nella richiesta corrispondono alla chiave nella policy. Ciò significa che l'unica chiave di tag nella richiesta deve essere `Department`. Per ulteriori informazioni sull’utilizzo di `ForAllValues`, consultare [Operatori dell’insieme per le chiavi di contesto multivalore](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListTagsForAllUsers",
            "Effect": "Allow",
            "Action": [
                "iam:ListUserTags",
                "iam:ListUsers"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TagManagerWithSpecificDepartment",
            "Effect": "Allow",
            "Action": "iam:TagUser",
            "Resource": "*",
            "Condition": {"StringEquals": {
                "iam:ResourceTag/JobFunction": "Manager",
                "aws:RequestTag/Department": [
                    "Marketing",
                    "Development",
                    "QualityAssurance"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "Department"}
            }
        }
    ]
}
```

------

# IAM: aggiunta di un determinato tag con valori specifici
<a name="reference_policies_examples_iam-add-tag-user-role"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta di aggiungere solo la chiave di tag `CostCenter` e il valore di tag `A-123` o il valore di tag `B-456` a qualsiasi ruolo o utente IAM. Puoi utilizzare questa policy per limitare il tagging a una chiave di tag e a un set di valori di tag specifici. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md). 

L'istruzione `ConsoleDisplay` consente di visualizzare i tag per tutti gli utenti e i ruoli nell'account. 

La prima condizione nell'istruzione `AddTag` utilizza l'operatore di condizione `StringEquals`. La condizione restituisce true se la richiesta include la chiave di tag `CostCenter` con uno dei valori di tag elencati. 

La seconda condizione utilizza l'operatore di condizione `ForAllValues:StringEquals`. La condizione restituisce true se tutte le chiavi di tag nella richiesta corrispondono alla chiave nella policy. Ciò significa che l'unica chiave di tag nella richiesta deve essere `CostCenter`. Per ulteriori informazioni sull’utilizzo di `ForAllValues`, consultare [Operatori dell’insieme per le chiavi di contesto multivalore](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConsoleDisplay",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:GetUser",
                "iam:ListRoles",
                "iam:ListRoleTags",
                "iam:ListUsers",
                "iam:ListUserTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AddTag",
            "Effect": "Allow",
            "Action": [
                "iam:TagUser",
                "iam:TagRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/CostCenter": [
                        "A-123",
                        "B-456"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "CostCenter"}
            }
        }
    ]
}
```

------

# IAM: creazione di nuovi utenti solo con tag specifici
<a name="reference_policies_examples_iam-new-user-tag"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta la creazione di utenti IAM, ma solo con una o entrambe le chiavi di tag `Department` e `JobFunction`. La chiave di tag `Department` deve avere il valore di tag `Development` o `QualityAssurance`. La chiave di tag `JobFunction` deve avere il valore di tag `Employee`. È possibile usare questa policy per richiedere che i nuovi utenti dispongano di una mansione e un reparto specifici. Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md). 

La prima condizione nell'istruzione utilizza l'operatore di condizione `StringEqualsIfExists`. Se un tag con la chiave `Department` o `JobFunction` è presente nella richiesta, il tag deve avere il valore specificato. Se non è presente alcuna chiave, questa condizione viene valutata come true. La condizione viene valutata come false solo se una delle chiavi di condizione specificate è presente nella richiesta, ma ha un valore diverso da quelli consentiti. Per ulteriori informazioni sull’utilizzo di `IfExists`, consultare [... IfExists operatori di condizionamento](reference_policies_elements_condition_operators.md#Conditions_IfExists).

La seconda condizione utilizza l'operatore di condizione `ForAllValues:StringEquals`. La condizione restituisce true se si verifica una corrispondenza tra ognuna delle chiavi di tag specificate nella richiesta e almeno un valore nella policy. Ciò significa che tutti i tag nella richiesta devono essere in questo elenco. Tuttavia, la richiesta può includere solo uno dei tag nell'elenco. Ad esempio, puoi creare un utente IAM con il solo tag `Department=QualityAssurance`. Tuttavia, non puoi creare un utente IAM con il tag `JobFunction=employee` e il tag `Project=core`. Per ulteriori informazioni sull’utilizzo di `ForAllValues`, consultare [Operatori dell’insieme per le chiavi di contesto multivalore](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "TagUsersWithOnlyTheseTags",
            "Effect": "Allow",
            "Action": [
                "iam:CreateUser",
                "iam:TagUser"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIfExists": {
                    "aws:RequestTag/Department": [
                        "Development",
                        "QualityAssurance"
                    ],
                    "aws:RequestTag/JobFunction": "Employee"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "Department",
                        "JobFunction"
                    ]
                }
            }
        }
    ]
}
```

------

# IAM: generazione e recupero di report di credenziali IAM
<a name="reference_policies_examples_iam-credential-report"></a>

Questo esempio mostra come è possibile creare una policy basata sull'identità che consenta agli utenti di generare e scaricare un report che elenca tutti gli utenti IAM del loro gruppo. Account AWS Il report include lo stato delle credenziali dell'utente, incluse le password, le chiavi di accesso, i dispositivi MFA e i certificati di firma. Questa policy concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI

Per ulteriori informazioni sui report delle credenziali, consultare la pagina [Genera report sulle credenziali per il tuo Account AWS](id_credentials_getting-report.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateCredentialReport",
            "iam:GetCredentialReport"
        ],
        "Resource": "*"
    }
}
```

------

# IAM: consente di gestire l'appartenenza di un gruppo a livello di programmazione e nella console
<a name="reference_policies_examples_iam_manage-group-membership"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta di aggiornare l'appartenenza al gruppo denominato `MarketingTeam`. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

Che cosa fa questa policy?
+ La `ViewGroups` dichiarazione consente all'utente di elencare tutti gli utenti e i gruppi nella Console di gestione AWS. Inoltre, consente all'utente di visualizzare informazioni di base sugli utenti nell'account. Queste autorizzazioni devono essere nella propria istruzione perché non supportano o non devono specificare l'ARN di una risorsa. Le autorizzazioni specificano invece `"Resource" : "*"`.
+ La dichiarazione `ViewEditThisGroup` consente all'utente di visualizzare le informazioni sul gruppo `MarketingTeam` e aggiungere o rimuovere utenti da tale gruppo.

Questa policy non consente all'utente di visualizzare o modificare le autorizzazioni degli utenti o del gruppo `MarketingTeam`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewGroups",
            "Effect": "Allow",
            "Action": [
                "iam:ListGroups",
                "iam:ListUsers",
                "iam:GetUser",
                "iam:ListGroupsForUser"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewEditThisGroup",
            "Effect": "Allow",
            "Action": [
                "iam:AddUserToGroup",
                "iam:RemoveUserFromGroup",
                "iam:GetGroup"
            ],
            "Resource": "arn:aws:iam::*:group/MarketingTeam"
        }
    ]
}
```

------

# IAM: gestione di un tag specifico
<a name="reference_policies_examples_iam-manage-tags"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta di aggiungere e rimuovere il tag IAM con la chiave di tag `Department` dalle entità IAM (utenti e ruoli). Questa policy non limita il valore del tag `Department`. Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md). 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:TagUser",
            "iam:TagRole",
            "iam:UntagUser",
            "iam:UntagRole"

        ],
        "Resource": "*",
        "Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": "Department"}}
    }
}
```

------

# IAM: passa un ruolo IAM a un AWS servizio specifico
<a name="reference_policies_examples_iam-passrole-service"></a>

Questo esempio mostra come è possibile creare una policy basata sull'identità che consenta di passare qualsiasi ruolo del servizio IAM al servizio Amazon. CloudWatch Questa politica concede le autorizzazioni necessarie per completare questa azione in modo programmatico dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md). 

Un ruolo di servizio è un ruolo IAM che specifica un AWS servizio come principale che può assumere il ruolo. Questo consente al servizio di assumere il ruolo e accedere a risorse in altri servizi a tuo nome. Per consentire CloudWatch ad Amazon di assumere il ruolo che conferisci, devi specificare il responsabile del `cloudwatch.amazonaws.com` servizio come responsabile nella politica di fiducia del tuo ruolo. Il principale del servizio è definito dal servizio. Per ulteriori informazioni sul principale del servizio per un servizio, consultare la documentazione per quel servizio. Per alcuni servizi, consulta [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md) e cerca i servizi che hanno **Sì** nella colonna **Ruolo collegato ai servizi**. Scegliere **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio. Cerca `amazonaws.com` per visualizzare il principale del servizio.

Per ulteriori informazioni sul passaggio di un ruolo del servizio al servizio, consulta [Concedere a un utente le autorizzazioni per passare un ruolo a un servizio AWS](id_roles_use_passrole.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:PassedToService": "cloudwatch.amazonaws.com"}
            }
        }
    ]
}
```

------

# IAM: consente l'accesso in sola lettura alla console IAM senza la creazione di report
<a name="reference_policies_examples_iam_read-only-console-no-reporting"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta agli utenti IAM di eseguire qualsiasi operazione IAM che inizia con la stringa `Get` o`List`. Quando gli utenti utilizzano la console, la console effettua richieste a IAM per elencare gruppi, utenti, ruoli e policy e generare report su tali risorse.

L'asterisco funge da carattere jolly. Quando utilizzi `iam:Get*` in una policy, le autorizzazioni risultanti includono tutte le operazioni IAM che iniziano con `Get`, ad esempio `GetUser` e `GetRole`. I caratteri jolly sono utili quando nuovi tipi di entità vengono aggiunti a IAM in futuro. In tal caso, le autorizzazioni concesse dalla policy consentono automaticamente all'utente di elencare e ottenere i dettagli su queste nuove entità. 

Questa policy non può essere utilizzata per generare report o dettagli dell'ultimo accesso al servizio. Per una policy diversa che lo consenta, consulta [IAM: consente l'accesso in sola lettura alla console IAM](reference_policies_examples_iam_read-only-console.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }
}
```

------

# IAM: consente l'accesso in sola lettura alla console IAM
<a name="reference_policies_examples_iam_read-only-console"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta agli utenti IAM di eseguire qualsiasi operazione IAM che inizia con la stringa `Get`, `List` o `Generate`. Quando gli utenti utilizzano la console IAM, la console effettua richieste per elencare gruppi, utenti, ruoli e policy e generare report su tali risorse.

L'asterisco funge da carattere jolly. Quando utilizzi `iam:Get*` in una policy, le autorizzazioni risultanti includono tutte le operazioni IAM che iniziano con `Get`, ad esempio `GetUser` e `GetRole`. L'uso di un carattere jolly è utile, in particolare se in futuro vengono aggiunti nuovi tipi di entità a IAM. In tal caso, le autorizzazioni concesse dalla policy consentono automaticamente all'utente di elencare e ottenere i dettagli su queste nuove entità. 

Utilizza questa policy per l'accesso alla console che include le autorizzazioni per generare report o i dettagli dell'ultimo accesso al servizio. Per una policy diversa che non consenta la generazione di operazioni, consulta [IAM: consente l'accesso in sola lettura alla console IAM senza la creazione di report](reference_policies_examples_iam_read-only-console-no-reporting.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:Get*",
            "iam:List*",
            "iam:Generate*"
        ],
        "Resource": "*"
    }
}
```

------

# IAM: consente a utenti IAM specifici di gestire un gruppo a livello di programmazione e nella console
<a name="reference_policies_examples_iam_users-manage-group"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta a specifici utenti IAM di gestire il gruppo `AllUsers`. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

Che cosa fa questa policy?
+ L'istruzione `AllowAllUsersToListAllGroups` consente di elencare tutti i gruppi. Questa operazione è necessaria per l'accesso alla console. Questa autorizzazione deve trovarsi nella propria dichiarazione perché non supporta un ARN della risorsa. Le autorizzazioni specificano invece `"Resource" : "*"`.
+ L'istruzione `AllowAllUsersToViewAndManageThisGroup` consente tutte le operazioni del gruppo che possono essere eseguite sul tipo di risorsa del gruppo. Non consente l'operazione `ListGroupsForUser`, che può essere eseguita su un tipo di risorsa dell'utente e non un tipo di risorsa del gruppo. Per ulteriori informazioni sui tipi di risorsa che è possibile specificare per un'operazione IAM, consulta [Operazioni, risorse e chiavi di condizione per AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions).
+ L'istruzione `LimitGroupManagementAccessToSpecificUsers` nega agli utenti con i nomi specificati l'accesso in scrittura e le operazioni del gruppo di gestione delle autorizzazioni. Quando un utente specificato nella policy tenta di apportare modifiche al gruppo, questa istruzione non rifiuta la richiesta. Questa richiesta è consentita dall'istruzione `AllowAllUsersToViewAndManageThisGroup`. Se altri utenti tentano di eseguire queste operazioni, la richiesta viene rifiutata. Puoi visualizzare le operazioni IAM che vengono definite con i livelli di accesso **Scrittura** o **Gestione delle autorizzazioni** durante la creazione di questa policy nella console IAM. A tale scopo, passare dalla scheda **JSON** alla scheda **Visual editor**. Per ulteriori informazioni sui livelli di accesso. consulta [Operazioni, risorse e chiavi di condizione per AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAllUsersToListAllGroups",
            "Effect": "Allow",
            "Action": "iam:ListGroups",
            "Resource": "*"
        },
        {
            "Sid": "AllowAllUsersToViewAndManageThisGroup",
            "Effect": "Allow",
            "Action": "iam:*Group*",
            "Resource": "arn:aws:iam::*:group/AllUsers"
        },
        {
            "Sid": "LimitGroupManagementAccessToSpecificUsers",
            "Effect": "Deny",
            "Action": [
                "iam:AddUserToGroup",
                "iam:CreateGroup",
                "iam:RemoveUserFromGroup",
                "iam:DeleteGroup",
                "iam:AttachGroupPolicy",
                "iam:UpdateGroup",
                "iam:DetachGroupPolicy",
                "iam:DeleteGroupPolicy",
                "iam:PutGroupPolicy"
            ],
            "Resource": "arn:aws:iam::*:group/AllUsers",
            "Condition": {
                "StringNotEquals": {
                    "aws:username": [
                        "srodriguez",
                        "mjackson",
                        "adesai"
                    ]
                }
            }
        }
    ]
}
```

------

# IAM: consente l'impostazione dei requisiti della password dell'account a livello di programmazione e nella console
<a name="reference_policies_examples_iam_set-account-pass-policy"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta a un utente di visualizzare e aggiornare i requisiti della password dell'account. I requisiti della password specificano i requisiti di complessità e i periodi di rotazione obbligatori per le password dei membri dell'account. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console.

Per Scopri come impostare la policy dei requisiti della password dell'account per l'account, consulta [Configurare una policy delle password di un account per gli utenti IAM](id_credentials_passwords_account-policy.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GetAccountPasswordPolicy",
            "iam:UpdateAccountPasswordPolicy"
        ],
        "Resource": "*"
    }
}
```

------

# IAM: accesso all'API simulatore di policy basata sul percorso degli utenti
<a name="reference_policies_examples_iam_policy-sim-path"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta l'utilizzo dell'API del simulatore di policy solo da parte degli utenti con il percorso `Department/Development`. Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetContextKeysForPrincipalPolicy",
                "iam:SimulatePrincipalPolicy"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:user/Department/Development/*"
        }
    ]
}
```

------

**Nota**  
Per creare una policy che consente di utilizzare la console del simulatore di policy per gli utenti con percorso `Department/Development`, consultare [IAM: accesso alla console del simulatore di policy in base al percorso utente](reference_policies_examples_iam_policy-sim-path-console.md).

# IAM: accesso alla console del simulatore di policy in base al percorso utente
<a name="reference_policies_examples_iam_policy-sim-path-console"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta l'utilizzo della console del simulatore di policy solo per gli utenti con il percorso `Department/Development`. Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

[Puoi accedere a IAM Policy Simulator all'indirizzo:/https://policysim.aws.amazon.com](https://policysim.aws.amazon.com/)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetPolicy",
                "iam:GetUserPolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "iam:GetUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListGroupsForUser",
                "iam:ListUserPolicies",
                "iam:ListUsers"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:user/Department/Development/*"
        }
    ]
}
```

------

# IAM: consente agli utenti IAM di gestire in modo autonomo un dispositivo MFA
<a name="reference_policies_examples_iam_mfa-selfmanage"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta agli utenti IAM di gestire in modo automatico il proprio dispositivo di [autenticazione a più fattori (MFA)](id_credentials_mfa.md). Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI

**Nota**  
Se un utente IAM con questa policy non è autenticato tramite MFA, questa policy nega l'accesso a tutte le AWS azioni tranne quelle necessarie per l'autenticazione tramite MFA. Se aggiungi queste autorizzazioni per un utente che ha effettuato l'accesso AWS, potrebbe dover disconnettersi e riconnettersi per visualizzare le modifiche.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUserToCreateVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/*"
        },
        {
            "Sid": "AllowUserToManageTheirOwnMFA",
            "Effect": "Allow",
            "Action": [
                "iam:EnableMFADevice",
                "iam:GetMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowUserToDeactivateTheirOwnMFAOnlyWhenUsingMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ],
            "Condition": {
                "Bool": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }
        },
        {
            "Sid": "BlockMostAccessUnlessSignedInWithMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ListUsers",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

# IAM: consente agli utenti IAM di aggiornare le credenziali a livello di programmazione e nella console
<a name="reference_policies_examples_iam_credentials_console"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta agli utenti IAM di aggiornare le proprie chiavi di accesso, i certificati di firma, le credenziali specifiche del servizio e le password. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:ChangePassword",
                "iam:GetUser",
                "iam:*ServiceSpecificCredential*",
                "iam:*SigningCertificate*"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        }
    ]
}
```

------

Per ulteriori informazioni su come un utente può modificare la propria password nella console, consultare [Come un utente IAM può modificare la propria password](id_credentials_passwords_user-change-own.md).

# IAM: visualizza le informazioni sull'ultimo accesso al servizio per una AWS Organizations policy
<a name="reference_policies_examples_iam_service-accessed-data-orgs"></a>

Questo esempio mostra come creare una policy basata sull’identità che consenta di visualizzare le informazioni sull’ultimo accesso per una determinata policy di AWS Organizations . Questa policy consente di recuperare dati per la policy di controllo del servizio (SCP) con l'ID `p-policy123`. La persona che genera e visualizza il report deve essere autenticata utilizzando le credenziali dell'account di AWS Organizations gestione. Questa politica consente al richiedente di recuperare i dati di qualsiasi AWS Organizations entità della propria organizzazione. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

Per informazioni importanti sui dati sull'ultimo accesso al servizio, incluse le autorizzazioni richieste, la risoluzione dei problemi e le regioni supportate, consulta [Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso](access_policies_last-accessed.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowOrgsReadOnlyAndIamGetReport",
            "Effect": "Allow",
            "Action": [
                "iam:GetOrganizationsAccessReport",
                "organizations:Describe*",
                "organizations:List*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowGenerateReportOnlyForThePolicy",
            "Effect": "Allow",
            "Action": "iam:GenerateOrganizationsAccessReport",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:OrganizationsPolicyId": "p-policy123"}
            }
        }
    ]
}
```

------

# IAM: limita le policy gestite che possono essere applicate a un utente, un gruppo o un ruolo IAM.
<a name="reference_policies_examples_iam_limit-managed"></a>

Questo esempio mostra come è possibile creare una policy basata sull'identità che limiti le policy gestite dai clienti e quelle AWS gestite che possono essere applicate a un utente, gruppo o ruolo IAM. Questa policy concede le autorizzazioni necessarie per completare questa azione in modo programmatico dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:AttachUserPolicy",
            "iam:DetachUserPolicy"
        ],
        "Resource": "*",
        "Condition": {
            "ArnEquals": {
                "iam:PolicyARN": [
                    "arn:aws:iam::*:policy/policy-name-1",
                    "arn:aws:iam::*:policy/policy-name-2"
                ]
            }
        }
    }
}
```

------

# AWS: nega l'accesso alle risorse esterne al tuo account ad eccezione delle politiche IAM AWS gestite
<a name="resource_examples_iam_policies_resource_account"></a>

L'utilizzo di `aws:ResourceAccount` nelle policy basate sull'identità può influire sulla capacità dell'utente o del ruolo di utilizzare alcuni servizi che richiedono l'interazione con le risorse negli account di proprietà di un servizio.

Puoi creare una policy con un'eccezione per consentire le policy IAM AWS gestite. Un account gestito dal servizio esterno alle tue politiche AWS Organizations IAM gestite. Esistono quattro azioni IAM che elencano e AWS recuperano le politiche gestite. Utilizza queste operazioni nell'elemento [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html) dell'istruzione `AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1` nella policy.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1",
      "Effect": "Deny",
      "NotAction": [
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListEntitiesForPolicy",
        "iam:ListPolicies"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    }
  ]
}
```

------

# AWS Lambda: consente a una funzione Lambda di accedere a una tabella Amazon DynamoDB
<a name="reference_policies_examples_lambda-access-dynamodb"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta l'accesso in lettura e scrittura a una tabella Amazon DynamoDB specifica. La politica consente anche di scrivere file di registro CloudWatch nei registri. Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

Per utilizzare questa policy, collega la policy a un [ruolo del servizio](id_roles_create_for-service.md) Lambda. Un ruolo del servizio è un ruolo che viene creato nell'account per consentire a un servizio di eseguire operazioni a tuo nome. Tale ruolo di servizio deve essere incluso AWS Lambda come principale nella politica di fiducia. Per informazioni dettagliate su come utilizzare questa policy, consulta [Come creare una policy AWS IAM per concedere AWS Lambda l'accesso a una tabella Amazon DynamoDB nel AWS Security](https://aws.amazon.com/blogs/security/how-to-create-an-aws-iam-policy-to-grant-aws-lambda-access-to-an-amazon-dynamodb-table/) Blog.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadWriteTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:BatchGetItem",
                "dynamodb:GetItem",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWriteItem",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem"
            ],
            "Resource": "arn:aws:dynamodb:*:*:table/SampleTable"
        },
        {
            "Sid": "GetStreamRecords",
            "Effect": "Allow",
            "Action": "dynamodb:GetRecords",
            "Resource": "arn:aws:dynamodb:*:*:table/SampleTable/stream/* "
        },
        {
            "Sid": "WriteLogStreamsAndGroups",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateLogGroup",
            "Effect": "Allow",
            "Action": "logs:CreateLogGroup",
            "Resource": "*"
        }
    ]
}
```

------

# Amazon RDS: consente l'accesso completo al database RDS in una regione specifica
<a name="reference_policies_examples_rds_region"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta l'accesso completo al database RDS in una regione specifica. Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rds:*",
            "Resource": ["arn:aws:rds:us-east-1:*:*"]
        },
        {
            "Effect": "Allow",
            "Action": ["rds:Describe*"],
            "Resource": ["*"]
        }
    ]
}
```

------

# Amazon RDS: consente il ripristino dei database RDS, in modo programmatico e nella console
<a name="reference_policies_examples_rds_db-console"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta di ripristinare i database RDS. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*",
                "rds:CreateDBParameterGroup",
                "rds:CreateDBSnapshot",
                "rds:DeleteDBSnapshot",
                "rds:Describe*",
                "rds:DownloadDBLogFilePortion",
                "rds:List*",
                "rds:ModifyDBInstance",
                "rds:ModifyDBParameterGroup",
                "rds:ModifyOptionGroup",
                "rds:RebootDBInstance",
                "rds:RestoreDBInstanceFromDBSnapshot",
                "rds:RestoreDBInstanceToPointInTime"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# Amazon RDS: consente ai proprietari di tag l'accesso completo alle risorse RDS da loro contrassegnate con un tag
<a name="reference_policies_examples_rds_tag-owner"></a>

Questo esempio mostra come creare una policy basata sull'identità che conceda ai proprietari dei tag l'accesso completo alle risorse RDS che hanno contrassegnato con tag. Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "rds:Describe*",
                "rds:List*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "rds:DeleteDBInstance",
                "rds:RebootDBInstance",
                "rds:ModifyDBInstance"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:db-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyOptionGroup",
                "rds:DeleteOptionGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:og-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyDBParameterGroup",
                "rds:ResetDBParameterGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:pg-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:AuthorizeDBSecurityGroupIngress",
                "rds:RevokeDBSecurityGroupIngress",
                "rds:DeleteDBSecurityGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:secgrp-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:DeleteDBSnapshot",
                "rds:RestoreDBInstanceFromDBSnapshot"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:snapshot-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyDBSubnetGroup",
                "rds:DeleteDBSubnetGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:subgrp-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyEventSubscription",
                "rds:AddSourceIdentifierToSubscription",
                "rds:RemoveSourceIdentifierFromSubscription",
                "rds:DeleteEventSubscription"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:es-tag/Owner": "${aws:username}"}
            }
        }
    ]
}
```

------

# Amazon S3: consente agli utenti di Amazon Cognito di accedere a oggetti nel relativo bucket
<a name="reference_policies_examples_s3_cognito-bucket"></a>

Questo esempio mostra come creare una policy basata sull’identità che consenta agli utenti Amazon Cognito di accedere a oggetti in un determinato bucket Amazon S3. Questa policy consente l’accesso solo agli oggetti con un nome che include `cognito`, il nome dell’applicazione e l’ID del principale federato, rappresentati dalla variabile \$1\$1cognito-identity.amazonaws.com:sub\$1. Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

**Nota**  
Il valore 'sub' utilizzato nella chiave dell'oggetto non è il valore secondario dell'utente nel pool di utenti, è l'ID identità associato all'utente nel pool di identità.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "ListYourObjects",
      "Effect": "Allow",
      "Action": "s3:ListBucket",
      "Resource": [
        "arn:aws:s3:::bucket-name"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
          ]
        }
      }
    },
    {
      "Sid": "ReadWriteDeleteYourObjects",
      "Effect": "Allow",
      "Action": [
        "s3:DeleteObject",
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucket-name/cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
      ]
    }
  ]
}
```

------

Amazon Cognito fornisce autenticazione, autorizzazione e gestione degli utenti per le app Web e per dispositivi mobili. Gli utenti possono accedere direttamente con un nome utente e una password, oppure tramite terze parti , ad esempio Facebook, Amazon o Google. 

I due componenti principali di Amazon Cognito sono i bacini d'utenza e i pool di identità. I bacini d'utenza sono directory utente che forniscono opzioni di registrazione e di accesso agli utenti delle tue app. I pool di identità consentono di concedere agli utenti l'accesso ad altri AWS servizi. È possibile usare i pool di identità e i bacini d'utenza separatamente o insieme. 

Per ulteriori informazioni su Amazon Cognito, consulta la [Guida per l'utente di Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html).

# Amazon S3: consente agli utenti federati di accedere alla propria directory home Amazon S3, in modo programmatico e nella console
<a name="reference_policies_examples_s3_federated-home-directory-console"></a>

Questo esempio mostra come creare una policy basata sull’identità che consenta ai principali federati di accedere all’oggetto bucket nella loro directory home in S3. La directory home è un bucket che include una cartella `home` e le cartelle per i singoli principali federati. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

La variabile `${aws:userid}` in questa policy restituisce `role-id:specified-name`. La parte `role-id` dell’ID principale federato è un identificatore univoco assegnato al ruolo del principale federato durante la creazione. Per ulteriori informazioni, consulta [Identificatori univoci](reference_identifiers.md#identifiers-unique-ids). `specified-name`È il [RoleSessionName parametro](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html#API_AssumeRoleWithWebIdentity_RequestParameters) passato alla `AssumeRoleWithWebIdentity` richiesta quando il principale federato ha assunto il proprio ruolo.

È possibile visualizzare l'ID del ruolo utilizzando il AWS CLI comando`aws iam get-role --role-name specified-name`. Ad esempio, supponiamo di specificare il nome descrittivo `John` e che la CLI restituisca l'ID ruolo `AROAXXT2NJT7D3SIQN7Z6`. In questo caso, l’ID principale federato è `AROAXXT2NJT7D3SIQN7Z6:John`. Questa policy quindi consente al principale federato John di accedere ai bucket Amazon S3 con il prefisso `AROAXXT2NJT7D3SIQN7Z6:John`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "s3:prefix": [
                        "",
                        "home/",
                        "home/${aws:userid}/*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:userid}",
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:userid}/*"
            ]
        }
    ]
}
```

------

# Amazon S3: accesso al bucket S3, ma bucket di produzione rifiutato senza MFA recente
<a name="reference_policies_examples_s3_full-access-except-production"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta a un amministratore Amazon S3 di accedere a qualsiasi bucket, inclusi l'aggiornamento, l'aggiunta e l'eliminazione di oggetti. Tuttavia, rifiuta esplicitamente l'accesso al bucket `amzn-s3-demo-bucket-production` se l'utente non ha effettuato l'accesso utilizzando l'[autenticazione multi-fattore (MFA)](id_credentials_mfa.md) negli ultimi 30 minuti. Questo criterio concede le autorizzazioni necessarie per eseguire questa azione nella console o a livello di codice utilizzando l'API o. AWS CLI AWS Per utilizzare questa politica, sostituisci la politica dell'*italicized placeholder text*esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

Questa policy non consente mai l'accesso a livello di programmazione al bucket `amzn-s3-demo-bucket` utilizzando le chiavi di accesso degli utenti a lungo termine. Questa operazione viene eseguita utilizzando la chiave di condizione `aws:MultiFactorAuthAge` con l'operatore di condizione `NumericGreaterThanIfExists`. Questa condizione di policy restituisce `true` se MFA non è presente o se l'età di MFA è superiore a 30 minuti. In tali situazioni, l'accesso è negato. Per accedere al `amzn-s3-demo-bucket-production` bucket a livello di codice, l'amministratore S3 deve utilizzare credenziali temporanee generate negli ultimi 30 minuti utilizzando l'operazione API. [GetSessionToken](id_credentials_temp_request.md#api_getsessiontoken)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListAllS3Buckets",
            "Effect": "Allow",
            "Action": ["s3:ListAllMyBuckets"],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketLevelActions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketObjectActions",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": "arn:aws:s3:::*/*"
        },
        {
            "Sid": "RequireMFAForProductionBucket",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-production/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-production"
            ],
            "Condition": {
                "NumericGreaterThanIfExists": {"aws:MultiFactorAuthAge": "1800"}
            }
        }
    ]
}
```

------

# Amazon S3: consente agli utenti IAM di accedere alla propria directory home S3, in modo programmatico e nella console
<a name="reference_policies_examples_s3_home-directory-console"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta agli utenti IAM di accedere al proprio oggetto del bucket nella directory home in S3. La home directory è un bucket che include una cartella `home` e le cartelle per i singoli utenti. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

Questa policy non funziona quando si utilizzano i ruoli IAM perché la variabile `aws:username` non è disponibile quando si utilizzano i ruoli IAM. Per informazioni dettagliate sui valori delle chiavi principali, consulta [Valori della chiave dell'entità principale](reference_policies_variables.md#principaltable).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "s3:prefix": [
                        "",
                        "home/",
                        "home/${aws:username}/*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:username}",
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:username}/*"
            ]
        }
    ]
}
```

------

# Amazon S3: limitazione della gestione a un bucket S3 specifico
<a name="reference_policies_examples_s3_deny-except-bucket"></a>

Questo esempio mostra come creare una policy basata sull'identità che limiti la gestione di un bucket Amazon S3 a quel determinato bucket. Questa policy concede l'autorizzazione a eseguire tutte le operazioni di Amazon S3, ma nega l'accesso a ogni Servizio AWS tranne Amazon S3. Guarda l'esempio seguente. In base a questa policy, puoi accedere solo alle operazioni di Amazon S3 che è possibile eseguire su un bucket S3 o una risorsa oggetto S3. Questa politica concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

Se questa politica viene utilizzata in combinazione con altre politiche (come le politiche EC2 FullAccess AWS gestite da [AmazonS3 o FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3FullAccess) [Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess)) che consentono azioni negate da questa politica, l'accesso viene negato. Questo perché una dichiarazione di rifiuto esplicita prevale su una dichiarazione di consenso. Per ulteriori informazioni, consulta [In che modo la logica del codice di AWS applicazione valuta le richieste di consentire o negare l'accesso](reference_policies_evaluation-logic_policy-eval-denyallow.md).

**avvertimento**  
[`NotAction`](reference_policies_elements_notaction.md) e [`NotResource`](reference_policies_elements_notresource.md) sono elementi di policy avanzate da utilizzare con attenzione. Questa policy rifiuta l'accesso a qualsiasi servizio AWS a eccezione di Amazon S3. Se colleghi questa policy a un utente, qualsiasi altra policy che concede le autorizzazioni ad altri servizi viene ignorata e l'accesso viene negato.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        },
        {
            "Effect": "Deny",
            "NotAction": "s3:*",
            "NotResource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}
```

------

# Concedere l'accesso in lettura e scrittura agli oggetti di un bucket Amazon S3
<a name="reference_policies_examples_s3_rw-bucket"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta l'accesso `Read` e `Write` agli oggetti in un bucket Amazon S3 specifico. Questa policy concede le autorizzazioni necessarie per completare questa azione a livello di codice dall'API o. AWS AWS CLI Per utilizzare questa politica, sostituisci la politica *italicized placeholder text* nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

L'operazione `s3:*Object` usa un carattere jolly nel nome dell'operazione. L'istruzione `AllObjectActions` consente le operazioni `GetObject`, `DeleteObject`, `PutObject` e qualsiasi altra operazione Amazon S3 che termina con la parola "Object".

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": ["s3:ListBucket"],
            "Resource": ["arn:aws:s3:::bucket-name"]
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": ["arn:aws:s3:::bucket-name/*"]
        }
    ]
}
```

------

**Nota**  
Per consentire l'accesso `Read` e `Write` a un oggetto di un bucket Amazon S3 e includere anche altre autorizzazioni per l'accesso alla console, consulta [Amazon S3: consente l'accesso in lettura e scrittura agli oggetti in un bucket S3, in modo programmatico e nella console](reference_policies_examples_s3_rw-bucket-console.md).

# Amazon S3: consente l'accesso in lettura e scrittura agli oggetti in un bucket S3, in modo programmatico e nella console
<a name="reference_policies_examples_s3_rw-bucket-console"></a>

Questo esempio mostra come creare una policy basata sull'identità che consenta l'accesso `Read` e `Write` agli oggetti di un bucket S3 specifico. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. Per utilizzare questa politica, sostituisci quella *italicized placeholder text* dell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md).

L'operazione `s3:*Object` usa un carattere jolly nel nome dell'operazione. L'istruzione `AllObjectActions` consente le operazioni `GetObject`, `DeleteObject`, `PutObject` e qualsiasi altra operazione Amazon S3 che termina con la parola "Object".

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"]
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"]
        }
    ]
}
```

------

# Gestire le policy IAM
<a name="access_policies_manage"></a>

IAM fornisce gli strumenti per creare e gestire tutti i tipi di policy IAM (policy gestite e policy in linea). Per aggiungere le autorizzazioni a un'identità IAM (utente, gruppo o ruolo IAM), crea una policy, convalida la policy, quindi collega la policy all'identità. È possibile anche collegare più policy a un'entità e ogni policy può contenere più autorizzazioni.

**Topics**
+ [

## Risorse aggiuntive
](#access_policies_manage-additional-resources)
+ [

# Definire le autorizzazioni IAM personalizzate con policy gestite dal cliente
](access_policies_create.md)
+ [

# Convalida delle policy IAM
](access_policies_policy-validator.md)
+ [

# Test delle policy IAM con il simulatore di policy IAM
](access_policies_testing-policies.md)
+ [

# Aggiunta e rimozione di autorizzazioni per identità IAM
](access_policies_manage-attach-detach.md)
+ [

# Controllo delle versioni delle policy IAM
](access_policies_managed-versioning.md)
+ [

# Modificare le policy IAM
](access_policies_manage-edit.md)
+ [

# Eliminare le policy IAM
](access_policies_manage-delete.md)
+ [

# Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso
](access_policies_last-accessed.md)

## Risorse aggiuntive
<a name="access_policies_manage-additional-resources"></a>

Le seguenti risorse possono aiutarti a saperne di più sulle AWS politiche.
+ Per ulteriori informazioni sui diversi tipi di policy IAM, consulta [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md). 
+ Per informazioni generali sull'uso delle policy con IAM, consulta [Gestione degli accessi AWS alle risorse](access.md).
+ Per informazioni su come utilizzare il Sistema di analisi degli accessi IAM per generare una policy IAM basata sull'attività di accesso per un'entità, consulta [Generazione di policy per Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).
+ Per ulteriori informazioni su come vengono valutate le autorizzazioni quando vengono applicate più policy per una determinata identità IAM, consulta [Logica di valutazione delle policy](reference_policies_evaluation-logic.md).
+ Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).

# Definire le autorizzazioni IAM personalizzate con policy gestite dal cliente
<a name="access_policies_create"></a>

[Le politiche](access_policies.md) definiscono le autorizzazioni per le identità o le risorse in. AWS Puoi creare *policy gestite dai clienti* in IAM utilizzando l' Console di gestione AWS API AWS CLI, o AWS . Le policy gestite dal cliente sono policy autonome gestite dall'utente nel proprio Account AWS. Puoi quindi collegare le politiche alle identità (utenti, gruppi e ruoli) nel tuo Account AWS.

Una *policy basata su identità* è una policy collegata a un'identità in IAM. Le politiche basate sull'identità possono includere politiche gestite, politiche AWS gestite dai clienti e politiche in linea. AWS le politiche gestite vengono create e gestite da AWS ed è possibile utilizzarle ma non gestirle. Una policy in linea è una policy che viene creata e integrata direttamente in un gruppo di utenti, utente o ruolo IAM. Le policy in linea non possono essere riutilizzate su altre identità o gestite al di fuori dell'identità in cui esistono. Per ulteriori informazioni, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](access_policies_manage-attach-detach.md).

In genere è preferibile utilizzare politiche gestite dal cliente anziché politiche in linea o politiche AWS gestite. AWS le politiche gestite in genere forniscono ampie autorizzazioni amministrative o di sola lettura. Per garantire la massima sicurezza, [concedere un privilegio minimo](best-practices.md#grant-least-privilege), ovvero concedere solo le autorizzazioni necessarie per eseguire attività di processi specifici.

Quando crei o modifichi le policy IAM, AWS puoi eseguire automaticamente la convalida delle policy per aiutarti a creare una policy efficace con il minimo privilegio in mente. Nel Console di gestione AWS, IAM identifica gli errori di sintassi JSON, mentre IAM Access Analyzer fornisce controlli aggiuntivi sulle policy con consigli per aiutarti a perfezionare ulteriormente le tue policy. Per ulteriori informazioni sulla convalida delle policy, consulta [Convalida delle policy IAM](access_policies_policy-validator.md). Per ulteriori informazioni cui controlli delle policy di IAM Access Analyzer e sui suggerimenti utili, consulta [Convalida delle policy di IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).

Puoi utilizzare l' AWS API Console di gestione AWS AWS CLI, o per creare policy gestite dai clienti in IAM. Per ulteriori informazioni sull'utilizzo dei CloudFormation modelli per aggiungere o aggiornare le politiche, consulta il [riferimento ai tipi di AWS Identity and Access Management risorse](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) nella *Guida per l'CloudFormation utente*.

**Topics**
+ [

# Creare policy IAM (console)
](access_policies_create-console.md)
+ [

# Creare policy IAM (AWS CLI)
](access_policies_create-cli.md)
+ [

# Crea policy IAM (AWS API)
](access_policies_create-api.md)

# Creare policy IAM (console)
<a name="access_policies_create-console"></a>

Una [policy](access_policies.md) è un'entità che, se viene collegata a un'identità o a una risorsa, ne definisce le autorizzazioni. Puoi utilizzarli Console di gestione AWS per creare *policy gestite dai clienti* in IAM. Le policy gestite dal cliente sono policy autonome gestite dall'utente nel proprio Account AWS. Puoi quindi allegare le politiche alle identità (utenti, gruppi e ruoli) nel tuo Account AWS.

Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).

**Topics**
+ [

## Creazione di policy IAM
](#access_policies_create-start)
+ [

## Creazione di policy utilizzando l'editor JSON
](#access_policies_create-json-editor)
+ [

## Creazione di policy con l'editor visivo
](#access_policies_create-visual-editor)
+ [

## L'importazione di policy gestite esistenti
](#access_policies_create-copy)

## Creazione di policy IAM
<a name="access_policies_create-start"></a>

È possibile creare una politica gestita dai clienti Console di gestione AWS utilizzando uno dei seguenti metodi:
+ **[JSON](#access_policies_create-json-editor)**: incolla e personalizza un [esempio di policy basata sull'identità](access_policies_examples.md).
+ **[Editor visivo](#access_policies_create-visual-editor)**: è possibile creare una nuova policy da zero nell'editor visivo. Se si utilizza l'editor visivo, non è necessario comprendere la sintassi JSON.
+ **[Importa](#access_policies_create-copy)**: importa e personalizza una policy gestita dall'account. È possibile importare una politica AWS gestita o una politica gestita dai clienti creata in precedenza.

Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).

## Creazione di policy utilizzando l'editor JSON
<a name="access_policies_create-json-editor"></a>

Puoi digitare o incollare le policy in JSON scegliendo l'opzione **JSON**. Questo metodo è utile per copiare una [policy di esempio](access_policies_examples.md) da utilizzare nell'account. In alternativa, è possibile digitare il proprio documento di policy JSON nell'editor JSON. È inoltre possibile utilizzare l'opzione **JSON** per passare tra l'editor visivo e JSON e confrontare le visualizzazioni.

 Quando si crea o si modifica una policy nell'editor JSON, IAM esegue la convalida delle policy per facilitare la creazione di una policy efficace. IAM identifica gli errori di sintassi JSON, mentre IAM Access Analyzer fornisce ulteriori controlli delle policy con suggerimenti utili per perfezionare ulteriormente la policy. 

Un documento di [policy](access_policies.md) JSON consiste in una o più istruzioni. Ogni istruzione deve contenere tutte le operazioni che condividono lo stesso risultato (`Allow` o `Deny`) e supportare le stesse risorse e condizioni. Se un'operazione richiede di specificare tutte le risorse (`"*"`) e un'altra operazione supporta l'Amazon Resource Name (ARN) di una risorsa specifica, devono essere in due diverse istruzioni JSON. Per informazioni dettagliate sui formati ARN, consulta [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) nella *Guida Riferimenti generali di AWS *. Per informazioni generali sulle policy IAM, consulta [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md). Per informazioni sul linguaggio delle policy IAM, consulta [Riferimento alla policy JSON IAM](reference_policies.md).

**Come utilizzare l'editor di policy JSON per creare una policy**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**. 

1. Scegli **Crea policy**.

1. Nella sezione **Editor di policy**, scegli l'opzione **JSON**.

1. Digitare o incollare un documento di policy JSON. Per maggiori dettagli sul linguaggio della policy IAM, consulta [Riferimento alla policy JSON IAM](reference_policies.md).

1.  Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la [convalida delle policy](access_policies_policy-validator.md), quindi scegli **Next** (Successivo). 
**Nota**  
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. (Facoltativo) Quando crei o modifichi una policy in Console di gestione AWS, puoi generare un modello di policy JSON o YAML da utilizzare nei modelli. CloudFormation 

   **Per fare ciò, nell'**editor delle politiche** scegli **Azioni**, quindi scegli Genera modello. CloudFormation** Per ulteriori informazioni, CloudFormation consulta il [riferimento al tipo di AWS Identity and Access Management risorsa](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) nella Guida AWS CloudFormation per l'utente.

1. Una volta terminata l'aggiunta delle autorizzazioni alla policy, scegli **Successivo**.

1. Nella pagina **Verifica e crea**, digita i valori per **Nome policy** e **Descrizione** (facoltativa) per la policy che si sta creando. Rivedi **Autorizzazioni definite in questa policy** per visualizzare le autorizzazioni concesse dalla policy.

1. (Facoltativo) Aggiungere metadati alla policy collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag in IAM, consultare [Tag per AWS Identity and Access Management le risorse](id_tags.md).

1. Seleziona **Crea policy** per salvare la nuova policy.

Dopo aver creato una policy, è possibile collegarlo ai gruppi, utenti o ruoli. Per ulteriori informazioni, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](access_policies_manage-attach-detach.md).

## Creazione di policy con l'editor visivo
<a name="access_policies_create-visual-editor"></a>

L'editor visivo nella console IAM fornisce informazioni utili sulla creazione di una policy senza dover scrivere una sintassi JSON. Per visualizzare un esempio dell'editor visivo per creare una policy, consultare [Controllo dell'accesso alle identità](access_controlling.md#access_controlling-identities).

**Per utilizzare l'editor visivo per creare una policy.**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**. 

1. Scegli **Crea policy**.

1. Nella sezione **Policy editor**, trova la sezione **Seleziona un servizio**, quindi scegli un AWS servizio. È possibile utilizzare la casella di ricerca in alto per limitare i risultati nell'elenco di servizi. È possibile selezionare solo un servizio nel blocco di autorizzazione di un editor visivo. Per concedere l'accesso a più di un servizio, aggiungi più blocchi di autorizzazioni selezionando **Aggiungi altre autorizzazioni**.

1. In **Operazioni consentite**, scegli le operazioni da aggiungere alla policy. È possibile selezionare operazioni nei modi seguenti:
   + Selezionare la casella di controllo per tutte le azioni.
   + Scegliere **aggiungi azioni** per digitare il nome di un'azione specifica. È possibile utilizzare i caratteri jolly (`*`) per specificare più operazioni.
   + Selezionare uno dei gruppi di **livelli di accesso** per scegliere tutte le azioni per il livello di accesso, ad esempio **Lettura**, **Scrittura** o **Elenco**.
   + Espandere ciascuno dei gruppi **Access level (Livello di accesso)** per selezionare singole operazioni.

   Come impostazione predefinita, la policy che si sta creando utilizza le operazioni selezionate. Per rifiutare invece le operazioni scelte, selezionare **Switch to deny permissions (Passa a rifiuto autorizzazioni)**. Poiché [IAM rifiuta per impostazione predefinita](reference_policies_evaluation-logic.md), si consiglia come best practice di sicurezza di consentire le autorizzazioni solo alle operazioni e alle risorse necessarie per un utente. È necessario creare un'istruzione JSON per negare le autorizzazioni solo se si desidera sostituire un'autorizzazione separatamente consentita da un'altra istruzione o policy. Si consiglia di limitare al minimo il numero di autorizzazioni di rifiuto perché possono aumentare la difficoltà di risoluzione dei problemi relative alle autorizzazioni.

1. Per **Risorse**, se il servizio e le azioni selezionati nei passaggi precedenti non supportano la scelta di [risorse specifiche](access_controlling.md#access_controlling-resources), tutte le risorse sono consentite e non è possibile modificare questa sezione. 

   Se si selezionano una o più operazioni che supportano le [autorizzazioni a livello di risorsa](access_controlling.md#access_controlling-resources), l'editor visivo elenca tali risorse. È possibile selezionare **Risorse** per specificare le risorse per la policy. 

   È possibile specificare le risorse nei seguenti modi:
   + Scegli **Aggiungi ARNs** per specificare le risorse in base ai rispettivi Amazon Resource Names (ARN). È possibile utilizzare l'editor o l'elenco ARNs ARN visivo manualmente. Per maggiori informazioni sulla sintassi ARN, consulta [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) nella *Guida Riferimenti generali di AWS *. Per informazioni sull'utilizzo ARNs nell'`Resource`elemento di una policy, vedere[Elementi delle policy JSON IAM: Resource](reference_policies_elements_resource.md).
   + Scegli **Qualsiasi in questo account** accanto a una risorsa per concedere autorizzazioni a qualsiasi risorsa di quel tipo.
   + Seleziona **Tutto** per selezionare tutte le risorse per quel servizio. 

1. (Facoltativo) Scegli **Condizioni di richiesta - *opzionale*** per aggiungere condizioni alla policy che si sta creando. Le condizioni limitano l'effetto di una dichiarazione di policy JSON. Ad esempio, puoi specificare che un utente può eseguire le operazioni sulle risorse solo quando la richiesta dell'utente viene effettuata entro un determinato intervallo di tempo. È inoltre possibile utilizzare le condizioni comuni per limitare se un utente deve essere autenticato utilizzando un dispositivo multi-factor authentication (MFA). In alternativa, è possibile richiedere che la richiesta provenga da un determinato intervallo di indirizzi IP. Per un elenco di tutte le chiavi di contesto che è possibile utilizzare in una condizione di policy, vedere [Azioni, risorse e chiavi di condizione per AWS i servizi](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) nel *Service Authorization Reference*.

   È possibile selezionare le condizioni nei modi seguenti:
   + Utilizzare le caselle di controllo per selezionare le condizioni di utilizzo comune.
   + Seleziona **Aggiungi altra condizione** per specificare altre condizioni. Selezionare **Condition Key (Chiave condizione)**, **Qualifier (Qualificatore)** e **Operator (Operatore)** della condizione e digitare un **Value (Valore)**. Per aggiungere più di un valore, seleziona **Aggiungi**. È possibile valutare i valori come se fossero connessi da un operatore logico "OR". Una volta terminato, scegli **Aggiungi condizione**.

   Per aggiungere più di una condizione, scegli di nuovo **Aggiungi altra condizione**. Ripetere come necessario. Ogni condizione si applica solo a questo blocco di autorizzazione di un editor visivo. Tutte le condizioni devono essere vere per il blocco di autorizzazioni per essere considerato una corrispondenza. In altre parole, considerare le condizioni da connettere con un operatore logico "AND".

   Per ulteriori informazioni sull'elemento **Condition (Condizione)**, consultare [Elementi delle policy JSON IAM: Condition](reference_policies_elements_condition.md) in [Riferimento alla policy JSON IAM](reference_policies.md).

1. Per aggiungere più blocchi di autorizzazioni, seleziona **Aggiungi ulteriori autorizzazioni**. Per ogni blocco, ripetere le fasi da 2 a 5.
**Nota**  
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. (Facoltativo) Quando si crea o si modifica una politica in Console di gestione AWS, è possibile generare un modello di policy JSON o YAML da utilizzare nei modelli. CloudFormation 

   **Per fare ciò, nell'**editor delle politiche** scegli **Azioni**, quindi scegli Genera modello. CloudFormation** Per ulteriori informazioni, CloudFormation consulta il [riferimento al tipo di AWS Identity and Access Management risorsa](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) nella Guida AWS CloudFormation per l'utente.

1. Una volta terminata l'aggiunta delle autorizzazioni alla policy, scegli **Successivo**.

1. Nella pagina **Verifica e crea**, digita i valori per **Nome policy** e **Descrizione** (facoltativa) per la policy che si sta creando. Rivedi il campo **Autorizzazioni definite in questa policy** per accertarti di disporre delle autorizzazioni previste. 

1. (Facoltativo) Aggiungere metadati alla policy collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag in IAM, consultare [Tag per AWS Identity and Access Management le risorse](id_tags.md).

1. Seleziona **Crea policy** per salvare la nuova policy.

Dopo aver creato una policy, è possibile collegarlo ai gruppi, utenti o ruoli. Per ulteriori informazioni, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](access_policies_manage-attach-detach.md).

## L'importazione di policy gestite esistenti
<a name="access_policies_create-copy"></a>

Un modo semplice per creare una nuova policy è di importare una policy gestita esistente all'interno dell'account che dispone di almeno alcune delle autorizzazioni di cui si ha bisogno. È possibile personalizzare la policy per farla corrispondere ai nuovi requisiti.

Non è possibile importare una policy inline. Per informazioni sulle differenze tra policy gestite e policy inline, consultare [Policy gestite e policy inline](access_policies_managed-vs-inline.md).

**Per importare una policy gestita esistente nell'editor visivo**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**. 

1. Scegli **Crea policy**.

1. Nella sezione **Editor di policy**, scegli l'opzione **Visivo**, quindi sul lato destro della pagina, scegli **Operazioni** e poi **Importa policy**.

1. Nella finestra **Importa policy gestite**, seleziona le policy gestite che meglio corrispondono alla policy da includere nella nuova policy. Per limitare i risultati nell'elenco di servizi, è possibile utilizzare la casella di ricerca in alto.

1. Scegli **Importa policy**.

   Le policy importate vengono aggiunte in nuovi blocchi di autorizzazione nella parte inferiore della policy.

1. Utilizzare **Visual editor (Editor visivo)** o selezionare **JSON** per personalizzare la policy. Quindi scegli **Successivo**.
**Nota**  
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Nella pagina **Verifica e crea**, digita i valori per **Nome policy** e **Descrizione** (facoltativa) per la policy che si sta creando. Non è possibile modificare queste impostazioni in un secondo momento. Rivedi il campo **Autorizzazioni definite in questa policy**, quindi scegli **Crea policy** per salvare il lavoro.

**Importazione di una policy gestita esistente nell'editor **JSON****

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**. 

1. Scegli **Crea policy**.

1. Nella sezione **Editor di policy**, scegli l'opzione **JSON**, quindi sul lato destro della pagina, scegli **Operazioni** e poi **Importa policy**.

1. Nella finestra **Importa policy gestite**, seleziona le policy gestite che meglio corrispondono alla policy da includere nella nuova policy. Per limitare i risultati nell'elenco di servizi, è possibile utilizzare la casella di ricerca in alto.

1. Scegli **Importa policy**.

   Le istruzioni dalle policy importate vengono aggiunte in fondo alle policy JSON.

1. Personalizza la policy in JSON. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la [convalida delle policy](access_policies_policy-validator.md), quindi scegli **Next** (Successivo). Oppure, personalizza la policy nell'**Editor visivo**. Quindi scegli **Successivo**.
**Nota**  
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Nella pagina **Verifica e crea**, digita i valori per **Nome policy** e **Descrizione** (facoltativa) per la policy che si sta creando. Non è possibile modificare queste impostazioni in un secondo momento. Rivedi la policy **Autorizzazioni definite in questa policy**, quindi scegli **Crea policy** per salvare il lavoro.

Dopo aver creato una policy, è possibile collegarlo ai gruppi, utenti o ruoli. Per ulteriori informazioni, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](access_policies_manage-attach-detach.md).

# Creare policy IAM (AWS CLI)
<a name="access_policies_create-cli"></a>

Una [policy](access_policies.md) è un'entità che, se viene collegata a un'identità o a una risorsa, ne definisce le autorizzazioni. Puoi utilizzarli AWS CLI per creare *policy gestite dai clienti* in IAM. Le policy gestite dal cliente sono policy autonome gestite dall'utente nel proprio Account AWS. Come [best practice](best-practices.md), ti consigliamo di utilizzare IAM Access Analyzer per convalidare le tue policy IAM e garantire autorizzazioni sicure e funzionali. Attraverso la [convalida delle policy](access_policies_policy-validator.md) è possibile risolvere eventuali errori o suggerimenti prima di collegare le policy alle identità (utenti, gruppi e ruoli) dell' Account AWS.

Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).

## Creazione di policy IAM (AWS CLI)
<a name="create-policies-cli-api"></a>

Puoi creare una policy gestita dal cliente IAM o una policy in line utilizzando AWS Command Line Interface (AWS CLI). 

**Per creare una policy gestita dal cliente (AWS CLI)**  
Utilizza il seguente comando:
+ [create-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy.html)

**Come creare una policy in linea per un'identità IAM (utente, gruppo o ruolo) (AWS CLI)**  
Utilizzare uno dei seguenti comandi:
+ [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
+ [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
+ [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)

**Nota**  
Non è possibile utilizzare IAM per integrare una policy in linea per un *[ruolo collegato ai servizi](id_roles.md#iam-term-service-linked-role)*.

**Come convalidare una policy gestita dal cliente (AWS CLI)**  
Utilizza il seguente comando IAM Access Analyzer:
+ [validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

# Crea policy IAM (AWS API)
<a name="access_policies_create-api"></a>

Una [policy](access_policies.md) è un'entità che, se viene collegata a un'identità o a una risorsa, ne definisce le autorizzazioni. Puoi utilizzare l' AWS API per creare *policy gestite dai clienti* in IAM. Le policy gestite dal cliente sono policy autonome gestite dall'utente nel proprio Account AWS. Come [best practice](best-practices.md), ti consigliamo di utilizzare IAM Access Analyzer per convalidare le tue policy IAM e garantire autorizzazioni sicure e funzionali. Attraverso la [convalida delle policy](access_policies_policy-validator.md) è possibile risolvere eventuali errori o suggerimenti prima di collegare le policy alle identità (utenti, gruppi e ruoli) dell' Account AWS.

Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).

## Creazione di politiche IAM (AWS API)
<a name="create-policies-api"></a>

Puoi creare una policy gestita dal cliente IAM o una policy in linea utilizzando l'API AWS .

**Per creare una policy gestita dai clienti (AWS API)**  
Chiamare l'operazione seguente:
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html)

**Per creare una policy in linea per un'identità IAM (gruppo, utente o ruolo) (AWS API)**  
Chiamare una delle seguenti operazioni:
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)

**Nota**  
Non è possibile utilizzare IAM per integrare una policy in linea per un *[ruolo collegato ai servizi](id_roles.md#iam-term-service-linked-role)*.

**Per convalidare una politica gestita dal cliente (API)AWS**  
Chiama la seguente operazione IAM Access Analyzer:
+ [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)

# Convalida delle policy IAM
<a name="access_policies_policy-validator"></a>

Una [policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_overview.html) è un documento JSON che utilizza la [sintassi delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html). Quando colleghi una policy a un'entità IAM, come un utente, un gruppo o un ruolo, la policy concede le autorizzazioni a tale entità.

Quando crei o modifichi le policy di controllo degli accessi IAM utilizzando Console di gestione AWS, le esamina AWS automaticamente per garantire che siano conformi alla grammatica delle policy IAM. Se AWS determina che una policy non rispetta la sintassi, verrà richiesto di correggere la policy.

IAM Access Analyzer fornisce ulteriori controlli delle policy con suggerimenti che consentono di perfezionare ulteriormente la policy. Per ulteriori informazioni cui controlli delle policy di IAM Access Analyzer e sui suggerimenti utili, consulta [Convalida delle policy di IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html). Per visualizzare un elenco di avvisi, errori e suggerimenti restituiti da IAM Access Analyzer, consulta [Riferimento ai controlli delle policy IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html).

**Ambito della convalida**  
AWS controlla la sintassi e la grammatica della policy JSON. Verifica inoltre che la formattazione sia corretta e che i nomi delle azioni e i tasti di condizione ARNs siano corretti.

**Accesso alla convalida delle policy**  
Le policy vengono convalidate automaticamente quando si crea una policy JSON o si modifica una policy esistente nella Console di gestione AWS. Se la sintassi della policy non è valida, riceverai una notifica e dovrai correggere il problema prima di poter continuare. I risultati della convalida delle policy di IAM Access Analyzer vengono restituiti automaticamente nella cartella Console di gestione AWS se disponi delle autorizzazioni per. `access-analyzer:ValidatePolicy` Puoi anche convalidare le politiche utilizzando l'API o. AWS AWS CLI

**Policy esistenti**  
È possibile che le policy esistenti non siano valide perché sono state create o salvate per l'ultima volta prima degli ultimi aggiornamenti del motore di policy. Come [best practice](best-practices.md), ti consigliamo di utilizzare IAM Access Analyzer per convalidare le tue policy IAM e garantire autorizzazioni sicure e funzionali. Consigliamo di aprire le policy esistenti e rivedere i risultati della convalida della policy generati. Non è possibile modificare e salvare le policy esistenti senza correggere eventuali errori di sintassi della policy.

# Test delle policy IAM con il simulatore di policy IAM
<a name="access_policies_testing-policies"></a>

Per ulteriori informazioni su come è perché utilizzare le policy IAM, consulta [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md).

**[Puoi accedere alla console IAM Policy Simulator all'indirizzo:/https://policysim.aws.amazon.com](https://policysim.aws.amazon.com/)**

**Importante**  
I risultati del simulatore di policy possono differire dal tuo ambiente reale AWS . Ti consigliamo di verificare le tue politiche rispetto AWS all'ambiente reale dopo averle testate utilizzando il simulatore di policy per confermare di avere i risultati desiderati. Per ulteriori informazioni, consulta [Come funziona il simulatore di policy IAM](#policies_policy-simulator-how-it-works).

 

Con il simulatore di policy IAM è possibile testare e risolvere i problemi relativi a policy basate sulle identità e limiti delle autorizzazioni IAM. Di seguito sono elencate alcune operazioni comuni che è possibile eseguire con il simulatore di criteri:
+ Esegui il test delle policy basate su identità collegate a utenti IAM, gruppi IAM o ruoli IAM nel tuo Account AWS. Se più di una policy è collegata all'utente, al gruppo di utenti o al ruolo, è possibile testare tutte le policy oppure selezionare le policy individuali da testare. È possibile testare quali azioni sono consentite o negate dalle policy selezionate per le risorse specifiche.
+ Verifica e risolvi i problemi relativi all'effetto dei [limiti delle autorizzazioni](access_policies_boundaries.md) sulle entità IAM. È possibile simulare solo un limite delle autorizzazioni alla volta.
+ Testa gli effetti delle policy basate sulle risorse su utenti IAM che sono collegati a risorse AWS , ad esempio i bucket Amazon S3, le code Amazon SQS, gli argomenti di Amazon SNS o i vault di Amazon Glacier. Per utilizzare una policy basata sulle risorse nel simulatore per gli utenti IAM, è necessario includere la risorsa nella simulazione. È inoltre necessario selezionare la casella di controllo per includere la policy di tale risorsa nella simulazione.
**Nota**  
La simulazione di policy basate sulle risorse non è supportata per i ruoli IAM.
+ Se fai Account AWS parte di un'organizzazione in [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/), puoi testare l'impatto delle politiche di controllo dei servizi (SCPs) sulle tue politiche basate sull'identità.
**Nota**  
Il simulatore di policy non valuta SCPs che esistano condizioni.
+ Esegui il test di nuove policy basate sull'identità che non sono ancora collegate a un utente, a un gruppo di utenti o a un ruolo digitandole o copiandole nel simulatore. Queste vengono utilizzate nella simulazione e non vengono salvate. Non è possibile digitare o copiare una policy basata su risorse nel simulatore.
+ Esegui il test delle policy basate sull'identità con i servizi, le operazioni e le risorse selezionati. Ad esempio, puoi eseguire il test per assicurarti che la policy consenta a un'entità di eseguire le operazioni `ListAllMyBuckets`, `CreateBucket` e `DeleteBucket` nel servizio Amazon S3 su un determinato bucket.
+ Simulare scenari reali fornendo chiavi di contesto, ad esempio un indirizzo IP o una data, inclusi in elementi `Condition` nella policy testate.
**Nota**  
Il simulatore di policy non simula i tag forniti come input se la policy basata sull'identità nella simulazione non ha un elemento `Condition` che controlli esplicitamente i tag.
+ Identifica quali istruzioni specifiche in una policy risultano nel consenso o nella negazione dell'accesso a un'operazione o risorsa specifica. 

**Topics**
+ [

## Come funziona il simulatore di policy IAM
](#policies_policy-simulator-how-it-works)
+ [

## Autorizzazioni necessarie per l'utilizzo del simulatore di policy IAM
](#permissions-required_policy-simulator)
+ [

## Utilizzo del simulatore di policy IAM (console)
](#policies_policy-simulator-using)
+ [

## Utilizzo del simulatore di policy IAM (e dell'API)AWS CLI AWS
](#policies-simulator-using-api)

## Come funziona il simulatore di policy IAM
<a name="policies_policy-simulator-how-it-works"></a>

Il simulatore di policy valuta le dichiarazioni contenute nella policy basata sull'identità e gli input forniti durante la simulazione. I risultati del simulatore di policy possono differire dal tuo ambiente AWS reale. Ti consigliamo di verificare le tue politiche rispetto al tuo AWS ambiente reale dopo averle testate utilizzando il simulatore di policy per confermare di avere i risultati desiderati.

Il simulatore di policy si differenzia dall' AWS ambiente live nei seguenti modi: 
+ Il simulatore di policy non effettua una richiesta di AWS servizio effettiva, quindi puoi testare in sicurezza le richieste che potrebbero apportare modifiche indesiderate al tuo ambiente live. AWS Il simulatore di policy non considera i valori chiave del contesto reale nella produzione.
+ Poiché il simulatore non simula l'esecuzione delle azioni selezionate, non può segnalare alcuna risposta alla richiesta simulata. L'unico risultato restituito è se l'operazione richiesta è consentita o negata.
+ Se si modifica una policy nel simulatore, queste modifiche riguarderanno solo il simulatore. La politica corrispondente nella vostra azienda Account AWS rimane invariata.
+ Non è possibile testare le politiche di controllo del servizio (SCPs) con nessuna condizione.
+ Il simulatore di policy non supporta la simulazione per le politiche di controllo delle risorse ()RCPs.
+ Il simulatore di policy non supporta la simulazione per i ruoli IAM e gli utenti per l'accesso multi-account.

**Nota**  
Il simulatore di policy IAM non determina quali servizi supportano [le chiavi di condizione globali](reference_policies_condition-keys.md) per l'autorizzazione. Ad esempio, il simulatore di policy non identifica che un servizio non supporta [`aws:TagKeys`](reference_policies_condition-keys.md#condition-keys-tagkeys).

## Autorizzazioni necessarie per l'utilizzo del simulatore di policy IAM
<a name="permissions-required_policy-simulator"></a>

È possibile utilizzare la console del simulatore di policy o l'API del simulatore di policy per testare le policy. Per impostazione predefinita, gli utenti della console possono testare le policy che non sono ancora collegate a un utente, a un gruppo di utenti o a un ruolo digitandole o copiandole nella console del simulatore di policy. Queste regole vengono utilizzate nella simulazione e non rivelano informazioni sensibili. Gli utenti API devono avere le autorizzazioni per testare le policy non associate. Puoi consentire agli utenti della console o dell'API di testare le policy collegate a utenti IAM, gruppi IAM o ruoli nell' Account AWS. A tale scopo, è necessario fornire l'autorizzazione per recuperare tali criteri. Per testare policy basate su risorse, gli utenti devono avere l'autorizzazione di recuperare la policy della risorsa.

Per esempi di policy di console o API che consentono a un utente di simulare le policy, consultare [Politiche di esempio: AWS Identity and Access Management (IAM)](access_policies_examples.md#policy_library_IAM).

### Autorizzazioni necessarie per l'utilizzo della console del simulatore di policy
<a name="permissions-required_policy-simulator-console"></a>

Puoi consentire agli utenti di testare le policy collegate a utenti IAM, gruppi IAM o ruoli nel tuo Account AWS. A tale scopo, è necessario fornire agli utenti le autorizzazioni per recuperare tali criteri. Per testare policy basate su risorse, gli utenti devono avere l'autorizzazione di recuperare la policy della risorsa.

Per visualizzare un esempio di policy che consente di utilizzare la console del simulatore di policy per policy associate a un utente, a un gruppo di utenti o a un ruolo, consulta [IAM: accesso alla console del simulatore di policy](reference_policies_examples_iam_policy-sim-console.md). 

Per visualizzare una policy di esempio che consente l'utilizzo della console del simulatore della policy solo agli utenti con un percorso specifico, consultare [IAM: accesso alla console del simulatore di policy in base al percorso utente](reference_policies_examples_iam_policy-sim-path-console.md).

Per creare una policy per consentire l'utilizzo della console del simulatore di policy per solo un tipo di entità, utilizzare le seguenti procedure.

**Per consentire agli utenti della console di simulare le policy per gli utenti**  
Includere le seguenti operazioni nella policy:
+ `iam:GetGroupPolicy`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetUser`
+ `iam:GetUserPolicy`
+ `iam:ListAttachedUserPolicies`
+ `iam:ListGroupsForUser`
+ `iam:ListGroupPolicies`
+ `iam:ListUserPolicies`
+ `iam:ListUsers`

**Per consentire agli utenti della console di simulare le policy per i gruppi IAM**  
Includere le seguenti operazioni nella policy:
+ `iam:GetGroup`
+ `iam:GetGroupPolicy`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:ListAttachedGroupPolicies`
+ `iam:ListGroupPolicies`
+ `iam:ListGroups`

**Per consentire agli utenti della console di simulare le policy per i ruoli**  
Includere le seguenti operazioni nella policy:
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetRole`
+ `iam:GetRolePolicy`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListRolePolicies`
+ `iam:ListRoles`

Per testare policy basate su risorse, gli utenti devono avere l'autorizzazione di recuperare la policy della risorsa.

**Come consentire agli utenti della console di testare le policy basate su risorse in un bucket Amazon S3**  
Includere la seguente operazione nella policy:
+ `s3:GetBucketPolicy`

Ad esempio, la policy seguente utilizza questa operazione per consentire agli utenti della console di simulare una policy basata sulle risorse in un bucket Amazon S3 specifico.

------
#### [ JSON ]

****  

```
{
        "Version":"2012-10-17",		 	 	 
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "s3:GetBucketPolicy",
            "Resource":"arn:aws:s3:::bucket-name/*"
          }
        ]
      }
```

------

### Autorizzazioni necessarie per l'utilizzo dell'API del simulatore di policy
<a name="permissions-required_policy-simulator-api"></a>

L'API del simulatore di politiche [GetContextKeyForCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeyForCustomPolicy.html)funziona e [SimulateCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html)consente di testare le politiche che non sono ancora associate a un utente, gruppo di utenti o ruolo. Per testare tali criteri, è possibile passare i criteri come stringhe all'API. Queste regole vengono utilizzate nella simulazione e non rivelano informazioni sensibili. Puoi inoltre utilizzare l'API per verificare le policy collegate a utenti IAM, gruppi IAM o ruoli nell' Account AWS. A tale scopo, è necessario fornire agli utenti le autorizzazioni per chiamare [GetContextKeyForPrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeyForPrincipalPolicy.html)e. [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)

Per visualizzare un esempio di policy che consente di utilizzare l'API Policy Simulator per le policy allegate e non collegate nella versione corrente Account AWS, consulta. [IAM: accesso all'API del simulatore di policy](reference_policies_examples_iam_policy-sim.md) 

Per creare una policy che consente l'utilizzo dell'API del simulatore di policy per solo un tipo di policy, utilizzare le seguenti procedure.

**Per consentire agli utenti di un'API di simulare le policy passate direttamente all'API come stringhe**  
Includere le seguenti operazioni nella policy:
+ `iam:GetContextKeysForCustomPolicy`
+ `iam:SimulateCustomPolicy`

**Per consentire agli utenti di un'API di simulare le policy collegate a utenti IAM, gruppi IAM, ruoli o risorse**  
Includere le seguenti operazioni nella policy:
+ `iam:GetContextKeysForPrincipalPolicy`
+ `iam:SimulatePrincipalPolicy`

Ad esempio, per offrire a un utente di nome Bob l'autorizzazione a simulare una policy che è assegnata a un utente di nome Alice, fornire accesso a Bob alla seguente risorsa: `arn:aws:iam::777788889999:user/alice`. 

Per visualizzare una policy di esempio che consente l'utilizzo dell'API del simulatore della policy solo agli utenti con un percorso specifico, consultare [IAM: accesso all'API simulatore di policy basata sul percorso degli utenti](reference_policies_examples_iam_policy-sim-path.md).

## Utilizzo del simulatore di policy IAM (console)
<a name="policies_policy-simulator-using"></a>

Per impostazione predefinita, gli utenti possono testare le policy che non sono ancora collegate a un utente, a un gruppo di utenti o a un ruolo digitandole o copiandole nella console del simulatore di policy. Queste regole vengono utilizzate nella simulazione e non rivelano informazioni sensibili. 

**Come eseguire il test di una policy non collegata a un utente, un gruppo di utenti o un ruolo (console)**

1. [Apri la console del simulatore di policy IAM all'indirizzo:/. https://policysim.aws.amazon.com](https://policysim.aws.amazon.com/)

1. Nel menu **Mode: (Modalità:)** nella parte superiore della pagina, selezionare **New Policy (Nuova policy)**.

1. In **Policy Sandbox (Sandbox policy)**, selezionare **Create New Policy (Crea nuova policy)**.

1. Digita o copia una policy nel simulatore e utilizza il simulatore come descritto di seguito.

Dopo avere ottenuto l'autorizzazione per utilizzare la console del simulatore di policy IAM, è possibile utilizzare il simulatore per testare un utente IAM, un gruppo di utenti, un ruolo o una policy di risorsa.

**Come eseguire il test di una policy collegata a un utente, un gruppo di utenti o un ruolo (console)**

1. [Apri la console del simulatore di policy IAM all'indirizzo https://policysim.aws.amazon.com/.](https://policysim.aws.amazon.com/) 
**Nota**  
Per accedere al simulatore di policy come utente IAM, utilizza l'URL di accesso univoco per accedere alla Console di gestione AWS. Visita quindi [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/). Per ulteriori informazioni sull'accesso come utente IAM, consulta [In che modo gli utenti IAM accedono a AWS](id_users_sign-in.md).

   Il simulatore si apre nella modalità **Existing Policies** (Policy esistenti) ed elenca gli utenti IAM nell'account in **Users, Groups, and Roles** (Utenti, gruppi e ruoli).

1. <a name="polsimstep-selectid"></a>Selezionare l'opzione opportuna per la propria attività:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/access_policies_testing-policies.html)
**Suggerimento**  
Per testare una policy collegata al gruppo, puoi avviare il simulatore di policy IAM direttamente dalla [console IAM](https://console.aws.amazon.com/iam/): nel pannello di navigazione, scegli **Gruppi**. Selezionare il nome del gruppo sul quale si desidera testare una policy e selezionare la scheda **Permissions (Autorizzazioni)**. Scegli **Simula**.  
Per testare una policy gestita dal cliente collegata a un utente: nel riquadro di navigazione, selezionare **Users (Utenti)**. Selezionare il nome dell'utente sul quale si desidera testare la policy. Selezionare la scheda **Permissions (Autorizzazioni)** ed espandere la policy che si desidera testare. Più a destra, selezionare **Simulate policy (Simula policy)**. **Simulatore di policy IAM** si apre in una nuova finestra e viene visualizzata la policy selezionata nel riquadro **Policy**.

1. (Facoltativo) Se il tuo account è membro di un'organizzazione in [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/), seleziona la casella di controllo accanto **AWS Organizations SCPs**a per includerlo SCPs nella valutazione simulata. SCPssono politiche JSON che specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa (OU). L'SCP limita le autorizzazioni per le entità negli account membri. Se una SCP blocca un servizio o un'operazione, nessuna entità in tale account può accedere a quel servizio né eseguire questa operazione. Ciò è valido anche se un amministratore esplicitamente concede le autorizzazioni a quell'operazione o servizio tramite una policy IAM o delle risorse. 

   Se l'account non è un membro di un'organizzazione, la casella di controllo non viene visualizzata.

1. (Facoltativo) Puoi eseguire il test di una policy impostata come [limite delle autorizzazioni](access_policies_boundaries.md) per un'entità IAM (utente o ruolo), ma non per i gruppi IAM. Se un criterio limite delle autorizzazioni è attualmente impostato per l'entità, verrà visualizzato nel riquadro **Criteri** . È possibile impostare solo un limite delle autorizzazioni per un'entità. Per testare un limite di autorizzazioni diverso, è possibile creare un limite di autorizzazioni personalizzato. A tale scopo, scegliere **Crea nuovo criterio**. Viene aperto un nuovo riquadro **Criteri** . Nel menu, scegliere **Criteri di limite autorizzazioni IAM personalizzate**. Immettere un nome per il nuovo criterio e digitare o copiare un criterio nello spazio sottostante. Scegliere **Applica** per salvare il criterio. Quindi, scegliere **Indietro** per tornare al riquadro **Criteri** originale. Seleziona quindi la casella di controllo accanto al limite delle autorizzazioni che desideri utilizzare per la simulazione. 

1. <a name="polsimstep-polsubset"></a>(Facoltativo) Puoi eseguire il test solo di un sottoinsieme di policy collegate a un utente, un gruppo di utenti o un ruolo. A tale scopo, nel riquadro **Policy** deseleziona la casella di controllo accanto a ciascuna policy che desideri escludere.

1. <a name="polsimstep-service"></a>In **Policy Simulator (Simulatore di policy)**, selezionare **Select service (Seleziona servizio)** e scegliere il servizio da testare. Selezionare **Select actions (Seleziona operazioni)** e scegliere una o più operazioni da testare. Sebbene i menu mostrino le opzioni disponibili per un solo servizio alla volta, tutti i servizi e le operazioni selezionati vengono visualizzati in **Action Settings and Results (Impostazioni e risultati operazione)**. 

1. (Facoltativo) Se una delle policy che scegli in [Step 2](#polsimstep-selectid) e [Step 5](#polsimstep-polsubset) include condizioni con le [*chiavi della condizione globale di AWS*](reference_policies_condition-keys.md), devi fornire i valori per tali chiavi. È possibile eseguire questa operazione espandendo la sezione **Global Settings (Impostazioni globali)** e digitando i valori per i nomi chiave visualizzati.
**avvertimento**  
Se si lascia il valore di una condizione chiave vuoto, tale chiave viene ignorata durante la simulazione. In alcuni casi, questo genera un errore e non è possibile eseguire la simulazione. In altri casi, la simulazione viene eseguita, ma i risultati possono non essere affidabili. In questi casi, la simulazione non corrisponde alle condizioni reali che includono un valore per la chiave o la variabile della condizione.

1. (Facoltativo) Ogni operazione selezionata viene mostrata nell'elenco **Action Settings and Results (Impostazioni e risultati operazione)** con **Not simulated (Non simulata)** nella colonna **Permission (Autorizzazione)** finché effettivamente la simulazione non viene eseguita. Prima di eseguire la simulazione, è possibile configurare ciascuna operazione con una risorsa. Per configurare le operazioni individuali per un determinato scenario, selezionare la freccia per espandere la riga dell'operazione. Se l'operazione supporta le autorizzazioni a livello di risorsa, è possibile digitare l'[Amazon Resource Name (ARN)](reference_identifiers.md#identifiers-arns) della risorsa specifica di cui si desidera testare l'accesso. Come impostazione predefinita, ogni risorsa è impostata su un carattere jolly (\$1). È anche possibile specificare un valore per qualsiasi [chiave di contesto della condizione](reference_policies_actions-resources-contextkeys.html). Come indicato in precedenza, le chiavi con valori vuoti vengono ignorate, ciò può provocare errori di simulazione o risultati inaffidabili.

   1. Selezionare la freccia accanto al nome dell'operazione per espandere ogni riga e configurare qualsiasi informazioni aggiuntive necessarie per simulare accuratamente l'operazione nel proprio scenario. Se l'operazione richiede autorizzazioni a livello di risorsa, è possibile digitare l'[Amazon Resource Name (ARN)](reference_identifiers.md#identifiers-arns) della risorsa specifica alla quale si desidera simulare l'accesso. Come impostazione predefinita, ogni risorsa è impostata su un carattere jolly (\$1).

   1. Se l'operazione supporta autorizzazioni a livello di risorsa, ma non le richiede, è possibile selezionare **Add Resource (Aggiungi risorsa)** per selezionare il tipo di risorsa che si desidera aggiungere alla simulazione. 

   1. Se nessuna delle policy selezionate include un elemento`Condition` che fa riferimento a una chiave contestuale per il servizio di questa operazione, tale nome della chiave è visualizzato sotto l'operazione. È possibile specificare il valore da utilizzare durante la simulazione di quell'operazione per la risorsa specificata.
<a name="resource-scenarios"></a>
**Operazioni che richiedono diversi gruppi di tipi di risorse**  
Alcune operazioni richiedono diversi tipi di risorse in circostanze diverse. Ogni gruppo di tipi di risorse è associato a uno scenario. Se uno di questi si applica alla propria simulazione, selezionarlo e il simulatore richiederà i tipi di risorse appropriate per tale scenario. L'elenco seguente mostra ciascuna delle opzioni di scenari supportate e le risorse che è necessario definire per eseguire la simulazione.

   Ognuno dei seguenti scenari di Amazon EC2 richiede che vengano specificate le risorse `instance`, `image` e `security-group`. Se il proprio scenario include un volume EBS, è necessario specificare quel `volume` come una risorsa. Se lo scenario di Amazon EC2 include un virtual private cloud (VPC), è necessario fornire la risorsa `network-interface`. Se include una sottorete IP, è necessario specificare la risorsa `subnet`. Per ulteriori informazioni sulle opzioni dello scenario di Amazon EC2, consulta [Piattaforme supportate](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-platforms.html)nella *Guida per l'utente di Amazon EC2*.
   + **EC2-VPC- InstanceStore**

     istanza, immagine, gruppo di sicurezza, interfaccia di rete
   + **EC2-VPC- -Sottorete InstanceStore**

     istanza, immagine, gruppo di sicurezza, interfaccia di rete, sottorete
   + **EC2-VPC-EBS**

     istanza, immagine, gruppo di sicurezza, interfaccia di rete, volume
   + **EC2-VPC-EBS-Subnet**

     istanza, immagine, gruppo di sicurezza, interfaccia di rete, sottorete, volume

1. <a name="polsimstep-respol"></a>(Facoltativo) Se si desidera includere una policy basate su risorse nella simulazione, è necessario selezionare le operazioni che si desidera simulare su quella risorsa [Step 6](#polsimstep-service). Espandere le righe per le operazioni selezionate e digitare il nome ARN della risorsa con una policy che si desidera simulare. Selezionare **Include Resource Policy (Includi policy delle risorse)** accanto alla casella di testo **ARN**. Il simulatore di policy IAM attualmente supporta policy basate su risorse solo per i seguenti servizi: Amazon S3 (solo policy basate sulle risorse; ACLs attualmente non sono supportate), Amazon SQS, Amazon SNS e vault Amazon Glacier sbloccati (gli archivi bloccati non sono attualmente supportati).

1. Selezionare **Run Simulation (Esegui simulazione)** nell'angolo in alto a destra.

   La colonna **Permission (Autorizzazione)** in ogni riga di **Action Settings e Results (Impostazioni e risultati operazione)** visualizza il risultato di simulazione di tale operazione nella risorsa specificata.

1. Per vedere quale dichiarazione di una policy ha esplicitamente consentito o negato un'azione, scegli il link delle **affermazioni *N* corrispondenti** nella colonna **Autorizzazioni** per espandere la riga. Selezionare il collegamento **Show statement (Mostra istruzione)**. Il riquadro **Policies (Policy)** mostra la policy rilevante con l'istruzione che ha interessato i risultati della simulazione evidenziata.
**Nota**  
Se un'operazione è *implicitamente* rifiutata: ovvero, se l'operazione è rifiutata solo perché non è consentito in modo esplicito; le opzioni **Elenco** e **Mostra istruzione** non vengono visualizzate.

### Risoluzione dei problemi dei messaggi della console del simulatore di policy IAM
<a name="iam-policy-simulator-messages"></a>

La tabella seguente elenca i messaggi informativi e di avviso che possono essere restituiti quando si utilizza il simulatore delle policy IAM. La tabella fornisce inoltre una procedura per risolverli. 


****  

| Messaggio | Procedura per la risoluzione | 
| --- | --- | 
| Questa policy è stata modificata. Le modifiche non saranno salvate al tuo account.  |   **Nessuna operazione necessaria.**  Questo messaggio è informativo. Se modifichi una policy esistente nel simulatore di policy IAM, tale modifica non influisce sull' Account AWS. Il simulatore di policy consente di modificare le policy solo a scopo di test.  | 
| Impossibile ottenere le policy delle risorse. Motivo: detailed error message | Il simulatore di policy non è in grado di accedere a una policy basata sulle risorse necessaria. Verificare che il nome ARN specificato della risorsa sia corretto e che l'utente che esegue la simulazione abbia l'autorizzazione di leggere la policy della risorsa. | 
| Una o più policy richiedono valori nelle impostazioni della simulazione. La simulazione potrebbe non riuscire senza questi valori.  |  Questo messaggio viene visualizzato se la policy che si sta testando contiene variabili o chiavi di condizione, ma non sono stati forniti valori per queste chiavi o variabili in **Simulation Settings (Impostazioni simulazione)**. Per chiudere questo messaggio, selezionare **Impostazioni simulazione** e digitare un valore per ogni variabile o chiave della condizione.  | 
| Sono state modificate delle policy. Questi risultati non sono più validi.  |  Questo messaggio viene visualizzato se si modifica la policy selezionata mentre i risultati sono visualizzati nel riquadro **Results (Risultati)**. I risultati illustrati nel riquadro **Results (Risultati)** non sono aggiornati dinamicamente. Per chiudere questo messaggio, selezionare nuovamente **Run Simulation (Esegui simulazione)** per visualizzare i nuovi risultati di simulazione in base alle modifiche apportate nel riquadro **Policies (Policy)**.  | 
| La risorsa digitata per questa simulazione non corrisponde a questo servizio.  |  Questo messaggio viene visualizzato se è stato digitato un Amazon Resource Name (ARN) nel riquadro **Simulation Settings (Impostazioni simulazione)** che non corrisponde al servizio scelto per la simulazione corrente. Ad esempio, questo messaggio viene visualizzato se viene specificato un ARN per una risorsa Amazon DynamoDB, ma si seleziona Amazon Redshift come servizio da simulare. Per chiudere questo messaggio, procedere in uno dei seguenti modi:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/access_policies_testing-policies.html)  | 
| Questa azione appartiene a un servizio che supporta meccanismi speciali di controllo degli accessi oltre a politiche basate sulle risorse, come le politiche di blocco del vault di Amazon S3 o ACLs Amazon Glacier. Il simulatore di policy non supporta questi meccanismi, perciò i risultati possono variare in base all'ambiente di produzione.  |   **Nessuna operazione necessaria.**  Questo messaggio è informativo. Nella versione corrente, il simulatore di policy valuta le policy collegate a utenti e gruppi IAM; è inoltre in grado di valutare le policy basate su risorse per Amazon S3, Amazon SQS, Amazon SNS e Amazon Glacier. Il simulatore di policy non supporta tutti i meccanismi di controllo degli accessi supportati da altri servizi AWS .  | 
| DynamoDB FGAC attualmente non è supportata.  |   **Nessuna operazione necessaria.**  Questo messaggio informativo si riferisce a un *controllo granulare degli accessi*. Il controllo granulare degli accessi è la possibilità di utilizzare le condizioni delle policy IAM per determinare chi può accedere a singoli elementi di dati e attributi nelle tabelle e negli indici DynamoDB. Si riferisce anche alle azioni che possono essere eseguite su queste tabelle e indici. La versione corrente del simulatore di policy IAM non supporta questo tipo di condizione di policy. Per ulteriori informazioni sul controllo granulare degli accessi a DynamoDB, consulta [Controllo granulare degli accessi per DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/FGAC_DDB.html).  | 
| Si dispone di policy che non rispettano la sintassi della policy. È possibile utilizzare il validatore della policy per rivedere gli aggiornamenti consigliati per le policy.  |  Questo messaggio viene visualizzato nella parte superiore dell'elenco della policy se si dispone di policy che non sono conformi alla sintassi delle policy IAM. Per simulare queste policy, consultare le opzioni di convalida delle policy all'indirizzo [Convalida delle policy IAM](access_policies_policy-validator.md) per identificare e correggere le policy.  | 
|  Questa policy deve essere aggiornata per essere conforme alle regole più recenti della sintassi della policy.  |  Questo messaggio viene visualizzato se si dispone di policy che non sono conformi alla grammatica della policy IAM. Per simulare queste policy, consultare le opzioni di convalida delle policy all'indirizzo [Convalida delle policy IAM](access_policies_policy-validator.md) per identificare e correggere le policy.  | 

## Utilizzo del simulatore di policy IAM (e dell'API)AWS CLI AWS
<a name="policies-simulator-using-api"></a>

I comandi del simulatore di policy richiedono solitamente il richiamo delle operazioni API per eseguire due operazioni:

1. Valutare le policy e restituire l'elenco delle chiavi di contesto alle quali fanno riferimento. È necessario sapere a quali chiavi contestuali viene fatto riferimento in modo da potervi fornire valori nella fase successiva.

1. Simulare le policy, fornendo un elenco di operazioni, risorse e chiavi di contesto utilizzate durante la simulazione.

Per motivi di sicurezza, le operazioni API sono state suddivise in due gruppi:
+ Le operazioni API che simulano solo le policy che vengono passate direttamente all'API come stringhe. Questo set include [GetContextKeysForCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html)e. [SimulateCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html)
+ Le operazioni API che simulano le policy che sono collegate a un utente, gruppo di utenti, ruolo o risorsa IAM specifici. Poiché queste operazioni API possono rivelare i dettagli delle autorizzazioni assegnate ad altre entità IAM, è consigliabile limitare l'accesso a queste operazioni API. Questo set include [GetContextKeysForPrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html)e [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html). Per ulteriori informazioni su come limitare l'accesso alle operazioni API;, consultare [Politiche di esempio: AWS Identity and Access Management (IAM)](access_policies_examples.md#policy_library_IAM).

In entrambi i casi, le operazioni API simulano l'effetto di una o più policy su un elenco di operazioni e risorse. Ogni operazione è associata a ciascuna risorsa e la simulazione determina se le policy permettono o negano l'operazione per quella risorsa. È anche possibile fornire i valori per chiavi di contesto alle quali fanno riferimento le policy. È possibile ottenere l'elenco delle chiavi di contesto alle quali fanno riferimento le policy chiamando prima [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html) o [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html). Se non si fornisce un valore per una chiave di contesto, la simulazione viene ancora eseguita. Tuttavia, i risultati potrebbero non essere affidabili, perché il simulatore non può includere quella chiave di contesto nella valutazione.

**Per ottenere l'elenco delle chiavi contestuali (AWS CLI, AWS API)**  
Utilizzare quanto segue per valutare un elenco di policy e restituire un elenco di chiavi di contesto utilizzate nella policy.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-custom-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-custom-policy.html) e [https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-principal-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-principal-policy.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html)e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html)

**Per simulare le politiche IAM (AWS CLI, AWS API)**  
Utilizza quanto segue per simulare le policy IAM per determinare le autorizzazioni valide di un utente.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-custom-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-custom-policy.html) e [https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-principal-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-principal-policy.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html)e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)

# Aggiunta e rimozione di autorizzazioni per identità IAM
<a name="access_policies_manage-attach-detach"></a>

Puoi utilizzare le policy per definire le autorizzazioni per una identità (utente, gruppo di utenti o ruolo). Puoi aggiungere e rimuovere le autorizzazioni allegando e scollegando le policy IAM per un'identità utilizzando Console di gestione AWS, the AWS Command Line Interface (AWS CLI) o l'API. AWS Puoi usare le policy anche per impostare [limiti delle autorizzazioni](access_policies_boundaries.md) solo per le entità (utenti o ruoli) che utilizzano gli stessi metodi. I limiti delle autorizzazioni sono una AWS funzionalità avanzata che controlla il numero massimo di autorizzazioni che un'entità può avere.

**Topics**
+ [

## Terminologia
](#attach-detach-etc-terminology)
+ [

## Visualizzazione dell'attività delle identità
](#attach-detach_prerequisites)
+ [

## Aggiunta di autorizzazioni per identità IAM (console)
](#add-policies-console)
+ [

## Rimozione delle autorizzazioni per le identità IAM (console)
](#remove-policies-console)
+ [

## Aggiunta di policy IAM (AWS CLI)
](#add-policy-cli)
+ [

## Rimozione di policy IAM (AWS CLI)
](#remove-policy-cli)
+ [

## Aggiungere politiche IAM (AWS API)
](#add-policy-api)
+ [

## Rimuovere le politiche IAM (API)AWS
](#remove-policy-api)

## Terminologia
<a name="attach-detach-etc-terminology"></a>

Quando associ le policy di autorizzazione alle identità (utenti IAM, gruppi IAM e ruoli IAM), la terminologia e le procedure variano a seconda che lavori con una policy gestita o con una policy in linea:
+ **Collega**: utilizzato con le policy gestite. Una policy gestita si collega a un'identità (utente, gruppo di utenti o ruolo). Il collegamento di una policy prevede l'applicazione delle sue autorizzazioni all'identità.
+ **Distacca**: utilizzato con le policy gestite. Una policy gestita viene scollegata da un'identità IAM (utente, gruppo di utenti o ruolo). Il distaccamento di una policy prevede la rimozione delle sue autorizzazioni dall'identità.
+ **Integra**: utilizzato con le policy in linea. Una policy in linea viene integrata in una identità (utente, gruppo di utenti o ruolo). L'incorporamento di un policy prevede l'applicazione delle sue autorizzazioni all'identità. Poiché una policy inline è memorizzata nell'identità, è incorporata anziché collegata, anche se i risultati sono simili.
**Nota**  
Puoi incorporare una policy inline per un *[ruolo collegato al servizio](id_roles.md#iam-term-service-linked-role)* solo in un servizio che dipende dal ruolo. Consulta la [Documentazione di AWS](https://docs.aws.amazon.com/) relativa al servizio per scoprire se questa funzionalità è supportata.
+ **Elimina**: utilizzato con le policy in linea. Una policy in linea viene eliminata da un'identità IAM (utente, gruppo di utenti o ruolo). L'eliminazione di una policy rimuove le sue autorizzazioni dall'identità.
**Nota**  
Puoi eliminare una policy inline per un *[ruolo collegato al servizio](id_roles.md#iam-term-service-linked-role)* solo in un servizio che dipende dal ruolo. Consulta la [Documentazione di AWS](https://docs.aws.amazon.com/) relativa al servizio per scoprire se questa funzionalità è supportata.

Puoi utilizzare la console o l' AWS CLI AWS API per eseguire una qualsiasi di queste azioni.

### Ulteriori informazioni
<a name="terminology-more-info-roles-policies"></a>
+ Per ulteriori informazioni sulle differenze tra policy gestite e policy inline, consulta [Policy gestite e policy inline](access_policies_managed-vs-inline.md). 
+ Per ulteriori informazioni sui limiti delle autorizzazioni, consultare [Limiti delle autorizzazioni per le entità IAM](access_policies_boundaries.md).
+ Per informazioni generali sulle policy IAM, consulta [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md).
+ Per ulteriori informazioni sulla convalida delle policy IAM, consulta [Convalida delle policy IAM](access_policies_policy-validator.md).
+ Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).

## Visualizzazione dell'attività delle identità
<a name="attach-detach_prerequisites"></a>

Prima di modificare le autorizzazioni per un'identità (utente, gruppo di utenti o ruolo), è opportuno esaminare la sua attività recente a livello di servizio. È un'opzione importante per non rimuovere l'accesso da parte di un principale (persona o applicazione) che la sta utilizzando. Per ulteriori informazioni sulla visualizzazione delle ultime informazioni di accesso, vedere [Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso](access_policies_last-accessed.md).

## Aggiunta di autorizzazioni per identità IAM (console)
<a name="add-policies-console"></a>

Puoi utilizzare il Console di gestione AWS per aggiungere autorizzazioni a un'identità (utente, gruppo di utenti o ruolo). A tale scopo, collega le policy gestite che controllano le autorizzazioni oppure specifica una policy che funga da [limite delle autorizzazioni](access_policies_boundaries.md). È inoltre possibile incorporare una policy inline.<a name="access_policies_manage-attach-detach-console"></a>

**Per usare una policy gestita come policy di autorizzazione per un'identità (console)**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, scegli **Policy**. 

1. Nell'elenco di policy seleziona il pulsante di opzione accanto al nome della policy da collegare. Puoi utilizzare la casella di ricerca per filtrare l'elenco delle policy.

1. Scegli **Operazioni** e seleziona **Collega**.

1. Seleziona una o più identità per collegarle alla policy. Puoi usare la casella di ricerca per filtrare l'elenco delle entità principali. Dopo aver selezionato le identità, scegliere **Attach policy (Collega policy)**.<a name="set-managed-policy-boundary-console"></a>

**Per usare una policy gestita per impostare un limite delle autorizzazioni (console)**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, scegli **Policy**. 

1. Nell'elenco delle policy, scegliere il nome della policy da impostare. Puoi utilizzare la casella di ricerca per filtrare l’elenco di policy.

1. Nella pagina dei dettagli della policy, scegli la scheda **Entità collegate** e quindi, se necessario, apri la sezione **Collega come limite delle autorizzazioni** e seleziona **Imposta la policy come limite delle autorizzazioni**.

1. Selezionare uno o più utenti o ruoli su cui utilizzare la policy per un limite delle autorizzazioni. Puoi usare la casella di ricerca per filtrare l'elenco delle entità principali. Dopo aver selezionato i principali, scegli **Imposta limite autorizzazioni**.<a name="embed-inline-policy-console"></a>

**Per incorporare una policy inline per un utente o un ruolo (console)**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, selezionare **Users (Utenti)** o **Roles (Ruoli)**.

1. Nell'elenco, scegli il nome dell'utente o il ruolo in cui incorporare una policy.

1. Scegli la scheda **Autorizzazioni**. 

1. Scegli **Aggiungi autorizzazioni**, quindi seleziona **Crea policy inline**.

    
**Nota**  
Non è possibile integrare una policy in linea in un *[ruolo collegato ai servizi](id_roles.md#iam-term-service-linked-role)* in IAM. Poiché il servizio collegato definisce se puoi modificare le autorizzazioni del ruolo, potresti aggiungere ulteriori policy dalla console di servizio, dall'API o dall' AWS CLI. Per visualizzare la documentazione del ruolo collegato al servizio per un servizio, consulta la pagina [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md) e scegli **Yes (Sì)** nella colonna **Service-Linked Role (Ruolo collegato al servizio)** per il servizio.

1. Scegli tra i seguenti metodi per visualizzare i passaggi necessari per creare le tue policy:
   + [L'importazione di policy gestite esistenti](access_policies_create-console.md#access_policies_create-copy). È possibile importare una policy gestita all'interno del proprio account e quindi modificare la policy per personalizzarla in base a requisiti specifici. Una policy gestita può essere una policy AWS gestita o una policy gestita dal cliente che hai creato in precedenza.
   + [Creazione di policy con l'editor visivo](access_policies_create-console.md#access_policies_create-visual-editor). È possibile creare una nuova policy da zero nell'editor visivo. Se si utilizza l'editor visivo, non è necessario comprendere la sintassi JSON.
   + [Creazione di policy utilizzando l'editor JSON](access_policies_create-console.md#access_policies_create-json-editor): nell'opzione dell'editor **JSON**, puoi utilizzare la sintassi JSON per creare una policy. È possibile scrivere un nuovo documento di policy JSON o incollare un [esempio di policy](access_policies_examples.md).

1. Una volta creata, una policy inline viene automaticamente incorporata all'utente o al ruolo.

**Come integrare una policy in linea per un gruppo di utenti (console)**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione, seleziona **Gruppi di utenti**.

1. Nell'elenco, scegli il nome del gruppo di utenti in cui integrare una policy.

1. Seleziona la scheda **Autorizzazioni**, quindi **Aggiungi autorizzazioni** e **Crea policy in linea**.

1. Esegui una delle seguenti operazioni:
   + Seleziona l'opzione **Visivo** per creare la policy. Per ulteriori informazioni, consulta [Creazione di policy con l'editor visivo](access_policies_create-console.md#access_policies_create-visual-editor).
   + Scegli l'opzione **JSON** per creare la policy. Per ulteriori informazioni, consulta [Creazione di policy utilizzando l'editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

1. Al termine, scegliere **Create policy (Crea policy)**.<a name="replace-managed-policy-boundary-console"></a>

**Per modificare il limite delle autorizzazioni per una o più entità (console)**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, scegli **Policy**. 

1. Nell'elenco delle policy, scegliere il nome della policy da impostare. Puoi utilizzare la casella di ricerca per filtrare l’elenco di policy.

1. Nella pagina dei dettagli della policy, scegli la scheda **Entità collegate** e quindi, se necessario, apri la sezione **Collega come limite delle autorizzazioni**. Seleziona la casella di controllo accanto agli utenti o ai ruoli i cui limiti devono essere modificati e scegli **Modifica**.

1. Selezionare una nuova policy per l'utilizzo di un limite delle autorizzazioni. Puoi utilizzare la casella di ricerca per filtrare l’elenco di policy. Dopo aver selezionato la policy, scegli **Imposta limite autorizzazioni**.

## Rimozione delle autorizzazioni per le identità IAM (console)
<a name="remove-policies-console"></a>

Puoi utilizzare il Console di gestione AWS per rimuovere le autorizzazioni da un'identità (utente, gruppo di utenti o ruolo). A tale scopo, scollega le policy gestite che controllano le autorizzazioni oppure rimuovi la policy che funge da [limite delle autorizzazioni](access_policies_boundaries.md). È inoltre possibile eliminare una policy inline.<a name="detach-managed-policy-console"></a>

**Per distaccare una policy gestita utilizzata come policy di autorizzazione (console)**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, scegli **Policy**. 

1. Nell'elenco di policy seleziona il pulsante di opzione accanto al nome della policy da scollegare. Puoi utilizzare la casella di ricerca per filtrare l’elenco di policy.

1. Scegli **Operazioni**, quindi **Distacca**.

1. Seleziona le identità da distaccare dalla policy. È possibile utilizzare la casella di ricerca per filtrare l'elenco di identità. Dopo aver selezionato le identità, scegliere **Detach policy (Scollega policy)**.<a name="remove-managed-policy-boundary-console"></a>

**Per rimuovere un limite delle autorizzazioni (console)**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, scegli **Policy**. 

1. Nell'elenco delle policy, scegliere il nome della policy da impostare. Puoi utilizzare la casella di ricerca per filtrare l’elenco di policy.

1. Nella pagina di riepilogo della policy, scegli la scheda **Entità collegate** e quindi, se necessario, apri la sezione **Collega come limite delle autorizzazioni** e scegli le entità da cui rimuovere i limiti delle autorizzazioni. Quindi scegli **Rimuovi limite**.

1. Confermare la rimozione del limite e scegli **Rimuovi limite**.<a name="delete-inline-policy-console"></a>

**Per eliminare una policy inline (console)**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione scegli **Gruppi di utenti**, **Utenti** o **Ruoli**.

1. Nell'elenco, scegli il nome del gruppo di utenti, dell'utente o del ruolo con la policy da rimuovere.

1. Scegli la scheda **Autorizzazioni**.

1. Seleziona la casella di controllo accanto alla policy e scegli **Rimuovi**.

1. Nella finestra di dialogo di conferma seleziona **Rimuovi**.

## Aggiunta di policy IAM (AWS CLI)
<a name="add-policy-cli"></a>

Puoi utilizzare il AWS CLI per aggiungere autorizzazioni a un'identità (utente, gruppo di utenti o ruolo). A tale scopo, collega le policy gestite che controllano le autorizzazioni oppure specifica una policy che funga da [limite delle autorizzazioni](access_policies_boundaries.md). È inoltre possibile incorporare una policy inline.

**Per usare una policy gestita come policy di autorizzazione per un'entità (AWS CLI)**

1. (Facoltativo) Per visualizzare le informazioni su una policy gestita, eseguire i comandi seguenti: 
   + Per elencare le policy gestite: [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Per recuperare informazioni dettagliate su una policy gestita: [get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. Per collegare una policy gestita a un'identità (utente, gruppo di utenti o ruolo), utilizza uno dei seguenti comandi: 
   + [come sono attach-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html)
   + [era io attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
   + [era io attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)

**Per usare una policy gestita per impostare un limite delle autorizzazioni (AWS CLI)**

1. (Facoltativo) Per visualizzare le informazioni su una policy gestita, eseguire i comandi seguenti: 
   + Per elencare le policy gestite: [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Per recuperare informazioni dettagliate su una policy gestita: [aws iam get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. Per usare una policy gestita per impostare il limite delle autorizzazioni per un'entità (utente o ruolo), utilizzare uno dei comandi seguenti: 
   + [era io put-user-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-permissions-boundary.html)
   + [era io put-role-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-permissions-boundary.html)

**Per incorporare una policy inline (AWS CLI)**  
Per integrare una policy in linea in un'identità (utente, gruppo o ruolo che non è un *[ruolo collegato ai servizi](id_roles.md#iam-term-service-linked-role)*), utilizza uno dei seguenti comandi: 
+ [era io put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
+ [era io put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
+ [era io put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)

## Rimozione di policy IAM (AWS CLI)
<a name="remove-policy-cli"></a>

È possibile utilizzare il AWS CLI per scollegare le politiche gestite che controllano le autorizzazioni o rimuovere una politica che funge da limite delle [autorizzazioni](access_policies_boundaries.md). È inoltre possibile eliminare una policy inline.

**Per distaccare una policy gestita utilizzata come policy di autorizzazione (AWS CLI)**

1. (Facoltativo) Per visualizzare le informazioni su una policy, eseguire i comandi seguenti:
   + Per elencare le policy gestite: [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Per recuperare informazioni dettagliate su una policy gestita: [aws iam get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html) 

1. (Facoltativo) Per scoprire le relazioni tra le policy e le identità, eseguire i comandi seguenti:
   + Per elencare le identità (utenti IAM, gruppi IAM e ruoli IAM) a cui è collegata una policy gestita: 
     + [era io list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
   + Per elencare le policy gestite collegate a un'identità (utente, gruppo di utenti o ruolo), usa uno dei comandi seguenti:
     + [era io list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
     + [era io list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
     + [era io list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)

1. Per distaccare una policy gestita da un'identità (utente, gruppo di utenti o ruolo), utilizza uno dei seguenti comandi:
   + [era io detach-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)
   + [era io detach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html)
   + [era io detach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html)

**Per rimuovere un limite delle autorizzazioni (AWS CLI)**

1. (Facoltativo) Per visualizzare la policy gestita attualmente utilizzata per impostare il limite delle autorizzazioni per un utente o ruolo, eseguire i comandi seguenti:
   + [aws iam get-user](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html)
   +  [aws iam get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) 

1. (Facoltativo) Per visualizzare gli utenti o i ruoli su cui si utilizza una policy gestita per un limite delle autorizzazioni, eseguire il comando seguente:
   + [era io list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)

1. (Facoltativo) Per visualizzare le informazioni su una policy gestita, eseguire i comandi seguenti:
   + Per elencare le policy gestite: [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Per recuperare informazioni dettagliate su una policy gestita: [aws iam get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html) 

1. Per rimuovere un limite delle autorizzazioni da un utente o ruolo, utilizzare uno dei comandi seguenti:
   + [era io delete-user-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)
   + [era io delete-role-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-permissions-boundary.html)

**Per eliminare una policy inline (AWS CLI)**

1. (Opzionale) Per elencare tutte le policy in linea che sono collegate a un'identità (utente, gruppo di utenti, ruolo), usa uno dei seguenti comandi:
   + [era io list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
   + [era io list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
   + [era io list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)

1. (Opzionale) Per recuperare un documento di policy in linea che è integrato in un'identità (utente, gruppo di utenti o ruolo), usa uno dei seguenti comandi:
   + [era io get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
   + [era io get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)
   + [era io get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)

1. Per eliminare una policy in linea da un'identità (utente, gruppo di utenti o ruolo che non è un *[ruolo collegato ai servizi](id_roles.md#iam-term-service-linked-role)*), usa uno dei seguenti comandi:
   + [era io delete-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html)
   + [era io delete-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group-policy.html)
   + [era io delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)

## Aggiungere politiche IAM (AWS API)
<a name="add-policy-api"></a>

Puoi utilizzare l' AWS API per allegare policy gestite che controllano le autorizzazioni o specificare una policy che funga da limite di [autorizzazione](access_policies_boundaries.md). È inoltre possibile incorporare una policy inline.

**Per utilizzare una politica gestita come politica di autorizzazioni per un'entità (API)AWS**

1. (Facoltativo) Per visualizzare le informazioni su una policy, chiamare le operazioni seguenti: 
   + Per elencare le politiche gestite: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html) 
   + Per recuperare informazioni dettagliate su una politica gestita: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. Per collegare una policy gestita a un'identità (utente, gruppo di utenti o ruolo), chiama una delle seguenti operazioni:
   + [AttachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachUserPolicy.html)
   + [AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)
   + [AttachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachRolePolicy.html)

**Per utilizzare una politica gestita per impostare un limite di autorizzazioni (API)AWS**

1. (Facoltativo) Per visualizzare le informazioni su una policy gestita, chiamare le operazioni seguenti: 
   + Per elencare le politiche gestite: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Per recuperare informazioni dettagliate su una politica gestita: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. Per usare una policy gestita per impostare il limite delle autorizzazioni per un'entità (utente o ruolo), chiamare una delle operazioni seguenti: 
   + [PutUserPermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPermissionsBoundary.html)
   + [PutRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePermissionsBoundary.html)

**Per incorporare una policy in linea (API)AWS**  
Per integrare una policy in un'identità (utente, gruppo o ruolo che non è un *[ruolo collegato ai servizi](id_roles.md#iam-term-service-linked-role)*), chiama una delle seguenti operazioni:
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)

## Rimuovere le politiche IAM (API)AWS
<a name="remove-policy-api"></a>

Puoi utilizzare l' AWS API per scollegare le policy gestite che controllano le autorizzazioni o rimuovere una policy che funge da limite di [autorizzazione](access_policies_boundaries.md). È inoltre possibile eliminare una policy inline.

**Per scollegare una politica gestita utilizzata come politica di autorizzazioni (API)AWS**

1. (Facoltativo) Per visualizzare le informazioni su una policy, chiamare le operazioni seguenti:
   + Per elencare le politiche gestite: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Per recuperare informazioni dettagliate su una politica gestita: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. (Facoltativo) Per scoprire le relazioni tra le policy e le identità, chiamare le operazioni seguenti:
   + Per elencare le identità (utenti IAM, gruppi IAM e ruoli IAM) a cui è collegata una policy gestita:
     + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
   + Per elencare le policy gestite collegate a un'identità (utente, gruppo di utenti o ruolo), chiama una delle operazioni seguenti:
     + [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
     + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
     + [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)

1. Per distaccare una policy gestita da un'identità (utente, gruppo di utenti o ruolo), chiama una delle seguenti operazioni:
   + [DetachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html)
   + [DetachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachGroupPolicy.html)
   + [DetachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachRolePolicy.html)

**Per rimuovere un limite di autorizzazioni (API)AWS**

1. (Facoltativo) Per visualizzare la policy gestita attualmente utilizzata per impostare il limite delle autorizzazioni per un utente o ruolo, chiamare le operazioni seguenti:
   + [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
   + [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)

1. (Facoltativo) Per visualizzare gli utenti o i ruoli su cui si utilizza una policy gestita per un limite delle autorizzazioni, chiamare l'operazione seguente:
   + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)

1. (Facoltativo) Per visualizzare le informazioni su una policy gestita, chiamare le operazioni seguenti:
   + Per elencare le politiche gestite: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Per recuperare informazioni dettagliate su una politica gestita: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. Per rimuovere un limite delle autorizzazioni da un utente o ruolo, chiamare una delle operazioni seguenti:
   + [DeleteUserPermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPermissionsBoundary.html)
   + [DeleteRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePermissionsBoundary.html)

**Per eliminare una policy in linea (API)AWS**

1. (Opzionale) Per elencare tutte le policy in linea che sono collegate a un'identità (utente, gruppo di utenti, ruolo), chiama una delle seguenti operazioni:
   + [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
   + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
   + [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)

1. (Opzionale) Per recuperare un documento di policy in linea che è integrato in un'identità (utente, gruppo di utenti o ruolo), chiama una delle seguenti operazioni:
   + [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
   + [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)
   + [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)

1. Per eliminare una policy in linea da un'identità (utente, gruppo di utenti o ruolo che non è un *[ruolo collegato ai servizi](id_roles.md#iam-term-service-linked-role)*), chiama una delle seguenti operazioni:
   + [DeleteUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)
   + [DeleteGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroupPolicy.html)
   + [DeleteRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePolicy.html)

# Controllo delle versioni delle policy IAM
<a name="access_policies_managed-versioning"></a>

Quando apporti modifiche a una policy gestita dai clienti IAM e quando AWS apporti modifiche a una policy AWS gestita, la policy modificata non sovrascrive la policy esistente. IAM crea invece una nuova *versione* della policy gestita. IAM memorizza fino a cinque versioni di una policy gestita dal cliente. IAM non supporta il controllo delle versioni per le policy in linea. 

Il diagramma seguente illustra la funzione Versioni multiple per una policy gestita dal cliente. In questo esempio, vengono salvate le versioni 1-4. Puoi salvare fino a cinque versioni delle policy gestite in IAM. Quando si modifica una policy che creerebbe una sesta versione salvata, è possibile scegliere quale versione precedente non memorizzare più. È possibile ripristinare una qualsiasi delle altre quattro versioni salvate in qualsiasi momento.

![\[Le modifiche apportate alle policy gestite diventano nuove versioni della policy\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-managed-policies-versions-overview.diagram.png)


Una versione di policy è diversa da un elemento `Version` della policy. L'elemento di policy `Version` viene utilizzato all'interno di una policy e definisce la versione del linguaggio di policy. Per ulteriori informazioni sull'elemento di policy `Version`, consultare [Elementi delle policy JSON IAM: Version](reference_policies_elements_version.md).

È possibile utilizzare le versioni per tenere traccia delle modifiche apportate a una policy gestita. Ad esempio, è possibile effettuare una modifica a una policy gestita e quindi scoprire che la modifica ha avuto effetti non previsti. In questo caso, è possibile eseguire il rollback a una versione precedente della policy gestita impostando la versione precedente come versione *predefinita*. 

Negli argomenti seguenti viene illustrato come è possibile utilizzare il controllo delle versioni per le policy gestite.

**Topics**
+ [

## Limiti della versione
](#version-limits)
+ [

## Utilizzare le versioni per il rollback delle modifiche
](#versions-roll-back)
+ [

## Autorizzazioni per impostare la versione predefinita di una policy
](#policy-version-permissions)
+ [

## Impostare la versione predefinita di una policy gestita dal cliente
](#default-version)

## Limiti della versione
<a name="version-limits"></a>

Una policy gestita può avere fino a cinque versioni. Se devi apportare modifiche a una policy gestita in più di cinque versioni della AWS Command Line Interface o dell' AWS API, devi prima eliminare una o più versioni esistenti. Se si utilizza la Console di gestione AWS, non è necessario eliminare una versione prima di modificare la politica. Quando si salva una sesta versione, verrà visualizzata una finestra di dialogo che richiede di eliminare una o più versioni non predefinite della policy. È possibile visualizzare il documento della policy JSON per ogni versione per facilitare la scelta. Per ulteriori informazioni su questa finestra di dialogo, consultare [Modificare le policy IAM](access_policies_manage-edit.md).

È possibile eliminare qualsiasi versione di policy gestita desiderata, ad eccezione della versione predefinita. Quando si elimina una versione, gli identificatori di versione per le versioni rimanenti non vengono modificati. Di conseguenza, gli identificativi di versione potrebbero non essere sequenziali. Ad esempio, se si eliminano le versioni v2 e v4 di una policy gestita e si aggiungono due nuove versioni, gli identificativi della versione rimanenti potrebbero essere v1, v3, v5, v6 e v7. 

## Utilizzare le versioni per il rollback delle modifiche
<a name="versions-roll-back"></a>

È possibile impostare la versione predefinita di una policy gestita dal cliente per eseguire il rollback delle modifiche. Si consideri ad esempio lo scenario riportato di seguito:

Crea una policy gestita dal cliente che consenta agli utenti di amministrare un determinato bucket Amazon S3 utilizzando la Console di gestione AWS. Al momento della creazione, la policy gestita dal cliente ha solo una versione, identificata come v1, in modo che questa versione venga automaticamente impostata come predefinita. La policy funziona come previsto. 

Successivamente, si aggiorna la policy per aggiungere l'autorizzazione per amministrare un secondo bucket Amazon S3. IAM crea una nuova versione della policy, identificata come v2, che contiene le modifiche. Imposta la versione v2 come predefinita e poco dopo gli utenti segnalano che non dispongono dell'autorizzazione per utilizzare la console Amazon S3. In questo caso, è possibile ripristinare la versione v1 della policy, che funziona come previsto. Per eseguire questa operazione, è necessario impostare la versione v1 come versione predefinita. Gli utenti sono ora in grado di utilizzare la console Amazon S3 per amministrare il bucket originale. 

Successivamente, dopo aver determinato l'errore nella versione v2 della policy, aggiorna nuovamente la policy per aggiungere l'autorizzazione per amministrare il secondo bucket Amazon S3. IAM crea una nuova versione della policy, identificata come v3. Si imposta quindi la versione v3 come predefinita e questa versione funziona come previsto. A questo punto, si elimina la versione v2 della policy.

## Autorizzazioni per impostare la versione predefinita di una policy
<a name="policy-version-permissions"></a>

Le autorizzazioni necessarie per impostare la versione predefinita di una policy corrispondono alle operazioni API di AWS per l'attività. È possibile utilizzare l'operazione API `CreatePolicyVersion` o `SetDefaultPolicyVersion` per impostare la versione predefinita di una policy. Per consentire a un utente di impostare la versione predefinita di una policy esistente, è possibile consentire l'accesso all'operazione `iam:CreatePolicyVersion` o all'operazione `iam:SetDefaultPolicyVersion`. L'operazione `iam:CreatePolicyVersion` consente di creare una nuova versione della policy e di impostarla come predefinita. L'operazione `iam:SetDefaultPolicyVersion` consente di impostare qualsiasi versione esistente della policy come predefinita.

**Importante**  
Per impedire a un utente di apportare modifiche alla versione predefinita di una policy, è necessario negare sia `iam:CreatePolicyVersion` sia `iam:SetDefaultPolicyVersion`.

È possibile utilizzare la policy seguente per negare a un utente l'accesso per modificare una policy gestita dal cliente esistente:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "iam:CreatePolicyVersion",
                "iam:SetDefaultPolicyVersion"
            ],
            "Resource": "arn:aws:iam::*:policy/POLICY-NAME"
        }
    ]
}
```

------

## Impostare la versione predefinita di una policy gestita dal cliente
<a name="default-version"></a>

Una delle versioni di una policy gestita viene impostata come versione *predefinita*. La versione predefinita della policy è la versione operativa, ovvero, è la versione valida per tutte le entità principali (utenti IAM, gruppi IAM e ruoli IAM) a cui è collegata la policy gestita. 

Quando si crea una policy gestita dal cliente, la policy inizia con una singola versione identificata come v1. Per le policy gestite con una sola versione, tale versione viene automaticamente impostata come predefinita. Per le policy gestite dal cliente con più di una versione, selezionare la versione da impostare come predefinita. Per le politiche AWS gestite, la versione predefinita è impostata da AWS. I seguenti diagrammi illustrano questo concetto. 

![\[Policy gestita con una singola versione, che è la versione predefinita\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-managed-policies-versions-default-one.diagram.png)




![\[Policy gestita dal cliente con tre versioni, in cui la versione v2 è la versione predefinita.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-managed-policies-versions-default-multiple.diagram.png)


Puoi impostare la versione predefinita di una policy gestita dal cliente per applicarla a tutte le identità IAM (utente, gruppo di utenti e ruolo) a cui è collegata la policy. Non è possibile impostare la versione predefinita per una politica AWS gestita o una politica in linea.

**Per impostare la versione predefinita di una policy gestita dal cliente (console)**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, scegli **Policy**.

1. Nell'elenco delle policy, selezionare il nome della policy per cui impostare la versione predefinita. Puoi utilizzare la casella di ricerca per filtrare l'elenco delle policy.

1. Selezionare la scheda **Policy versions (Versioni policy)**. Seleziona la casella di controllo accanto alla versione da impostare come predefinita, quindi scegli **Imposta come predefinita**.

Per informazioni su come impostare la versione predefinita di una policy gestita dal cliente dall'API AWS Command Line Interface o dall' AWS API, consulta[Modificare le policy IAM (AWS CLI)](access_policies_manage-edit-cli.md). 

# Modificare le policy IAM
<a name="access_policies_manage-edit"></a>

Una [policy](access_policies.md) è un'entità che, se viene collegata a un'identità o a una risorsa, ne definisce le autorizzazioni. Le policy sono archiviate AWS come documenti JSON e sono allegate ai principali come policy basate sull'*identità in IAM*. Puoi collegare una policy basata sulle identità a un principale (o identità), ad esempio un gruppo, un utente o un ruolo IAM. [Le politiche basate sull'identità includono politiche gestite, politiche AWS gestite dai clienti e politiche in linea.](access_policies_managed-vs-inline.md) Puoi modificare le politiche gestite dai clienti e le politiche in linea in IAM. AWS le politiche gestite non possono essere modificate. Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).

In genere è preferibile utilizzare politiche gestite dal cliente anziché politiche in linea o politiche AWS gestite. AWS le politiche gestite in genere forniscono ampie autorizzazioni amministrative o di sola lettura. Le policy in linea non possono essere riutilizzate su altre identità o gestite al di fuori dell'identità in cui esistono. Per garantire la massima sicurezza, [concedere un privilegio minimo](best-practices.md#grant-least-privilege), ovvero concedere solo le autorizzazioni necessarie per eseguire attività di processi specifici.

Quando crei o modifichi le policy IAM, AWS puoi eseguire automaticamente la convalida delle policy per aiutarti a creare una policy efficace con il minimo privilegio in mente. Nel Console di gestione AWS, IAM identifica gli errori di sintassi JSON, mentre IAM Access Analyzer fornisce controlli aggiuntivi sulle policy con consigli per aiutarti a perfezionare ulteriormente le tue policy. Per ulteriori informazioni sulla convalida delle policy, consulta [Convalida delle policy IAM](access_policies_policy-validator.md). Per ulteriori informazioni cui controlli delle policy di IAM Access Analyzer e sui suggerimenti utili, consulta [Convalida delle policy di IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).

Puoi utilizzare l' AWS API Console di gestione AWS AWS CLI, o per modificare le policy gestite dai clienti e le policy in linea in IAM. Per ulteriori informazioni sull'utilizzo dei CloudFormation modelli per aggiungere o aggiornare le politiche, consulta il [riferimento ai tipi di AWS Identity and Access Management risorse](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) nella *Guida per l'CloudFormation utente*.

**Topics**
+ [

# Modificare le policy IAM (console)
](access_policies_manage-edit-console.md)
+ [

# Modificare le policy IAM (AWS CLI)
](access_policies_manage-edit-cli.md)
+ [

# Modifica le politiche IAM (AWS API)
](access_policies_manage-edit-api.md)

# Modificare le policy IAM (console)
<a name="access_policies_manage-edit-console"></a>

Una [policy](access_policies.md) è un'entità che, se viene collegata a un'identità o a una risorsa, ne definisce le autorizzazioni. Puoi utilizzare il Console di gestione AWS per modificare le *politiche gestite dai clienti e le politiche* *in linea* in IAM. AWS le politiche gestite non possono essere modificate. Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).

Per ulteriori informazioni sulla sintassi e sulla struttura della policy, consultare [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md) e [Documentazione di riferimento degli elementi delle policy JSON IAM](reference_policies_elements.md).

## Prerequisiti
<a name="edit-customer-managed-policy-console-prerequisites"></a>

Prima di modificare le autorizzazioni per una policy, è opportuno esaminare la sua attività recente a livello di servizio. È un'opzione importante per non rimuovere l'accesso da parte di un principale (persona o applicazione) che la sta utilizzando. Per ulteriori informazioni sulla visualizzazione delle ultime informazioni di accesso, vedere [Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso](access_policies_last-accessed.md).

## Modifica di policy gestite dal cliente (console)
<a name="edit-customer-managed-policy-console"></a>

Puoi modificare le policy gestite dal cliente per cambiare le autorizzazioni in esse definite dalla Console di gestione AWS. Possono esistere fino a cinque versioni di una policy gestita dal cliente. È importante tenere a mente questo limite, perché se apporti modifiche a una policy gestita per più di cinque versioni, la Console di gestione AWS chiede di selezionare una versione da eliminare. Per evitare questo problema, puoi selezionare di modificare la versione predefinita oppure eliminare una versione di una policy prima di apportare modifiche. Per ulteriori informazioni sulle versioni, consultare [Controllo delle versioni delle policy IAM](access_policies_managed-versioning.md).

------
#### [ Console ]

**Per modificare una policy gestita dal cliente**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, scegli **Policy**.

1. Nell'elenco delle policy, selezionare il nome della policy da modificare. Puoi utilizzare la casella di ricerca per filtrare l’elenco di policy.

1. Seleziona la scheda **Autorizzazioni** e scegli **Modifica**. 

1. Esegui una delle seguenti operazioni:
   + Per modificare la policy senza conoscere la sintassi JSON, seleziona l'opzione **Visivo**. Puoi modificare servizi, operazioni, risorse o condizioni opzionali per ogni blocco di autorizzazione della policy. Inoltre, puoi importare una policy per aggiungere ulteriori autorizzazioni nella parte finale. Al termine, seleziona **Successivo** per continuare.
   + Seleziona la scheda **JSON** per modificare la policy, digitando o copiando il testo nella casella JSON. Inoltre, puoi importare una policy per aggiungere ulteriori autorizzazioni nella parte finale. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la [convalida delle policy](access_policies_policy-validator.md), quindi scegli **Next** (Successivo). 
**Nota**  
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Nella pagina **Verifica e salva**, esamina il campo **Autorizzazioni definite in questa policy**, quindi scegli **Salva modifiche** per salvare il lavoro.

1. Se esistono già un massimo di cinque versioni della policy gestita, seleziona **Salva** per visualizzare una finestra di dialogo. Per salvare la nuova versione, la versione non predefinita più vecchia della policy viene rimossa e sostituita con la nuova. Facoltativamente, puoi impostare la nuova versione come versione predefinita della policy.

   Scegli **Salva modifiche** per salvare la nuova versione della policy.

------

## Impostazione della versione predefinita di una policy gestita dal cliente (console)
<a name="edit-customer-managed-policy-console-set-default-policy-version"></a>

Puoi impostare una versione predefinita di una policy gestita dai clienti da Console di gestione AWS. Puoi utilizzare questa policy per stabilire una configurazione di base coerente per le autorizzazioni all’interno dell’organizzazione. Tutti i nuovi allegati della policy utilizzeranno questo insieme standardizzato di autorizzazioni.

------
#### [  Console  ]

**Per impostare la versione predefinita di una policy gestita dal cliente (console)**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, scegli **Policy**.

1. Nell'elenco delle policy, selezionare il nome della policy per cui impostare la versione predefinita. Puoi utilizzare la casella di ricerca per filtrare l'elenco delle policy.

1. Selezionare la scheda **Policy versions (Versioni policy)**. Selezionare la casella di controllo a fianco della versione da impostare come predefinita e selezionare **Set as default (Imposta come predefinita)**.

------

## Eliminazione di una versione di una policy gestita dal cliente (console)
<a name="edit-customer-managed-policy-console-delete-policy-version"></a>

Potrebbe essere necessario eliminare una versione di una policy gestita dal cliente al fine di rimuovere le autorizzazioni obsolete o errate che non sono più necessarie o che presentano potenziali rischi per la sicurezza. Mantenendo solo le versioni necessarie, puoi assicurarti di rimanere entro il limite di cinque versioni di policy gestite, lasciando spazio per futuri aggiornamenti e perfezionamenti. È possibile eliminare una versione di una policy gestita dal cliente dalla Console di gestione AWS.

------
#### [ Console ]

**Per eliminare una versione di una policy gestita dal cliente**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, scegli **Policy**.

1. Selezionare il nome della policy gestita dal cliente di cui eliminare una versione. Puoi utilizzare la casella di ricerca per filtrare l'elenco delle policy.

1. Selezionare la scheda **Policy versions (Versioni policy)**. Selezionare la casella di controllo accanto alla versione da eliminare. Scegli **Elimina**.

1. Confermare l'eliminazione della versione e selezionare **Delete (Elimina)**.

------

## Modifica delle policy in linea (console)
<a name="edit-inline-policy-console"></a>

Potrebbe essere necessario modificare una policy gestita dal cliente al fine di aggiornare o perfezionare le autorizzazioni concesse, assicurandoti che rimangano in linea con i requisiti di sicurezza e le esigenze di controllo degli accessi in evoluzione dell’organizzazione. La modifica consente di adattare il documento JSON della policy, aggiungendo, modificando o rimuovendo operazioni, risorse o condizioni specifiche per mantenere il principio del privilegio minimo e adattarlo ai cambiamenti dell’ambiente o dei processi. Le policy inline possono essere modificate dalla Console di gestione AWS.

------
#### [ Console ]

**Per modificare una policy inline per un utente, un gruppo di utenti o un ruolo**

1. Nel pannello di navigazione scegli **Gruppi**, **Utenti** o **Ruoli**.

1. Scegli il nome dell'utente, del gruppo di utenti o del ruolo con la policy da modificare. Selezionare la scheda **Permissions (Autorizzazioni)** ed espandere la policy.

1. Per modificare una policy inline, selezionare **Edit Policy (Modifica policy)**. 

1. Esegui una delle seguenti operazioni:
   + Per modificare la policy senza conoscere la sintassi JSON, seleziona l'opzione **Visivo**. Puoi modificare servizi, operazioni, risorse o condizioni opzionali per ogni blocco di autorizzazione della policy. Inoltre, puoi importare una policy per aggiungere ulteriori autorizzazioni nella parte finale. Al termine, seleziona **Successivo** per continuare.
   + Seleziona la scheda **JSON** per modificare la policy, digitando o copiando il testo nella casella JSON. Inoltre, puoi importare una policy per aggiungere ulteriori autorizzazioni nella parte finale. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la [convalida delle policy](access_policies_policy-validator.md), quindi scegli **Next** (Successivo). Per salvare le modifiche senza influenzare le entità collegate al momento, deselezionare la casella di controllo **Save as default version (Salva come versione predefinita)**.
**Nota**  
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Nella pagina **Rivedi** consulta il riepilogo della policy e scegli **Salva modifiche** per salvare il lavoro.

------

# Modificare le policy IAM (AWS CLI)
<a name="access_policies_manage-edit-cli"></a>

Una [policy](access_policies.md) è un'entità che, se viene collegata a un'identità o a una risorsa, ne definisce le autorizzazioni. Puoi utilizzare il AWS Command Line Interface (AWS CLI) per modificare *le politiche gestite dai clienti e le politiche* *in linea* in IAM. AWS le politiche gestite non possono essere modificate. Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).

Per ulteriori informazioni sulla sintassi e sulla struttura della policy, consultare [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md) e [Documentazione di riferimento degli elementi delle policy JSON IAM](reference_policies_elements.md).

## Prerequisiti
<a name="edit-customer-managed-policy-cli-prerequisites"></a>

Prima di modificare le autorizzazioni per una policy, è opportuno esaminare la sua attività recente a livello di servizio. È un'opzione importante per non rimuovere l'accesso da parte di un principale (persona o applicazione) che la sta utilizzando. Per ulteriori informazioni sulla visualizzazione delle ultime informazioni di accesso, vedere [Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso](access_policies_last-accessed.md).

## Modifica di policy gestite dal cliente (AWS CLI)
<a name="edit-customer-managed-policy-cli"></a>

È possibile modificare una politica gestita dai clienti da AWS CLI.

**Nota**  
Una policy gestita può avere fino a cinque versioni. Per apportare modifiche a una policy gestita dal cliente di cui esistono già cinque versioni, devi eliminare una o più versioni esistenti.

**Per modificare una policy gestita dal cliente (AWS CLI)**

1. (Facoltativo) Per visualizzare le informazioni su una policy, eseguire i comandi seguenti:
   + Per elencare le policy gestite: [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Per recuperare informazioni dettagliate su una policy gestita: [get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. (Facoltativo) Per scoprire le relazioni tra le policy e le identità, eseguire i comandi seguenti:
   + Per elencare le identità (utenti IAM, gruppi IAM e ruoli IAM) a cui è collegata una policy gestita: 
     + [list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
   + Per elencare le policy gestite collegate a un'identità (utente, gruppo di utenti o ruolo):
     + [list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
     + [list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
     + [list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)

1. Per modificare una policy gestita dal cliente, eseguire il comando seguente:
   + [create-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy-version.html)

1. (Facoltativo) Per convalidare una policy gestita dal cliente, esegui il comando IAM Access Analyzer seguente:
   + [validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

## Impostazione della versione predefinita di una policy gestita dal cliente (AWS CLI)
<a name="edit-customer-managed-policy-cli-set-default-policy-version"></a>

È possibile impostare una versione predefinita di una politica gestita dai clienti da AWS CLI.

**Per impostare la versione predefinita di una policy gestita dal cliente (AWS CLI)**

1. (Facoltativo) Per elencare le policy gestite, eseguire il comando seguente:
   + [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)

1. Per impostare la versione predefinita di una policy gestita dal cliente, eseguire il comando seguente:
   + [set-default-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/set-default-policy-version.html)

## Eliminazione di una versione di una policy gestita dal cliente (AWS CLI)
<a name="edit-customer-managed-policy-cli-delete-policy-version"></a>

È possibile eliminare una versione di una policy gestita dal cliente dalla AWS CLI.

**Per eliminare una versione di una policy gestita dal cliente (AWS CLI)**

1. (Facoltativo) Per elencare le policy gestite, eseguire il comando seguente:
   + [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)

1. Per eliminare una policy gestita dal cliente, eseguire il comando seguente:
   + [delete-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-policy-version.html)

## Modifica delle policy in linea (AWS CLI)
<a name="edit-inline-policy-cli"></a>

Le policy inline possono essere modificate dalla AWS CLI.

**Per modificare una policy in linea (AWS CLI)**

1. (Facoltativo) Per visualizzare le informazioni su una policy, eseguire i comandi seguenti:
   + Per visualizzare le policy in linea associate a un'identità (utente, gruppo di utenti o ruolo): 
     + [list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
     + [list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)
     + [list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
   + Per recuperare informazioni dettagliate su una policy in linea: 
     + [get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
     + [get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)
     + [get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)

1. Per modificare una policy in linea, eseguire il comando seguente:
   + [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
   + [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
   + [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)

1. (Facoltativo) Per convalidare una policy in linea, esegui il seguente comando del Sistema di analisi degli accessi IAM:
   + [validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

# Modifica le politiche IAM (AWS API)
<a name="access_policies_manage-edit-api"></a>

Una [policy](access_policies.md) è un'entità che, se viene collegata a un'identità o a una risorsa, ne definisce le autorizzazioni. Puoi utilizzare l' AWS API per modificare le *politiche gestite dai clienti e le politiche* *in linea* in IAM. AWS le politiche gestite non possono essere modificate. Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).

Per ulteriori informazioni sulla sintassi e sulla struttura della policy, consultare [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md) e [Documentazione di riferimento degli elementi delle policy JSON IAM](reference_policies_elements.md).

## Prerequisiti
<a name="edit-customer-managed-policy-api-prerequisites"></a>

Prima di modificare le autorizzazioni per una policy, è opportuno esaminare la sua attività recente a livello di servizio. È un'opzione importante per non rimuovere l'accesso da parte di un principale (persona o applicazione) che la sta utilizzando. Per ulteriori informazioni sulla visualizzazione delle ultime informazioni di accesso, vedere [Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso](access_policies_last-accessed.md).

## Modifica delle politiche gestite dai clienti (AWS API)
<a name="edit-customer-managed-policy-api"></a>

Puoi modificare una politica gestita dai clienti utilizzando l' AWS API.

**Nota**  
Una policy gestita può avere fino a cinque versioni. Per apportare modifiche a una policy gestita dal cliente di cui esistono già cinque versioni, devi eliminare una o più versioni esistenti.

**Per modificare una politica gestita dal cliente (AWS API)**

1. (Facoltativo) Per visualizzare le informazioni su una policy, chiamare le operazioni seguenti:
   + Per elencare le politiche gestite: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Per recuperare informazioni dettagliate su una politica gestita: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. (Facoltativo) Per scoprire le relazioni tra le policy e le identità, chiamare le operazioni seguenti:
   + Per elencare le identità (utenti IAM, gruppi IAM e ruoli IAM) a cui è collegata una policy gestita: 
     + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
   + Per elencare le policy gestite collegate a un'identità (utente, gruppo di utenti o ruolo):
     + [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
     + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
     + [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)

1. Per modificare una policy gestita dal cliente, richiamare la seguente operazione:
   + [CreatePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicyVersion.html)

1. (Facoltativo) Per convalidare una policy gestita dal cliente, richiama la seguente operazione IAM Access Analyzer:
   + [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)

## Impostazione della versione predefinita di una politica gestita dal cliente (AWS API)
<a name="edit-customer-managed-policy-api-set-default-policy-version"></a>

È possibile impostare una versione predefinita di una politica gestita dai clienti dall' AWS API.

**Per impostare la versione predefinita di una politica gestita dal cliente (AWS API)**

1. (Facoltativo) Per elencare le policy gestite, richiamare la seguente operazione:
   + [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)

1. Per impostare la versione predefinita di una policy gestita dal cliente, richiamare la seguente operazione:
   + [SetDefaultPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SetDefaultPolicyVersion.html)

## Eliminazione di una versione di una politica gestita dal cliente (AWS API)
<a name="edit-customer-managed-policy-api-delete-policy-version"></a>

Puoi eliminare una versione di una politica gestita dai clienti dall' AWS API.

**Per eliminare una versione di una politica gestita dai clienti (AWS API)**

1. (Facoltativo) Per elencare le policy gestite, richiamare la seguente operazione:
   + [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)

1. Per eliminare una policy gestita dal cliente, chiamare l'operazione seguente:
   + [DeletePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicyVersion.html)

## Modifica delle politiche in linea (AWS API)
<a name="edit-inline-policy-api"></a>

È possibile modificare una politica in linea dall' AWS API.

**Per modificare una politica in linea (API)AWS**

1. (Facoltativo) Per visualizzare le informazioni su una policy in linea, esegui le operazioni seguenti:
   + Per visualizzare le policy in linea associate a un'identità (utente, gruppo di utenti o ruolo): 
     + [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
     + [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)
     + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
   + Per recuperare informazioni dettagliate su una policy in linea: 
     + [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
     + [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)
     + [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)

1. Per modificare una policy in linea, eseguire le seguenti operazioni:
   + [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
   + [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
   + [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)

1. (Facoltativo) Per convalidare una policy in linea, completa la seguente operazione del Sistema di analisi degli accessi IAM:
   + [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)

# Eliminare le policy IAM
<a name="access_policies_manage-delete"></a>

Puoi eliminare le politiche IAM utilizzando Console di gestione AWS, the AWS Command Line Interface (AWS CLI) o l' AWS API.

**Nota**  
L'eliminazione delle policy IAM è definitiva. Una volta eliminata, la policy non potrà più essere ripristinata.

Per ulteriori informazioni sulla sintassi e sulla struttura della policy IAM, consulta [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md) e [Documentazione di riferimento degli elementi delle policy JSON IAM](reference_policies_elements.md).

Per ulteriori informazioni sulle differenze tra policy gestite e policy inline, consulta [Policy gestite e policy inline](access_policies_managed-vs-inline.md). 

Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).

**Topics**
+ [

# Eliminare le policy IAM (console)
](access_policies_manage-delete-console.md)
+ [

# Eliminare le policy IAM (AWS CLI)
](access_policies_manage-delete-cli.md)
+ [

# Eliminare le politiche IAM (AWS API)
](access_policies_manage-delete-api.md)

# Eliminare le policy IAM (console)
<a name="access_policies_manage-delete-console"></a>

Puoi utilizzare il Console di gestione AWS per eliminare le *politiche gestite dai clienti e le politiche* *in linea* in IAM. Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).

**Nota**  
L'eliminazione delle policy IAM è definitiva. Una volta eliminata, la policy non potrà più essere ripristinata.

Per ulteriori informazioni sulla sintassi e sulla struttura della policy IAM, consulta [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md) e [Documentazione di riferimento degli elementi delle policy JSON IAM](reference_policies_elements.md).

Per ulteriori informazioni sulle differenze tra policy gestite e policy inline, consulta [Policy gestite e policy inline](access_policies_managed-vs-inline.md). 

## Prerequisiti
<a name="delete-policy-prerequisites-console"></a>

Prima di eliminare una policy, è opportuno esaminare la sua attività recente a livello di servizio. È un'opzione importante per non rimuovere l'accesso da parte di un principale (persona o applicazione) che la sta utilizzando. Per ulteriori informazioni sulla visualizzazione delle ultime informazioni di accesso, vedere [Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso](access_policies_last-accessed.md).

## Eliminazione di policy IAM (console)
<a name="delete-customer-managed-policy-console"></a>

Potrebbe essere necessario eliminare una policy gestita dal cliente quando diventa obsoleta o non è più in linea con i requisiti di sicurezza e le esigenze di controllo degli accessi dell’organizzazione. Eliminando le policy non necessarie, si riducono i potenziali rischi per la sicurezza associati a policy obsolete o non utilizzate. Puoi eliminare una policy gestita dal cliente per rimuoverla dal tuo Account AWS. Non è possibile eliminare le policy AWS gestite.

------
#### [ Console ]

**Per eliminare una policy gestita dal cliente**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, scegli **Policy**.

1. Seleziona il pulsante di opzione accanto alla policy gestita dal cliente da eliminare. Puoi utilizzare la casella di ricerca per filtrare l'elenco di policy.

1. Scegli **Azioni**, quindi **Elimina**.

1. Segui le istruzioni per confermare che desideri eliminare la policy, quindi scegli **Elimina**.

------

## Eliminazione delle policy in linea (console)
<a name="delete-inline-policy-console"></a>

Potrebbe essere necessario eliminare una policy inline quando le autorizzazioni specifiche che concede non sono più necessarie per l’utente, il gruppo o il ruolo IAM a cui è direttamente collegata. L’eliminazione delle policy inline non necessarie aiuta a ridurre il rischio di accessi non intenzionali, soprattutto perché tali policy non possono essere riutilizzate o condivise tra più identità come le policy gestite. Puoi eliminare una policy in linea per rimuoverla dal tuo Account AWS. Non è possibile eliminare policy gestite da AWS .

------
#### [ Console ]

**Per eliminare una policy inline per un utente, gruppo o ruolo IAM**

1. Nel pannello di navigazione scegli **Gruppi di utenti**, **Utenti** o **Ruoli**.

1. Scegli il nome del gruppo di utenti, dell'utente o del ruolo con la policy da eliminare. Selezionare la scheda **Permissions (Autorizzazioni)**.

1. Seleziona le caselle di controllo accanto alle policy da eliminare, quindi scegli **Rimuovi**. Quindi, nella finestra di dialogo di conferma, conferma la rimozione e l’eliminazione della policy.
   + Per eliminare una policy in linea in **Utenti** o **Ruoli**, scegli **Rimuovi** per confermare l'eliminazione.
   + Se elimini una singola policy in linea in **Gruppi di utenti** digita il nome della policy e scegli **Elimina**. Se elimini più policy in linea in **Gruppi di utenti**, digita il numero di policy da eliminare seguito da **inline policies** e scegli **Elimina**. Ad esempio, se elimini tre policy in linea, digita **3 inline policies**.

------

# Eliminare le policy IAM (AWS CLI)
<a name="access_policies_manage-delete-cli"></a>

Puoi utilizzare la AWS Command Line Interface (AWS CLI) per eliminare *le policy gestite dai clienti e le policy* *in linea* in IAM. Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).

**Nota**  
L'eliminazione delle policy IAM è definitiva. Una volta eliminata, la policy non potrà più essere ripristinata.

Per ulteriori informazioni sulla sintassi e sulla struttura della policy IAM, consulta [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md) e [Documentazione di riferimento degli elementi delle policy JSON IAM](reference_policies_elements.md).

Per ulteriori informazioni sulle differenze tra policy gestite e policy inline, consulta [Policy gestite e policy inline](access_policies_managed-vs-inline.md). 

## Prerequisiti
<a name="delete-policy-prerequisites-cli"></a>

Prima di eliminare una policy, è opportuno esaminare la sua attività recente a livello di servizio. È un'opzione importante per non rimuovere l'accesso da parte di un principale (persona o applicazione) che la sta utilizzando. Per ulteriori informazioni sulla visualizzazione delle ultime informazioni di accesso, vedere [Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso](access_policies_last-accessed.md).

## Eliminazione di policy gestite dal cliente (AWS CLI)
<a name="delete-customer-managed-policy-cli"></a>

Puoi eliminare una policy gestita dal cliente dall' AWS Command Line Interface.

**Per eliminare una policy gestita dal cliente (AWS CLI)**

1. (Facoltativo) Per visualizzare le informazioni su una policy, eseguire i comandi seguenti:
   + Per elencare le policy gestite: [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Per recuperare informazioni dettagliate su una policy gestita: [get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. (Facoltativo) Per scoprire le relazioni tra le policy e le identità, eseguire i comandi seguenti:
   + Per visualizzare le identità (utenti IAM, gruppi IAM e ruoli IAM) a cui è collegata una policy gestita, eseguire il comando seguente: 
     + [list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
   + Per elencare le policy gestite collegate a un'identità (utente, gruppo di utenti o ruolo), esegui uno dei comandi riportati sotto:
     + [list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
     + [list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
     + [list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)

1. Per eliminare una policy gestita dal cliente, eseguire il comando seguente:
   + [delete-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-policy.html)

## Eliminazione delle policy in linea (AWS CLI)
<a name="delete-inline-policy-cli"></a>

Una policy in linea può essere eliminata dalla AWS CLI.

**Per eliminare una policy inline (AWS CLI)**

1. (Opzionale) Per elencare tutte le policy in linea che sono collegate a un'identità (utente, gruppo di utenti, ruolo), usa uno dei seguenti comandi:
   + [era iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
   + [era io list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
   + [era io list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)

1. (Opzionale) Per recuperare un documento di policy in linea che è integrato in un'identità (utente, gruppo di utenti o ruolo), usa uno dei seguenti comandi:
   + [era io get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
   + [era io get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)
   + [era io get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)

1. Per eliminare una policy in linea da un'identità (utente, gruppo di utenti o ruolo che non è un *[ruolo collegato ai servizi](id_roles.md#iam-term-service-linked-role)*), usa uno dei seguenti comandi:
   + [era io delete-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html)
   + [era io delete-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group-policy.html)
   + [era io delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)

# Eliminare le politiche IAM (AWS API)
<a name="access_policies_manage-delete-api"></a>

Puoi utilizzare l' AWS API per eliminare le *policy gestite dai clienti e le policy* *in linea* in IAM. Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).

**Nota**  
L'eliminazione delle policy IAM è definitiva. Una volta eliminata, la policy non potrà più essere ripristinata.

Per ulteriori informazioni sulla sintassi e sulla struttura della policy IAM, consulta [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md) e [Documentazione di riferimento degli elementi delle policy JSON IAM](reference_policies_elements.md).

Per ulteriori informazioni sulle differenze tra policy gestite e policy inline, consulta [Policy gestite e policy inline](access_policies_managed-vs-inline.md). 

## Prerequisiti
<a name="delete-policy-prerequisites-api"></a>

Prima di eliminare una policy, è opportuno esaminare la sua attività recente a livello di servizio. È un'opzione importante per non rimuovere l'accesso da parte di un principale (persona o applicazione) che la sta utilizzando. Per ulteriori informazioni sulla visualizzazione delle ultime informazioni di accesso, vedere [Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso](access_policies_last-accessed.md).

## Eliminazione delle politiche gestite dai clienti (AWS API)
<a name="delete-customer-managed-policy-api"></a>

Puoi eliminare una politica gestita dai clienti utilizzando l' AWS API.

**Per eliminare una politica gestita dal cliente (AWS API)**

1. (Facoltativo) Per visualizzare le informazioni su una policy, chiamare le operazioni seguenti:
   + Per elencare le politiche gestite: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Per recuperare informazioni dettagliate su una politica gestita: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. (Facoltativo) Per scoprire le relazioni tra le policy e le identità, chiamare le operazioni seguenti:
   + Per visualizzare le identità (utenti IAM, gruppi IAM e ruoli IAM) a cui è collegata una policy gestita, chiama la seguente operazione: 
     + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
   + Per elencare le policy gestite collegate a un'identità (utente, gruppo di utenti o ruolo), chiama una delle operazioni seguenti:
     + [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
     + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
     + [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)

1. Per eliminare una policy gestita dal cliente, chiamare l'operazione seguente:
   + [DeletePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicy.html)

## Eliminazione delle politiche in linea (API)AWS
<a name="delete-inline-policy-api"></a>

È possibile eliminare una politica in linea utilizzando l'API. AWS 

**Per eliminare una politica in linea (API)AWS**

1. (Opzionale) Per elencare tutte le policy in linea che sono collegate a un'identità (utente, gruppo di utenti, ruolo), chiama una delle seguenti operazioni:
   + [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
   + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
   + [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)

1. (Opzionale) Per recuperare un documento di policy in linea che è integrato in un'identità (utente, gruppo di utenti o ruolo), chiama una delle seguenti operazioni:
   + [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
   + [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)
   + [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)

1. Per eliminare una policy in linea da un'identità (utente, gruppo di utenti o ruolo che non è un *[ruolo collegato ai servizi](id_roles.md#iam-term-service-linked-role)*), chiama una delle seguenti operazioni:
   + [DeleteUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)
   + [DeleteGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroupPolicy.html)
   + [DeleteRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePolicy.html)

# Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso
<a name="access_policies_last-accessed"></a>

In qualità di amministratore, puoi concedere alle risorse IAM (utenti, ruoli, gruppi di utenti o policy) autorizzazioni aggiuntive rispetto a quelle indispensabili. IAM fornisce le informazioni sull'ultimo accesso per facilitare l'identificazione delle autorizzazioni inutilizzate in modo da poterle rimuovere. È possibile utilizzare le informazioni relative all'ultimo accesso per perfezionare le policy e consentire l'accesso solo ai servizi e alle operazioni utilizzati dalle identità IAM. In questo modo è più facile rispettare le best practice dei [privilegi minimi.](best-practices.md#grant-least-privilege) È possibile visualizzare le informazioni relative all'ultimo accesso per le identità o le policy esistenti in IAM o AWS Organizations.

È possibile monitorare continuamente le informazioni relative all'ultimo accesso con analizzatori degli accessi inutilizzati. Per ulteriori informazioni, consulta [Risultati relativi agli accessi esterni e inutilizzati](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html).

**Topics**
+ [

## Tipi di informazioni sull'ultimo accesso per IAM
](#access_policies_last-accessed-data-types)
+ [

## Ultimo accesso alle informazioni per AWS Organizations
](#access_policies_last-accessed-orgs)
+ [

## Cose da sapere sulle ultime informazioni di accesso
](#access_policies_last-accessed-know)
+ [

## Autorizzazioni richieste
](#access_policies_last-accessed-permissions)
+ [

## Risolvi i problemi relativi all'attività per IAM e le entità AWS Organizations
](#access_policies_last-accessed-troubleshooting)
+ [

## Dove AWS tiene traccia delle ultime informazioni a cui si accede
](#last-accessed_tracking-period)
+ [

# Visualizzare le informazioni sull'ultimo accesso per IAM
](access_policies_last-accessed-view-data.md)
+ [

# Visualizza le ultime informazioni di accesso per AWS Organizations
](access_policies_last-accessed-view-data-orgs.md)
+ [

# Scenari di esempio per l'utilizzo delle ultime informazioni di accesso
](access_policies_last-accessed-example-scenarios.md)
+ [

# Servizi e operazioni per le informazioni relative all'ultimo accesso a un'operazione IAM
](access_policies_last-accessed-action-last-accessed.md)

## Tipi di informazioni sull'ultimo accesso per IAM
<a name="access_policies_last-accessed-data-types"></a>

È possibile visualizzare due tipi di informazioni relative all'ultimo accesso per le identità IAM: informazioni sui servizi AWS consentiti e informazioni sulle operazioni consentite. Le informazioni includono la data e l'ora in cui è stato effettuato il tentativo di accedere a un' AWS API. Per le operazioni, le informazioni relative all'ultimo accesso riportano le operazioni di gestione del servizio. Le azioni di gestione includono le azioni di creazione, eliminazione e modifica. Per ulteriori informazioni su come visualizzare le informazioni sull'ultimo accesso per IAM, consulta [Visualizzare le informazioni sull'ultimo accesso per IAM](access_policies_last-accessed-view-data.md).

Per esempi di scenari di impiego delle informazioni relative all'ultimo accesso per prendere decisioni sulle autorizzazioni da concedere alle identità IAM, consulta la pagina [Scenari di esempio per l'utilizzo delle ultime informazioni di accesso](access_policies_last-accessed-example-scenarios.md).

Per ulteriori informazioni su come vengono fornite le informazioni per le azioni di gestione, vedere [Cose da sapere sulle ultime informazioni di accesso](#access_policies_last-accessed-know).

## Ultimo accesso alle informazioni per AWS Organizations
<a name="access_policies_last-accessed-orgs"></a>

Se si accede utilizzando le credenziali dell'account di gestione, è possibile visualizzare le informazioni relative all'ultimo accesso al servizio per un' AWS Organizations entità o una politica dell'organizzazione. AWS Organizations le entità includono la radice dell'organizzazione, le unità organizzative (OUs) o gli account. Le informazioni relative all'ultimo accesso AWS Organizations includono informazioni sui servizi consentiti da una policy di controllo dei servizi (SCP). Le informazioni indicano quali principali (utente root, ruolo o utente IAM) di un'organizzazione o un account hanno tentato l'ultimo accesso al servizio e quando. Per ulteriori informazioni sul rapporto e su come visualizzare le informazioni relative all'ultimo accesso AWS Organizations, vedere[Visualizza le ultime informazioni di accesso per AWS Organizations](access_policies_last-accessed-view-data-orgs.md).

Ad esempio, scenari per l'utilizzo delle informazioni dell'ultimo accesso per prendere decisioni sulle autorizzazioni da concedere alle AWS Organizations entità, vedi[Scenari di esempio per l'utilizzo delle ultime informazioni di accesso](access_policies_last-accessed-example-scenarios.md).

## Cose da sapere sulle ultime informazioni di accesso
<a name="access_policies_last-accessed-know"></a>

Prima di utilizzare le informazioni dell'ultimo accesso contenute in un report per modificare le autorizzazioni per un'identità o un' AWS Organizations entità IAM, esamina i seguenti dettagli sulle informazioni.
+ **Periodo di monitoraggio**: l'attività recente viene visualizzata nella console IAM entro quattro ore. Il periodo di monitoraggio per le informazioni sul servizio dura almeno 400 giorni, a seconda di quando il servizio ha avviato il monitoraggio delle informazioni sulle operazioni. Il periodo di monitoraggio delle informazioni sulle operazioni Amazon S3 è iniziato il 12 aprile 2020. Il periodo di monitoraggio per le operazioni di Amazon EC2, IAM e Lambda è iniziato il 7 aprile 2021. Il periodo di monitoraggio per tutti gli altri servizi è iniziato il 23 maggio 2023. Per un elenco dei servizi per i quali sono disponibili le informazioni relative all'ultimo accesso a un'operazione, consulta la pagina [Servizi e operazioni per le informazioni relative all'ultimo accesso a un'operazione IAM](access_policies_last-accessed-action-last-accessed.md). Per ulteriori informazioni sulle regioni per le quali sono disponibili le informazioni relative all'ultimo accesso a un'operazione, consulta la pagina [Dove AWS tiene traccia delle ultime informazioni a cui si accede](#last-accessed_tracking-period).
+ **Tentativi segnalati**: i dati dell'ultimo accesso al servizio includono tutti i tentativi di accesso a un' AWS API, non solo i tentativi riusciti. Ciò include tutti i tentativi effettuati utilizzando l' Console di gestione AWS AWS API tramite uno qualsiasi degli strumenti a riga di comando o uno qualsiasi degli strumenti a riga di comando. SDKs Una voce non prevista nell'ultimo accesso ai dati del servizio non significa che l'account è stato compromesso, poiché la richiesta potrebbe essere stata rifiutata. Fai riferimento ai tuoi CloudTrail log come fonte autorevole per informazioni su tutte le chiamate API e sull'esito positivo o negativo dell'accesso.
+ **PassRole**— L'`iam:PassRole`azione non viene tracciata e non è inclusa nelle informazioni relative all'ultimo accesso dell'azione IAM.
+ **Informazioni sull'ultimo accesso all'operazione**: le informazioni sull'ultimo accesso a un'operazione sono disponibili per le operazioni di gestione del servizio alle quali le identità IAM hanno eseguito l'accesso. Consulta l'[elenco di servizi e delle relative operazioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed-action-last-accessed.html#access_policies_last-accessed-action-last-accessed-supported-actions) per scoprire a quale operazione si riferiscono i report relativi all'ultimo accesso.
**Nota**  
Le informazioni sull’ultima operazione alla quale è stato effettuato l’accesso non sono disponibili per gli eventi dei piani dati.
+ **Eventi di gestione**: IAM fornisce informazioni sulle azioni per gli eventi di gestione dei servizi registrati da. CloudTrail Talvolta, gli eventi di gestione di CloudTrail sono chiamati anche operazioni del piano di controllo o eventi del piano di controllo. Gli eventi di gestione forniscono visibilità sulle operazioni amministrative eseguite sulle risorse dell'azienda. Account AWS Per ulteriori informazioni sugli eventi di gestione in CloudTrail, vedere [Registrazione degli eventi di gestione](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html) nella *Guida per l'AWS CloudTrail utente*.
+ **Proprietario del report**: solo il principale che genera un report può visualizzare i dettagli del report. Ciò significa che quando si visualizzano le informazioni contenute in Console di gestione AWS, potrebbe essere necessario attendere che vengano generate e caricate. Se utilizzi l' AWS API AWS CLI or per ottenere i dettagli del report, le tue credenziali devono corrispondere alle credenziali del responsabile che ha generato il rapporto. Se utilizzi credenziali temporanee per un ruolo o un utente AWS STS federato, devi generare e recuperare il report durante la stessa sessione. Per ulteriori informazioni sulle entità principal di sessione del ruolo assunto, consulta [AWS Elementi della policy JSON: Principal](reference_policies_elements_principal.md).
+ **Risorse IAM**: le informazioni relative all'ultimo accesso per IAM includono le risorse IAM (ruoli, utenti, gruppi IAM e policy) presenti nell'account. Le ultime informazioni a cui si accede AWS Organizations includono i principali (utenti IAM, ruoli IAM o Utente root dell'account AWS) nell'entità specificata. AWS Organizations Le informazioni relative all'ultimo accesso non includono i tentativi non autenticati.
+ **Tipi di policy IAM**: le informazioni relative all'ultimo accesso per IAM includono i servizi consentiti dalle policy di un'identità IAM. Si tratta delle policy collegate a un ruolo o a un utente direttamente o tramite un gruppo. L'accesso consentito da altri tipi di policy non è incluso nel report. I tipi di policy esclusi includono policy basate sulle risorse, liste di controllo degli accessi, limiti delle autorizzazioni IAM e policy di sessione. AWS Organizations SCPs Le autorizzazioni fornite dai ruoli collegati ai servizi sono definite dal servizio a cui sono collegati e non possono essere modificati in IAM. Per ulteriori informazioni sui ruoli collegati ai servizi, vedere [Creare un ruolo collegato ai servizi](id_roles_create-service-linked-role.md). Per informazioni sulla valutazione dei diversi tipi di criteri per consentire o negare l'accesso, vedere [Logica di valutazione delle policy](reference_policies_evaluation-logic.md).
+ **AWS Organizations tipi di policy**: le informazioni per AWS Organizations includono solo i servizi consentiti dalle politiche di controllo dei servizi ereditate da un' AWS Organizations entità (). SCPs SCPs sono politiche collegate a un'unità organizzativa principale, a un'unità organizzativa o a un account. L'accesso consentito da altri tipi di policy non è incluso nel report. I tipi di policy esclusi includono le policy basate sulle risorse, le liste di controllo accessi, i limiti delle autorizzazioni IAM e le policy di sessione. Per ulteriori informazioni su come i diversi tipi di policy vengono valutati per consentire o negare l'accesso, consulta [Logica di valutazione delle policy](reference_policies_evaluation-logic.md).
+ **Specificazione di un ID di policy**: quando si utilizza l' AWS API AWS CLI or per generare un report per le informazioni dell'ultimo accesso in AWS Organizations, è possibile specificare facoltativamente un ID di policy. Il report risultante include i dati per i servizi consentiti solo da tale policy. Le informazioni includono l'attività più recente dell'account nell' AWS Organizations entità specificata o nei figli dell'entità. Per ulteriori informazioni, consulta [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html) or [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html).
+ **AWS Organizations account di gestione**: è necessario accedere all'account di gestione dell'organizzazione per visualizzare le informazioni relative all'ultimo accesso al servizio. Puoi scegliere di visualizzare le informazioni relative all'account di gestione utilizzando la console IAM AWS CLI, l'o l' AWS API. Il report risultante elenca tutti i AWS servizi, poiché l'account di gestione non è limitato da SCPs. Se specifichi un ID policy nella CLI o nell'API, la policy viene ignorata. Per ogni servizio, il report include le informazioni solo per l'account di gestione. Tuttavia, i report per altre AWS Organizations entità non restituiscono informazioni sulle attività nell'account di gestione.
+ **AWS Organizations impostazioni**: un amministratore deve [abilitare SCPs nella cartella principale dell'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html#enable_policies_on_root) prima di poter generare dati per AWS Organizations.

## Autorizzazioni richieste
<a name="access_policies_last-accessed-permissions"></a>

Per visualizzare le ultime informazioni a cui si accede in Console di gestione AWS, è necessario disporre di una politica che conceda le autorizzazioni necessarie.

### Autorizzazioni per le informazioni IAM
<a name="access_policies_last-accessed-permissions-iam"></a>

Per utilizzare la console IAM per visualizzare le informazioni sull'ultimo accesso per un utente, ruolo o policy IAM, devi disporre di una policy che includa le seguenti operazioni:
+ `iam:GenerateServiceLastAccessedDetails`
+ `iam:Get*`
+ `iam:List*`

Queste autorizzazioni consentono a un utente di visualizzare ciò che segue:
+ Gli utenti, i gruppi o i ruoli collegati a una [policy gestita](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#managed_policy)
+ I servizi cui può accedere un utente o ruolo
+ L'ultima volta che ha effettuato l'accesso al servizio
+ L'ultima volta che hanno provato a utilizzare un'operazione Amazon EC2, IAM, Lambda o Amazon S3 specifica

Per utilizzare l' AWS API AWS CLI or per visualizzare le informazioni dell'ultimo accesso per IAM, devi disporre delle autorizzazioni corrispondenti all'operazione che desideri utilizzare:
+ `iam:GenerateServiceLastAccessedDetails`
+ `iam:GetServiceLastAccessedDetails`
+ `iam:GetServiceLastAccessedDetailsWithEntities`
+ `iam:ListPoliciesGrantingServiceAccess`

Questo esempio mostra come creare una policy basata sull'identità che consenta di visualizzare le informazioni sull'ultimo accesso a IAM. Inoltre, consente l'accesso in sola lettura a tutto IAM. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateServiceLastAccessedDetails",
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }
}
```

------

### Autorizzazioni per le informazioni AWS Organizations
<a name="access_policies_last-accessed-permissions-orgs"></a>

Per utilizzare la console IAM per visualizzare un report per il root, l’UO o le entità account in AWS Organizations, devi disporre di una policy che includa le seguenti operazioni:
+ `iam:GenerateOrganizationsAccessReport`
+ `iam:GetOrganizationsAccessReport`
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribePolicy`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListPoliciesForTarget`
+ `organizations:ListRoots`
+ `organizations:ListTargetsForPolicy`

Per utilizzare l' AWS API AWS CLI o per visualizzare le informazioni relative all'ultimo accesso al servizio AWS Organizations, è necessario disporre di una politica che includa le seguenti azioni:
+ `iam:GenerateOrganizationsAccessReport`
+ `iam:GetOrganizationsAccessReport`
+ `organizations:DescribePolicy`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListPoliciesForTarget`
+ `organizations:ListRoots`
+ `organizations:ListTargetsForPolicy`

Questo esempio mostra come è possibile creare una policy basata sull'identità che consenta di visualizzare le informazioni relative all'ultimo accesso al servizio. AWS Organizations Inoltre, consente l'accesso in sola lettura a tutti. AWS Organizations Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateOrganizationsAccessReport",
            "iam:GetOrganizationsAccessReport",
            "organizations:Describe*",
            "organizations:List*"
        ],
        "Resource": "*"
    }
}
```

------

Puoi anche utilizzare la chiave [iam: OrganizationsPolicyId](reference_policies_iam-condition-keys.md#ck_OrganizationsPolicyId) condition per consentire la generazione di un report solo per una politica specifica AWS Organizations . Per un esempio di policy, consulta [IAM: visualizza le informazioni sull'ultimo accesso al servizio per una AWS Organizations policy](reference_policies_examples_iam_service-accessed-data-orgs.md).

## Risolvi i problemi relativi all'attività per IAM e le entità AWS Organizations
<a name="access_policies_last-accessed-troubleshooting"></a>

In alcuni casi, Console di gestione AWS l'ultima tabella delle informazioni a cui si accede potrebbe essere vuota. O forse la tua richiesta AWS CLI o AWS l'API restituisce un set di informazioni vuoto o un campo nullo. In questi casi, verifica i problemi seguenti:
+ Per le informazioni sull'ultimo accesso, un'azione che si prevede di visualizzare potrebbe non essere restituita nell'elenco. Ciò può accadere perché l'identità IAM non dispone delle autorizzazioni per l'azione o AWS non tiene ancora traccia dell'azione per le ultime informazioni a cui si accede.
+ Per un utente IAM, assicurati che disponga di almeno una policy in linea o gestita collegata, direttamente o tramite le appartenenze ai gruppi.
+ Per un gruppo IAM, verifica che disponga di almeno una policy in linea o gestita collegata.
+ Per un gruppo IAM, il report restituisce solo i dati sull'ultimo accesso al servizio per i membri che hanno utilizzato le policy del gruppo per accedere a un servizio. Per scoprire se un membro ha utilizzato altre policy, esamina i dati sull'ultimo accesso al servizio per tale utente.
+ Per un ruolo IAM, verifica che disponga di almeno una policy in linea o gestita collegata.
+ Per un'entità IAM (utente o ruolo), esamina altri tipi di policy che potrebbero influenzare le autorizzazioni di tale entità. Questi includono politiche basate sulle risorse, elenchi di controllo degli accessi, AWS Organizations politiche, limiti delle autorizzazioni IAM o politiche di sessione. Per ulteriori informazioni, consulta [Tipi di policy](access_policies.md#access_policy-types) o [Valutazione delle policy per le richieste all'interno di un singolo account](reference_policies_evaluation-logic_policy-eval-basics.md).
+ Per una policy IAM, assicurati che la policy gestita specificata sia collegata ad almeno un utente, un gruppo con membri o un ruolo.
+ Per un' AWS Organizations entità (root, OU o account), assicurati di aver effettuato l'accesso utilizzando AWS Organizations le credenziali dell'account di gestione.
+ Verifica che [SCPs siano abilitati nella cartella principale dell'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html#enable_policies_on_root).
+ Le informazioni sull'ultimo accesso all'azione sono disponibili solo per alcune azioni elencate in [Servizi e operazioni per le informazioni relative all'ultimo accesso a un'operazione IAM](access_policies_last-accessed-action-last-accessed.md).

Quando apporti modifiche, le attività impiegano almeno quattro ore per comparire nel report della console IAM. Se utilizzi l' AWS API AWS CLI o, devi generare un nuovo rapporto per visualizzare le informazioni aggiornate.

## Dove AWS tiene traccia delle ultime informazioni a cui si accede
<a name="last-accessed_tracking-period"></a>

AWS raccoglie le ultime informazioni a cui si accede per le AWS regioni standard. Quando si AWS aggiungono altre regioni, tali regioni vengono aggiunte alla tabella seguente, inclusa la data di AWS inizio del monitoraggio delle informazioni in ciascuna regione.
+ **Informazioni sul servizio**: il periodo di monitoraggio per i servizi dura almeno 400 giorni, o meno se la regione che ha avviato il monitoraggio di questa funzione negli ultimi 400 giorni.
+ **Informazioni sulle operazioni**: il periodo di monitoraggio delle operazioni di gestione Amazon S3 è iniziato il 12 aprile 2020. Il periodo di monitoraggio delle operazioni di gestione Amazon EC2, IAM e Lambda è iniziato il 7 aprile 2021. Il periodo di monitoraggio per le operazioni di gestione di tutti gli altri servizi è iniziato il 23 maggio 2023. Se la data di monitoraggio di una regione è successiva al 23 maggio 2023, le informazioni relative all'ultimo accesso all'operazione da quella regione inizieranno da una data successiva.


| Nome Regione | Regione | Data di inizio monitoraggio | 
| --- | --- | --- | 
| Stati Uniti orientali (Ohio) | us-east-2 | 27 ottobre 2017 | 
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | 1° ottobre 2015 | 
| Stati Uniti occidentali (California settentrionale) | us-west-1 | 1° ottobre 2015 | 
| Stati Uniti occidentali (Oregon) | us-west-2 | 1° ottobre 2015 | 
| Africa (Città del Capo) | af-south-1 | 22 aprile 2020 | 
| Asia Pacific (Hong Kong) | ap-east-1 | 24 aprile 2019 | 
| Asia Pacifico (Hyderabad) | ap-south-2 | 22 novembre 2022 | 
| Asia Pacifico (Giacarta) | ap-southeast-3 | 13 dicembre 2021 | 
| Asia Pacifico (Melbourne) | ap-southeast-4 | 23 gennaio 2023 | 
| Asia Pacifico (Mumbai) | ap-south-1 | 27 giugno 2016 | 
| Asia Pacifico (Osaka-Locale) | ap-northeast-3 | 11 febbraio 2018 | 
| Asia Pacific (Seoul) | ap-northeast-2 | 6 gennaio 2016 | 
| Asia Pacifico (Singapore) | ap-southeast-1 | 1° ottobre 2015 | 
| Asia Pacifico (Sydney) | ap-southeast-2 | 1° ottobre 2015 | 
| Asia Pacifico (Tokyo) | ap-northeast-1 | 1° ottobre 2015 | 
| Canada (Centrale) | ca-central-1 | 28 ottobre 2017 | 
| Europa (Francoforte) | eu-central-1 | 1° ottobre 2015 | 
| Europa (Irlanda) | eu-west-1 | 1° ottobre 2015 | 
| Europe (London) | eu-west-2 | 28 ottobre 2017 | 
| Europe (Milan) | eu-south-1 | 28 aprile 2020 | 
| Europa (Parigi) | eu-west-3 | 18 dicembre 2017 | 
| Europa (Spagna) | eu-south-2 | 15 novembre 2022 | 
| Europa (Stoccolma) | eu-north-1 | 12 dicembre 2018 | 
| Europa (Zurigo) | eu-central-2 | 8 novembre 2022 | 
| Israele (Tel Aviv) | il-central-1 | 1° agosto 2023 | 
| Medio Oriente (Bahrein) | me-south-1 | 29 luglio 2019 | 
| Medio Oriente (Emirati Arabi Uniti) | me-central-1 | 30 agosto 2022 | 
| Sud America (San Paolo) | sa-east-1 | 11 dicembre 2015 | 
| AWS GovCloud (Stati Uniti orientali) | us-gov-east-1 | 1 luglio 2023 | 
| AWS GovCloud (Stati Uniti occidentali) | us-gov-west-1 | 1 luglio 2023 | 

Se una regione non è presente nella tabella precedente, significa che per tale regione non sono ancora disponibili i dati sull'ultimo accesso al servizio.

Una AWS regione è una raccolta di AWS risorse in un'area geografica. Le regioni sono raggruppate in partizioni. Le Regioni standard sono le Regioni che appartengono alla partizione `aws`. Per ulteriori informazioni sulle diverse partizioni, consulta il [formato Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arns-syntax) nel Riferimenti generali di AWS. Per ulteriori informazioni sulle regioni, consulta [About AWS Regions](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#region-what-is) anche in. Riferimenti generali di AWS

# Visualizzare le informazioni sull'ultimo accesso per IAM
<a name="access_policies_last-accessed-view-data"></a>

Puoi visualizzare le informazioni sull'ultimo accesso per IAM utilizzando l' AWS API Console di gestione AWS AWS CLI,, o. Consulta un [elenco di servizi e delle relative operazioni](access_policies_last-accessed-action-last-accessed.md) per i quali vengono visualizzate le informazioni relative all'ultimo accesso. Per ulteriori informazioni sulle ultime informazioni di accesso, vedere [Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso](access_policies_last-accessed.md). 

È possibile visualizzare le informazioni per i seguenti tipi di risorsa in IAM. In ogni caso, i dati includono i servizi consentiti per il periodo di reporting specificato:
+ **Utente**: visualizza l'ultima volta che l'utente ha tentato di accedere a ogni servizio consentito.
+ **Gruppo di utenti**: visualizza informazioni sull'ultima volta che un membro del gruppo di utenti ha provato ad accedere a ogni servizio consentito. Questo report include anche il numero totale di membri che hanno tentato di accedere.
+ **Ruolo**: visualizza l'ultima volta che qualcuno ha utilizzato il ruolo nel tentativo di accedere a ogni servizio consentito.
+ **Policy**: visualizza le informazioni sull'ultima volta che un utente o un ruolo ha provato ad accedere a ogni servizio consentito. Questo report include anche il numero totale di entità che hanno tentato di accedere.

**Nota**  
Prima di visualizzare i dati di accesso per una risorsa in IAM, assicurati di comprendere il periodo di riferimento, le entità incluse nel report e i tipi di policy valutati per i tuoi dati. Per ulteriori dettagli, consultare [Cose da sapere sulle ultime informazioni di accesso](access_policies_last-accessed.md#access_policies_last-accessed-know).

## Visualizzazione delle informazioni per IAM (console)
<a name="access_policies_last-accessed-viewing"></a>

È possibile visualizzare le informazioni sull'ultimo accesso per IAM nella scheda **Ultimo accesso** della console IAM.

**Come visualizzare le informazioni per IAM (console)**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione, seleziona **Gruppi di utenti**, **Utenti**, **Ruoli** o **Policy**.

1. Seleziona il nome di qualsiasi utente, gruppo di utenti, ruolo o policy per aprire la relativa pagina **Riepilogo** e seleziona la scheda **Ultimo accesso**. Visualizzare le seguenti informazioni, in base alla risorsa scelta:
   + **Gruppo di utenti**: visualizza l'elenco dei servizi a cui i membri del gruppo di utenti possono accedere. È inoltre possibile visualizzare l'ultima volta che un membro ha effettuato l'accesso al servizio, quali policy di gruppo ha utilizzato e quale membro del gruppo ha effettuato la richiesta. Scegli il nome della policy per scoprire se è una policy gestita o una policy del gruppo di utenti in linea. Scegli il nome del membro del gruppo per visualizzare tutti i membri del gruppo di utenti e il momento in cui hanno effettuato l'ultimo accesso al servizio.
   + **Utente**: visualizza l'elenco dei servizi a cui l'utente può accedere. È inoltre possibile visualizzare l'ultima volta che hanno effettuato l'accesso al servizio e i criteri associati attualmente all'utente. Scegli il nome della policy per sapere se si tratta di una policy gestita, di una policy utente in linea o di una policy in linea per il gruppo di utenti.
   + **Ruolo**: visualizzare l'elenco dei servizi cui il ruolo può accedere, il suo ultimo accesso al servizio e le policy utilizzate. Scegliere il nome della policy per scoprire se è una policy gestita o una policy del ruolo inline.
   + **Policy**: visualizza l'elenco dei servizi con le operazioni consentite nella policy. È inoltre possibile visualizzare l'ultima volta che il criterio è stato utilizzato per accedere al servizio e l'entità (utente o ruolo) utilizzata dal criterio. La data dell'**Ultimo accesso** include anche quando viene concesso l'accesso a questa policy tramite un'altra policy. Scegliere il nome dell'entità per scoprire a quali entità è collegata questa policy e l'ultimo accesso al servizio da parte dell'entità.

1. Nella colonna **Servizio** della tabella, scegli il nome di [uno dei servizi che include le informazioni relative all'ultimo accesso a un'operazione](access_policies_last-accessed-action-last-accessed.md) per visualizzare un elenco delle operazioni di gestione alle quali le entità IAM hanno provato ad accedere. È possibile visualizzare la Regione AWS e un timestamp che indica l'ultimo tentativo di eseguire l'operazione da parte di un utente.

1. La colonna **Ultimo accesso** viene visualizzata per i servizi e le operazioni di gestione dei [servizi che includono le informazioni relative all'ultimo accesso a un'operazione](access_policies_last-accessed-action-last-accessed.md). Esaminare i seguenti risultati possibili restituiti in questa colonna. Questi risultati variano a seconda che un servizio o un'azione sia consentito, sia stato effettuato l'accesso e che venga registrato l'ultimo accesso alle informazioni a cui si accede. AWS   
**<number of> giorni fa**  
Numero di giorni dall'utilizzo del servizio o dell'azione nel periodo di registrazione. Il periodo di monitoraggio per i servizi è degli ultimi 400 giorni. Il periodo di monitoraggio delle operazioni Amazon S3 è iniziato il 12 aprile 2020. Il periodo di monitoraggio delle azioni di Amazon EC2, IAM e Lambda è iniziato il 7 aprile 2021. Il periodo di monitoraggio per tutti gli altri servizi è iniziato il 23 maggio 2023. Per ulteriori informazioni sulle date di inizio del monitoraggio per ciascuna di esse Regione AWS, consulta[Dove AWS tiene traccia delle ultime informazioni a cui si accede](access_policies_last-accessed.md#last-accessed_tracking-period).  
**Non accessibile nel periodo di tracciabilità**  
Il servizio o l'azione tracciati non sono stati utilizzati da un'entità nel periodo di registrazione.

   È possibile disporre delle autorizzazioni per un'azione che non viene visualizzata nell'elenco. Ciò può verificarsi se le informazioni di monitoraggio per l'operazione non sono attualmente incluse da AWS. Non è consigliabile prendere decisioni sulle autorizzazioni basate esclusivamente sull'assenza di informazioni di tracciamento. Si consiglia invece di utilizzare queste informazioni per informare e supportare la strategia generale di concessione di privilegi minimi. Controllare i criteri per verificare che il livello di accesso sia appropriato.

## Visualizzazione delle informazioni per IAM (AWS CLI)
<a name="access_policies_last-accessed-viewing-cli"></a>

Puoi utilizzare il AWS CLI per recuperare informazioni sull'ultima volta che una risorsa IAM è stata utilizzata per tentare di accedere ai AWS servizi e alle azioni Amazon S3, Amazon EC2, IAM e Lambda. Una risorsa IAM può essere un utente, un gruppo di utenti, un ruolo o una policy.

**Come visualizzare le informazioni per IAM (AWS CLI)**

1. Generare un report. La richiesta deve includere l'ARN della risorsa IAM (utente, gruppo di utenti, ruolo o policy) per cui desideri un report. È possibile specificare il livello di granularità che si desidera generare nel report per visualizzare i dettagli di accesso per i servizi o per entrambi i servizi e le azioni. Viene restituito un `job-id` che è possibile utilizzare nelle operazioni `get-service-last-accessed-details` e `get-service-last-accessed-details-with-entities` per monitorare `job-status` finché il processo viene completato.
   + [aws iam -details generate-service-last-accessed](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html)

1. Recuperare i dettagli sul report utilizzando il parametro `job-id` dal passaggio precedente.
   + [aws iam get-service-last-accessed -details](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html)

   Questa operazione restituisce le seguenti informazioni, a seconda del tipo di risorsa richiesto nell'operazione `generate-service-last-accessed-details`:
   + **Utente**: restituisce un elenco dei servizi cui l'utente specificato può accedere. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo dell'utente e l'ARN dell'utente.
   + **Gruppo di utenti**: restituisce un elenco dei servizi a cui i membri del gruppo di utenti specificato possono accedere utilizzando la policy collegata al gruppo di utenti. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo effettuato da qualsiasi membro del gruppo di utenti. Inoltre, restituisce l'ARN dell'utente e il numero totale di membri del gruppo di utenti che hanno provato ad accedere al servizio. Usa l'[GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html)operazione per recuperare un elenco di tutti i membri.
   + **Ruolo**: restituisce un elenco dei servizi cui il ruolo specificato può accedere. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo del ruolo e l'ARN del ruolo.
   + **Policy**: restituisce un elenco dei servizi per i quali la policy specificata consente l'accesso. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo di accesso al servizio da parte di un'entità (utente o ruolo), utilizzando la policy. Inoltre, restituisce l'ARN di quell'entità e il numero totale di entità che hanno tentato di accedere.

1. Scopri di più sulle entità che hanno utilizzato autorizzazioni di policy o gruppo di utenti in un tentativo di accesso a un servizio specifico. Questa operazione restituisce un elenco delle entità insieme all'ARN, l'ID, il nome, il percorso, il tipo (utente o ruolo) e l'ultimo tentativo di accesso al servizio di ogni entità. È anche possibile utilizzare questa operazione per gli utenti e i ruoli, ma restituisce informazioni solo su tale entità.
   + [era iam get-service-last-accessed - details-with-entities](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details-with-entities.html)

1. Scopri di più sulle policy basate sull'identità utilizzate da un'identità (utente, gruppo di utenti o ruolo) in un tentativo di accesso a un servizio specifico. Quando si specifica un'identità e un servizio, questa operazione restituisce un elenco delle policy di autorizzazione che l'identità può utilizzare per accedere al servizio specificato. Questa operazione fornisce lo stato attuale delle policy e non dipende dal report generato. Non restituisce neanche altri tipi di policy, come le policy basate sulle risorse, le liste di controllo accessi, le policy di AWS Organizations , i limiti delle autorizzazioni IAM o le policy di sessione. Per ulteriori informazioni, consulta [Tipi di policy](access_policies.md#access_policy-types) o [Valutazione delle policy per le richieste all'interno di un singolo account](reference_policies_evaluation-logic_policy-eval-basics.md).
   + [aws iam list-policies-granting-service -access](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies-granting-service-access.html)

## Visualizzazione delle informazioni per IAM (AWS API)
<a name="access_policies_last-accessed-viewing-api"></a>

Puoi utilizzare l' AWS API per recuperare informazioni sull'ultima volta che una risorsa IAM è stata utilizzata per tentare di accedere ai AWS servizi e alle azioni Amazon S3, Amazon EC2, IAM e Lambda. Una risorsa IAM può essere un utente, un gruppo di utenti, un ruolo o una policy. È possibile specificare il livello di granularità da generare nel report per visualizzare i dettagli relativi ai servizi o ai servizi e alle azioni. 

**Per visualizzare le informazioni per IAM (API)AWS**

1. Generare un report. La richiesta deve includere l'ARN della risorsa IAM (utente, gruppo di utenti, ruolo o policy) per cui desideri un report. Viene restituito un `JobId` che è possibile utilizzare nelle operazioni `GetServiceLastAccessedDetails` e `GetServiceLastAccessedDetailsWithEntities` per monitorare il `JobStatus` finché il processo viene completato.
   + [GenerateServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateServiceLastAccessedDetails.html)

1. Recuperare i dettagli sul report utilizzando il parametro `JobId` dal passaggio precedente.
   + [GetServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetails.html)

   Questa operazione restituisce le seguenti informazioni, a seconda del tipo di risorsa richiesto nell'operazione `GenerateServiceLastAccessedDetails`:
   + **Utente**: restituisce un elenco dei servizi cui l'utente specificato può accedere. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo dell'utente e l'ARN dell'utente.
   + **Gruppo di utenti**: restituisce un elenco dei servizi a cui i membri del gruppo di utenti specificato possono accedere utilizzando la policy collegata al gruppo di utenti. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo effettuato da qualsiasi membro del gruppo di utenti. Inoltre, restituisce l'ARN dell'utente e il numero totale di membri del gruppo di utenti che hanno provato ad accedere al servizio. Utilizza l'[GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html)operazione per recuperare un elenco di tutti i membri.
   + **Ruolo**: restituisce un elenco dei servizi cui il ruolo specificato può accedere. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo del ruolo e l'ARN del ruolo.
   + **Policy**: restituisce un elenco dei servizi per i quali la policy specificata consente l'accesso. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo di accesso al servizio da parte di un'entità (utente o ruolo), utilizzando la policy. Inoltre, restituisce l'ARN di quell'entità e il numero totale di entità che hanno tentato di accedere.

1. Scopri di più sulle entità che hanno utilizzato autorizzazioni di policy o gruppo di utenti in un tentativo di accesso a un servizio specifico. Questa operazione restituisce un elenco delle entità insieme all'ARN, l'ID, il nome, il percorso, il tipo (utente o ruolo) e l'ultimo tentativo di accesso al servizio di ogni entità. È anche possibile utilizzare questa operazione per gli utenti e i ruoli, ma restituisce informazioni solo su tale entità.
   + [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html)

1. Scopri di più sulle policy basate sull'identità utilizzate da un'identità (utente, gruppo di utenti o ruolo) in un tentativo di accesso a un servizio specifico. Quando si specifica un'identità e un servizio, questa operazione restituisce un elenco delle policy di autorizzazione che l'identità può utilizzare per accedere al servizio specificato. Questa operazione fornisce lo stato attuale delle policy e non dipende dal report generato. Non restituisce neanche altri tipi di policy, come le policy basate sulle risorse, le liste di controllo accessi, le policy di AWS Organizations , i limiti delle autorizzazioni IAM o le policy di sessione. Per ulteriori informazioni, consulta [Tipi di policy](access_policies.md#access_policy-types) o [Valutazione delle policy per le richieste all'interno di un singolo account](reference_policies_evaluation-logic_policy-eval-basics.md).
   + [ListPoliciesGrantingServiceAccess](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPoliciesGrantingServiceAccess.html)

# Visualizza le ultime informazioni di accesso per AWS Organizations
<a name="access_policies_last-accessed-view-data-orgs"></a>

Puoi visualizzare le informazioni sull'ultimo accesso al servizio per l' AWS Organizations utilizzo della console IAM o AWS dell'API. AWS CLI Per informazioni importanti sui dati, sulle autorizzazioni necessarie, sulla risoluzione dei problemi e sulle regioni supportate, consulta [Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso](access_policies_last-accessed.md).

Quando accedi alla console IAM utilizzando le credenziali dell'account di AWS Organizations gestione, puoi visualizzare le informazioni relative a qualsiasi entità dell'organizzazione. AWS Organizations le entità includono la radice dell'organizzazione, le unità organizzative (OUs) e gli account. Puoi anche utilizzare la console IAM per visualizzare le informazioni relative a qualsiasi policy di controllo del servizio (SCPs) nella tua organizzazione. IAM mostra un elenco di servizi consentiti da chiunque SCPs si applichi all'entità. Per ogni servizio, puoi visualizzare le informazioni più recenti sull'attività dell'account per l' AWS Organizations entità scelta o per i figli dell'entità.

Quando utilizzi l' AWS API AWS CLI o con le credenziali dell'account di gestione, puoi generare un rapporto per qualsiasi entità o politica dell'organizzazione. Un rapporto programmatico per un'entità include un elenco di servizi consentiti da qualsiasi entità SCPs che si applichi all'entità. Per ciascun servizio, il report include l'attività più recente per gli account nell'entità AWS Organizations specificata o nella sottostruttura dell'entità.

Quando si genera un rapporto programmatico per una politica, è necessario specificare un' AWS Organizations entità. Questo report include un elenco di servizi consentiti dalla SCP specificata. Per ogni servizio, include l'attività dell'account più recente nell'entità o negli elementi figlio dell'entità a cui è concessa l'autorizzazione da tale policy. Per ulteriori informazioni, consulta [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html) or [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html).

Prima di visualizzare il report, assicurati di aver compreso i requisiti e i dati dell'account di gestione, il periodo del report, le entità incluse nel report e i tipi di policy valutati. Per ulteriori dettagli, consultare [Cose da sapere sulle ultime informazioni di accesso](access_policies_last-accessed.md#access_policies_last-accessed-know).

## Comprendi il percorso AWS Organizations dell'entità
<a name="access_policies_last-accessed-viewing-orgs-entity-path"></a>

Quando utilizzi l' AWS API AWS CLI or per generare un rapporto di AWS Organizations accesso, devi specificare il percorso dell'entità. Un percorso è una rappresentazione in testo della struttura di un'entità AWS Organizations .

È possibile creare un percorso di entità utilizzando la struttura nota dell'organizzazione. Ad esempio, supponiamo di avere la seguente struttura organizzativa AWS Organizations.

![\[Struttura del percorso organizzativo\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/ou-path-diagram.png)


Il percorso per l'unità organizzativa **Dev Managers** viene creato utilizzando l' IDs organizzazione, la radice e tutto OUs il percorso fino all'unità organizzativa inclusa. 

```
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
```

Il percorso per l'account nell'unità organizzativa IDs di **produzione** viene creato utilizzando l'organizzazione, la radice, l'unità organizzativa e il numero di account. 

```
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-abc0-awsaaaaa/111111111111/
```

**Nota**  
L'organizzazione IDs è unica a livello globale, ma l'unità organizzativa IDs e la radice IDs sono uniche solo all'interno di un'organizzazione. Ciò significa che non ci sono due organizzazioni che condividono lo stesso ID organizzazione. Tuttavia, un'altra organizzazione potrebbe avere un'unità organizzativa o un root con il tuo stesso ID. Si consiglia di includere sempre l'ID organizzazione quando si specifica un'unità organizzativa o un root.

## Visualizzazione delle informazioni per AWS Organizations (console)
<a name="access_policies_last-accessed-viewing-orgs"></a>

Puoi utilizzare la console IAM per visualizzare le informazioni sull'ultimo accesso al servizio per la root, l'unità organizzativa, l'account o la policy.

**Per visualizzare le informazioni relative alla radice (console)**

1. Accedi all' Console di gestione AWS utilizzo delle credenziali dell'account di AWS Organizations gestione e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione nella sezione **Access reports (Report di accesso)**, scegliere **Attività organizzazione**.

1. Nella pagina **Organization activity (Attività dell'organizzazione)**, scegliere **Root**.

1. Nella scheda **Details and activity (Dettagli e attività)**, visualizzare la sezione **Service access report (Report di accesso al servizio)**. I dati includono un elenco di servizi consentiti dalle policy collegate direttamente alla root. I dati mostrano da quale account è stato effettuato l'ultimo accesso al servizio e quando è stata effettuata questa operazione. Per maggiori dettagli su quale principale ha avuto accesso al servizio, accedi come amministratore a tale account e [visualizza le informazioni sull'ultimo accesso al servizio IAM](access_policies_last-accessed-view-data.md).

1. Scegli la SCPs scheda **Allegato** per visualizzare l'elenco delle politiche di controllo del servizio (SCPs) allegate alla radice. IAM mostra il numero di entità di destinazione a cui è collegata ogni policy. È possibile utilizzare queste informazioni per decidere quali SCP rivedere.

1. Scegliere il nome di una SCP per visualizzare tutti i servizi consentiti dalla policy. Per ogni servizio, visualizzare da quale account è stato effettuato l'ultimo accesso al servizio e quando è stata effettuata questa operazione.

1. Scegli **Modifica in AWS Organizations** per visualizzare ulteriori dettagli e modificare l'SCP nella AWS Organizations console. Per ulteriori informazioni, consulta [Aggiornamento di una SCP](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy) nella *Guida per l'utente di AWS Organizations *.

**Per visualizzare le informazioni relative a un'unità organizzativa o a un conto (console)**

1. Accedi alle credenziali dell'account di AWS Organizations gestione che Console di gestione AWS utilizza e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Nel riquadro di navigazione nella sezione **Access reports (Report di accesso)**, scegliere **Attività organizzazione**.

1. Nella pagina **Organization activity (Attività dell'organizzazione)**, espandere la struttura dell'organizzazione. Quindi sceglie il nome dell'unità organizzativa o qualsiasi account che si desidera visualizzare, tranne l'account di gestione.

1. Nella scheda **Details and activity (Dettagli e attività)**, visualizzare la sezione **Service access report (Report di accesso al servizio)**. Le informazioni includono un elenco di servizi consentiti dall'unità organizzativa SCPs collegata all'unità organizzativa o all'account *e* da tutti i relativi genitori. I dati mostrano da quale account è stato effettuato l'ultimo accesso al servizio e quando è stata effettuata questa operazione. Per maggiori dettagli su quale principale ha avuto accesso al servizio, accedi come amministratore a tale account e [visualizza le informazioni sull'ultimo accesso al servizio IAM](access_policies_last-accessed-view-data.md).

1. Scegli la SCPs scheda **Allegati** per visualizzare l'elenco delle politiche di controllo del servizio (SCPs) allegate direttamente all'unità organizzativa o all'account. IAM mostra il numero di entità di destinazione a cui è collegata ogni policy. È possibile utilizzare queste informazioni per decidere quali SCP rivedere.

1. Scegliere il nome di una SCP per visualizzare tutti i servizi consentiti dalla policy. Per ogni servizio, visualizzare da quale account è stato effettuato l'ultimo accesso al servizio e quando è stata effettuata questa operazione.

1. Scegli **Modifica in AWS Organizations** per visualizzare ulteriori dettagli e modificare l'SCP nella AWS Organizations console. Per ulteriori informazioni, consulta [Aggiornamento di una SCP](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy) nella *Guida per l'utente di AWS Organizations *.

**Come visualizzare le informazioni relative all'account di gestione (console)**

1. Accedi alle credenziali dell'account di AWS Organizations gestione che Console di gestione AWS utilizza e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Nel riquadro di navigazione nella sezione **Access reports (Report di accesso)**, scegliere **Attività organizzazione**.

1. Nella pagina **Attività dell'organizzazione**, espandi la struttura dell'organizzazione e scegli il nome dell'account di gestione.

1. Nella scheda **Details and activity (Dettagli e attività)**, visualizzare la sezione **Service access report (Report di accesso al servizio)**. Le informazioni includono un elenco di tutti i servizi AWS . L'account di gestione non è limitato da SCPs. I dati mostrano se l'account ha effettuato l'ultimo accesso al servizio e quando è stata effettuata questa operazione. Per maggiori dettagli su quale principale ha avuto accesso al servizio, accedi come amministratore a tale account e [visualizza le informazioni sull'ultimo accesso al servizio IAM](access_policies_last-accessed-view-data.md).

1. Scegli la SCPs scheda **Allegati** per confermare che non ci sono allegati SCPs perché l'account è l'account di gestione.

**Per visualizzare le informazioni relative a un criterio (console)**

1. Accedi alle credenziali dell'account di AWS Organizations gestione che Console di gestione AWS utilizza e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione sotto la sezione **Access reports**, scegli **Service control policies (SCPs)**.

1. Nella pagina **Criteri di controllo del servizio (SCPs)**, visualizza un elenco delle politiche della tua organizzazione. È possibile visualizzare il numero di entità di destinazione a cui è collegata ogni policy.

1. Scegliere il nome di una SCP per visualizzare tutti i servizi consentiti dalla policy. Per ogni servizio, visualizzare da quale account è stato effettuato l'ultimo accesso al servizio e quando è stata effettuata questa operazione.

1. Scegli **Modifica in AWS Organizations** per visualizzare ulteriori dettagli e modificare l'SCP nella AWS Organizations console. Per ulteriori informazioni, consulta [Aggiornamento di una SCP](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy) nella *Guida per l'utente di AWS Organizations *.

## Visualizzazione delle informazioni per AWS Organizations ()AWS CLI
<a name="access_policies_last-accessed-viewing-orgs-cli"></a>

È possibile utilizzare il AWS CLI per recuperare le informazioni relative all'ultimo accesso al servizio relative AWS Organizations alla root, all'unità organizzativa, all'account o alla policy.

**Per visualizzare le informazioni relative all'ultimo accesso al AWS Organizations servizio ()AWS CLI**

1. Utilizza le credenziali AWS Organizations del tuo account di gestione con l'IAM e AWS Organizations le autorizzazioni richieste e conferma che SCPs siano abilitate per la directory root. Per ulteriori informazioni, consulta [Cose da sapere sulle ultime informazioni di accesso](access_policies_last-accessed.md#access_policies_last-accessed-know). 

1. Generare un report. La richiesta deve includere il percorso dell' AWS Organizations entità (root, OU o account) per la quale desideri un report. È anche possibile includere un parametro `organization-policy-id` per visualizzare un report per una policy specifica. Il comando restituisce `job-id` che è quindi possibile utilizzare nel comando `get-organizations-access-report` per monitorare `job-status` fino al completamento del processo.
   + [era aim generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html)

1. Recuperare i dettagli sul report utilizzando il parametro `job-id` dal passaggio precedente.
   + [era io get-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/get-organizations-access-report.html)

   Questo comando restituisce un elenco di servizi a cui i membri dell'entità possono accedere. Per ogni servizio, il comando restituisce la data e l'ora dell'ultimo tentativo di un membro dell'account e il percorso dell'entità dell'account. Inoltre, restituisce il numero totale di servizi disponibili per l'accesso e il numero di servizi a cui non è stato effettuato l'accesso. Se è stato specificato il parametro `organizations-policy-id` facoltativo, i servizi disponibili per l'accesso sono quelli consentiti dalla policy specificata.

## Visualizzazione delle informazioni per AWS Organizations (AWS API)
<a name="access_policies_last-accessed-viewing-orgs-api"></a>

È possibile utilizzare l' AWS API per recuperare le informazioni relative all'ultimo accesso al servizio relative AWS Organizations alla root, all'unità organizzativa, all'account o alla policy.

**Per visualizzare le informazioni sull'ultimo accesso al AWS Organizations servizio (AWS API)**

1. Utilizza le credenziali AWS Organizations del tuo account di gestione con l'IAM e AWS Organizations le autorizzazioni richieste e conferma che SCPs siano abilitate per la directory root. Per ulteriori informazioni, consulta [Cose da sapere sulle ultime informazioni di accesso](access_policies_last-accessed.md#access_policies_last-accessed-know). 

1. Generare un report. La richiesta deve includere il percorso dell' AWS Organizations entità (root, OU o account) per la quale desideri un report. È anche possibile includere un parametro `OrganizationsPolicyId` per visualizzare un report per una policy specifica. L'operazione restituisce `JobId` che è quindi possibile utilizzare nell'operazione `GetOrganizationsAccessReport` per monitorare `JobStatus` fino al completamento del processo.
   + [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html)

1. Recuperare i dettagli sul report utilizzando il parametro `JobId` dal passaggio precedente.
   + [GetOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetOrganizationsAccessReport.html)

   Questa operazione restituisce un elenco di servizi a cui i membri dell'entità possono accedere. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo di un membro dell'account e il percorso dell'entità dell'account. Inoltre, restituisce il numero totale di servizi disponibili per l'accesso e il numero di servizi a cui non è stato effettuato l'accesso. Se è stato specificato il parametro `OrganizationsPolicyId` facoltativo, i servizi disponibili per l'accesso sono quelli consentiti dalla policy specificata.

# Scenari di esempio per l'utilizzo delle ultime informazioni di accesso
<a name="access_policies_last-accessed-example-scenarios"></a>

Puoi utilizzare le informazioni dell'ultimo accesso per prendere decisioni sulle autorizzazioni da concedere alle tue entità o AWS Organizations entità IAM. Per ulteriori informazioni, consulta [Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso](access_policies_last-accessed.md). 

**Nota**  
Prima di visualizzare le informazioni di accesso per un'entità o una policy in IAM AWS Organizations, assicurati di comprendere il periodo di riferimento, le entità segnalate e i tipi di policy valutati per i tuoi dati. Per ulteriori dettagli, consultare [Cose da sapere sulle ultime informazioni di accesso](access_policies_last-accessed.md#access_policies_last-accessed-know).

È compito dell'amministratore determinare il giusto equilibrio tra accessibilità e privilegio minimo appropriato per l'azienda. 

## Utilizzo delle informazioni per ridurre le autorizzazioni per un gruppo IAM
<a name="last-accessed-sample-reduce-permissions-group"></a>

Puoi utilizzare le informazioni sull'ultimo accesso per ridurre le autorizzazioni per un gruppo IAM in modo da includere solo i servizi necessari agli utenti. Questo metodo è una fase importante nella [concessione del privilegio minimo](best-practices.md#grant-least-privilege) a livello di servizio.

Ad esempio, Paulo Santos è l'amministratore responsabile della definizione delle autorizzazioni AWS utente per Example Corp. Questa società ha appena iniziato a utilizzare AWS e il team di sviluppo del software non ha ancora definito quali AWS servizi utilizzerà. Paulo vuole concedere al team l'autorizzazione ad accedere solo ai servizi necessari, ma poiché non sono stati ancora definiti, ha concesso temporaneamente le autorizzazioni di power user. Quindi utilizza le ultime informazioni a cui si accede per ridurre le autorizzazioni del gruppo.

Paulo crea una policy gestita denominata `ExampleDevelopment`, utilizzando il seguente testo in formato JSON. La collega poi a un gruppo denominato `Development` e aggiunge tutti gli sviluppatori al gruppo.

**Nota**  
I power user di Paulo potrebbero avere bisogno di autorizzazioni `iam:CreateServiceLinkedRole` per utilizzare alcuni servizi e funzionalità. È consapevole che l'aggiunta di questa autorizzazione consente agli utenti di creare qualsiasi ruolo collegato al servizio. Accetta questo rischio per i suoi power user.

------
#### [ JSON ]

****  

```
{

    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessToAllServicesExceptPeopleManagement",
            "Effect": "Allow",
            "NotAction": [
                "iam:*",
                "organizations:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "RequiredIamAndOrgsActions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Paulo decide di attendere 90 giorni prima di [visualizzare i dati sull'ultimo accesso al servizio](access_policies_last-accessed-view-data.md#access_policies_last-accessed-viewing) per il gruppo `Development` utilizzando la Console di gestione AWS. Visualizza l'elenco dei servizi a cui i membri del gruppo hanno effettuato l'accesso. Viene a sapere che gli utenti hanno avuto accesso a cinque servizi nell'ultima settimana: AWS CloudTrail Amazon CloudWatch Logs, Amazon EC2 AWS KMS e Amazon S3. Hanno avuto accesso ad alcuni altri servizi durante la prima valutazione AWS, ma non da allora.

Paulo decide di ridurre le autorizzazioni delle policy per includere solo quei cinque servizi e l'IAM e AWS Organizations le azioni richiesti. Modifica la policy `ExampleDevelopment` utilizzando il seguente testo in formato JSON.

**Nota**  
I power user di Paulo potrebbero avere bisogno di autorizzazioni `iam:CreateServiceLinkedRole` per utilizzare alcuni servizi e funzionalità. È consapevole che l'aggiunta di questa autorizzazione consente agli utenti di creare qualsiasi ruolo collegato al servizio. Accetta questo rischio per i suoi power user.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessToListedServices",
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "kms:*",
                "cloudtrail:*",
                "logs:*",
                "ec2:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "RequiredIamAndOrgsActions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Per ridurre ulteriormente le autorizzazioni, Paulo può visualizzare gli eventi dell'account in **Event history (Cronologia eventi)** in AWS CloudTrail . Qui può visualizzare informazioni dettagliate sugli eventi, che può utilizzare per ridurre le autorizzazioni della policy in modo da includere solo le operazioni e le risorse di cui hanno bisogno gli sviluppatori. Per ulteriori informazioni, consulta [Visualizzazione CloudTrail degli eventi nella CloudTrail console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) nella *Guida per l'AWS CloudTrail utente*.

## Utilizzo delle informazioni per ridurre le autorizzazioni per un utente IAM
<a name="access_policies_last-accessed-reduce-permissions-users"></a>

Puoi utilizzare le informazioni sull'ultimo accesso per ridurre le autorizzazioni per un singolo utente IAM.

Ad esempio, Martha Rivera è un'amministratrice IT responsabile di garantire che i dipendenti della sua azienda non dispongano di autorizzazioni eccessive AWS . Come parte di un controllo periodico di sicurezza, l'amministratore esamina le autorizzazioni di tutti gli utenti IAM. Uno di questi utenti, Nikhil Jayashankar, è uno sviluppatore di applicazioni, che in precedenza ha ricoperto il ruolo di tecnico della sicurezza. A causa del cambiamento dei requisiti della mansione, Nikhil è membro sia del gruppo `app-dev` sia del gruppo `security-team`. Il gruppo `app-dev` per la sua nuova mansione concede autorizzazioni per più servizi, tra cui Amazon EC2, Amazon EBS, Auto Scaling, Amazon S3, Route 53 e Elastic Transcoder. Il `security-team` gruppo per il suo vecchio lavoro concede le autorizzazioni a IAM e. CloudTrail

L'amministratore Martha accede alla console IAM e seleziona **Utenti**, quindi sceglie il nome `nikhilj` e seleziona la scheda **Ultimo accesso**.

Martha esamina la colonna **Ultimo accesso** e nota che Nikhil non ha recentemente effettuato l'accesso a IAM, Route 53 CloudTrail, Amazon Elastic Transcoder e a diversi altri servizi. AWS Nikhil ha effettuato l'accesso ad Amazon S3. Martha sceglie **S3** dall'elenco dei servizi e apprende che Nikhil ha eseguito alcune azioni `List` di Amazon S3 nelle ultime due settimane. All'interno della sua azienda, Martha conferma che Nikhil non ha alcuna necessità aziendale di accedere a IAM e che non CloudTrail fa più parte del team di sicurezza interno. 

Martha è ora pronta ad agire in base al servizio e all'azione dell'ultimo accesso alle informazioni. Tuttavia, diversamente da quanto avviene con il gruppo dell'esempio precedente, un utente IAM come `nikhilj` potrebbe essere soggetto a più policy ed essere membro di più gruppi. Martha deve procedere con cautela per evitare di interrompere inavvertitamente l'accesso per `nikhilj` o per altri membri del gruppo. Oltre a conoscere il tipo di accesso di cui Nikhil deve disporre, deve determinare *il modo* in cui Nikhil riceve le autorizzazioni. 

Martha sceglie la scheda **Permissions (Autorizzazioni)**, dove visualizza le policy collegate direttamente a `nikhilj` e quelle collegate da un gruppo. Espande ogni policy e visualizza il riepilogo per scoprire quale policy consente l'accesso ai servizi che Nikhil non sta utilizzando:
+ IAM: la policy `IAMFullAccess` AWS gestita è allegata direttamente `nikhilj` e collegata al gruppo. `security-team`
+ CloudTrail — La policy `AWS CloudTrailReadOnlyAccess` AWS gestita è allegata al `security-team` gruppo.
+ Route 53: la policy gestita dal cliente `App-Dev-Route53` è collegata al gruppo `app-dev`.
+ Elastic Transcoder: la policy gestita dal cliente `App-Dev-ElasticTranscoder` è collegata al gruppo `app-dev`.

Martha decide di rimuovere la policy `IAMFullAccess` AWS gestita a cui è allegata direttamente. `nikhilj` Rimuove inoltre l'appartenenza di Nikhil al gruppo `security-team`. Queste due azioni rimuovono l'accesso non necessario a IAM e CloudTrail. 

Le autorizzazioni di Nikhil per accedere a Route 53 ed Elastic Transcoder sono concesse dal gruppo `app-dev`. Anche se Nikhil non li utilizza, questi servizi potrebbero essere utili ad altri membri del gruppo. Martha esamina le informazioni sull'ultimo accesso per il gruppo `app-dev` e scopre che diversi membri hanno recentemente effettuato l'accesso a Route 53 e Amazon S3. Ma nessun membro del gruppo ha avuto accesso a Elastic Transcoder nell'ultimo anno. Rimuove quindi dal gruppo la policy gestita dal cliente `App-Dev-ElasticTranscoder`.

Martha esamina poi i dati sull'ultimo accesso al servizio per la policy gestita dal cliente `App-Dev-ElasticTranscoder`. Scopre che la policy non è collegata a nessun'altra identità IAM. Indaga all'interno della sua azienda per accertarsi che la policy non sarà necessaria in futuro e quindi la elimina.

## Utilizzo delle informazioni prima dell'eliminazione delle risorse IAM
<a name="last-accessed-sample-delete-resources"></a>

Puoi utilizzare le informazioni sull'ultimo accesso al servizio prima di eliminare una risorsa IAM per assicurarti che sia trascorso un determinato intervallo di tempo dall'ultimo utilizzo di tale risorsa. Questo si applica a utenti, gruppi, ruoli e policy. Per ulteriori informazioni su queste operazioni, consulta i seguenti argomenti:
+ **Utenti IAM**: [rimuovere o disattivare un utente IAM](id_users_remove.md)
+ **Gruppi**: [eliminare un gruppo IAM](id_groups_manage_delete.md)
+ **Ruoli**: [eliminare ruoli o profili dell'istanza](id_roles_manage_delete.md)
+ **Policy**: [eliminazione delle policy IAM (comporta inoltre lo scollegamento della policy dalle identità)](access_policies_manage-delete.md)

## Utilizzo delle informazioni prima della modifica delle policy IAM
<a name="last-accessed-sample-edit-policies"></a>

Puoi esaminare le informazioni sull'ultimo accesso per un'identità IAM (utente, gruppo o ruolo) o per una policy IAM prima di modificare una policy che influisce sulla risorsa. È un'opzione importante per non rimuovere l'accesso per qualcuno che la utilizza.

Ad esempio, Arnav Desai è sviluppatore e AWS amministratore di Example Corp. Quando il suo team ha iniziato a utilizzare AWS, ha fornito a tutti gli sviluppatori un accesso da utente esperto che consentiva loro l'accesso completo a tutti i servizi tranne IAM e. AWS Organizations Come primo passo verso la [concessione di privilegi minimi](best-practices.md#grant-least-privilege), Arnav desidera utilizzare l' AWS CLI per esaminare le policy gestite nel suo account. 

A tale scopo, Arnav elenca innanzitutto le policy di autorizzazione gestite dal cliente nel suo account che sono collegate a un'identità, utilizzando il seguente comando:

```
aws iam list-policies --scope Local --only-attached --policy-usage-filter PermissionsPolicy
```

Dalla risposta, acquisisce l'ARN per ogni policy. Arnav genera quindi un report relativo ai dati sull'ultimo accesso al servizio per ogni policy, utilizzando il comando seguente.

```
aws iam generate-service-last-accessed-details --arn arn:aws:iam::123456789012:policy/ExamplePolicy1
```

Da questa risposta, acquisisce l'ID del report generato dal campo `JobId`. Arnav testa il comando seguente finché il campo `JobStatus` restituisce un valore `COMPLETED` o `FAILED`. Se il processo ha esito negativo, acquisisce l'errore.

```
aws iam get-service-last-accessed-details --job-id 98a765b4-3cde-2101-2345-example678f9
```

Quando lo stato del processo diventa `COMPLETED`, Arnav analizza i contenuti dell'array `ServicesLastAccessed` in formato JSON.

```
 "ServicesLastAccessed": [
        {
            "TotalAuthenticatedEntities": 1,
            "LastAuthenticated": 2018-11-01T21:24:33.222Z,
            "ServiceNamespace": "dynamodb",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/IAMExampleUser",
            "ServiceName": "Amazon DynamoDB"
        },

        {
            "TotalAuthenticatedEntities": 0,
            "ServiceNamespace": "ec2",
            "ServiceName": "Amazon EC2"
        },

        {
            "TotalAuthenticatedEntities": 3,
            "LastAuthenticated": 2018-08-25T15:29:51.156Z,
            "ServiceNamespace": "s3",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:role/IAMExampleRole",
            "ServiceName": "Amazon S3"
        }
    ]
```

Da queste informazioni, Arnav apprende che la policy `ExamplePolicy1` consente l'accesso a tre servizi: Amazon DynamoDB, Amazon S3 e Amazon EC2. L'utente IAM denominato `IAMExampleUser` ha provato accedere l'ultima volta a DynamoDB il 1° novembre e qualcuno ha utilizzato il ruolo `IAMExampleRole` per provare ad accedere ad Amazon S3 il 25 agosto. Ci sono anche altre due entità che hanno provato ad accedere ad Amazon S3 nell'ultimo anno. Tuttavia, nessuno ha provato ad accedere ad Amazon EC2 nell'ultimo anno.

Questo significa che Arnav può rimuovere in modo sicuro le operazioni Amazon EC2 dalla policy. Arnav vuole esaminare l'attuale documento JSON per la policy. In primo luogo, deve determinare il numero di versione della policy utilizzando il comando seguente.

```
aws iam list-policy-versions --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1
```

Dalla risposta, Arnav raccoglie l'attuale numero di versione predefinita dall'array `Versions`. Utilizza quindi quel numero di versione (`v2`) per richiedere il documento JSON della policy utilizzando il comando seguente.

```
aws iam get-policy-version --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1 --version-id v2
```

Arnav memorizza il documento JSON della policy restituito nel campo `Document` dell'array `PolicyVersion`. Nel documento della policy, Arnav ricerca le operazioni nel namespace `ec2`. Se non ci sono operazioni dagli altri spazi dei nomi rimanenti nella policy, scollega la policy dalle identità interessate (utenti, gruppi e ruoli) e la elimina. In questo caso, la policy include i servizi Amazon DynamoDB e Amazon S3. Pertanto, Arnav rimuove le operazioni Amazon EC2 dal documento e salva le modifiche. Utilizza quindi il seguente comando per aggiornare la policy con la nuova versione del documento e impostare tale versione come versione predefinita della policy.

```
aws iam create-policy-version --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1 --policy-document file://UpdatedPolicy.json --set-as-default
```

La policy `ExamplePolicy1` è ora aggiornata per rimuovere l'accesso al servizio Amazon EC2 non necessario.

## Altri scenari IAM
<a name="last-accessed-scenarios-other"></a>

Le informazioni sull'ultimo tentativo di accesso di una risorsa IAM (utente, gruppo, ruolo o policy) a un servizio possono essere utili per completare una delle seguenti attività:
+ **Policy**: [Modifica di una policy esistente in linea o gestita dal cliente per rimuovere le autorizzazioni](access_policies_manage-edit.md)
+ **Policy**: [Conversione di una policy in linea in una policy gestita e successiva eliminazione](access_policies-convert-inline-to-managed.md)
+ **Policy**: [Aggiunta di un rifiuto esplicito a una policy esistente](reference_policies_evaluation-logic_AccessPolicyLanguage_Interplay.md)
+ **Policy**: [Scollegamento di una policy gestita da un'identità (utente, gruppo o ruolo)](access_policies_manage-attach-detach.md#detach-managed-policy-console)
+ **Entità**: [Impostazione di un limite di autorizzazioni per controllare il numero massimo di autorizzazioni che un'entità (utente o ruolo) può avere](access_policies_manage-attach-detach.md)
+ **Gruppi**: [Rimozione di utenti da un gruppo](id_groups_manage_add-remove-users.md)

## Utilizzo dei dati per perfezionare le autorizzazioni di un'unità organizzativa
<a name="access_policies_last-accessed-reduce-permissions-orgs"></a>

Puoi utilizzare i dati sull'ultimo accesso al servizio per perfezionare le autorizzazioni per un'unità organizzativa in AWS Organizations.

Ad esempio, John Stiles è un amministratore. AWS Organizations È responsabile di garantire che le persone in azienda Account AWS non dispongano di autorizzazioni eccessive. Come parte di un audit di sicurezza periodico, esamina le autorizzazioni dell'organizzazione. La sua unità organizzativa `Development` contiene gli account che vengono spesso utilizzati per testare nuovi servizi AWS . John decide di controllare periodicamente il report per servizi a cui non è stato effettuato alcun accesso da più di 180 giorni. Quindi, rimuove le autorizzazioni concesse ai membri dell'unità organizzativa per accedere a questi servizi. 

John esegue l'accesso alla console IAM utilizzando le sue credenziali dell'account di gestione. Nella console IAM, individua i AWS Organizations dati per l'`Development`unità organizzativa. Esamina la tabella dei **report sull'accesso ai servizi** e vede due AWS servizi a cui non si accede da più del periodo preferito di 180 giorni. Ricorda di aver aggiunto le autorizzazioni per i team di sviluppo per accedere ad Amazon Lex e. AWS Database Migration Service John contatta i team di sviluppo e conferma che non hanno più l'esigenza aziendale di testare questi servizi.

John è pronto a usare le ultime informazioni di accesso. Sceglie **Modifica in AWS Organizations** e gli viene segnalato che la SCP è collegata a più entità. Sceglie **Continue (Continua)**. Nel AWS Organizations, esamina gli obiettivi per scoprire a quali AWS Organizations entità è collegato l'SCP. Tutte le entità si trovano all'interno dell'unità organizzativa `Development`.

John decide di negare l'accesso ad Amazon Lex e alle AWS Database Migration Service azioni in `NewServiceTest` SCP. Questa operazione rimuove l'accesso non necessario ai servizi.

# Servizi e operazioni per le informazioni relative all'ultimo accesso a un'operazione IAM
<a name="access_policies_last-accessed-action-last-accessed"></a>

La tabella seguente elenca i AWS servizi per i quali vengono visualizzate [le informazioni sull'ultimo accesso all'azione IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html). Per un elenco delle azioni in ogni servizio, consulta [Azioni, risorse e chiavi di condizione per AWS i servizi](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) nel Service Authorization Reference.

AWS fornisce le informazioni sull'ultimo accesso all'azione in formato JSON per semplificare l'automazione dei flussi di lavoro di gestione delle policy. Con le informazioni di riferimento del servizio, è possibile accedere alle informazioni relative all'ultima azione a cui si è avuto accesso direttamente da file leggibili Servizi AWS da computer. Per ulteriori informazioni, consulta [Simplified Servizio AWS information for programmatic access](https://docs.aws.amazon.com/service-authorization/latest/reference/service-reference.html) nella documentazione di riferimento sull’autorizzazione dei servizi.


|  **Servizio**  |  **Prefisso del servizio**  | 
| --- | --- | 
|  [AWS Identity and Access Management e Access Analyzer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html)  | access-analyzer | 
|  [Gestione dell'account AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsaccountmanagement.html)  | account | 
|  [AWS Certificate Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscertificatemanager.html)  | acm | 
|  [Flussi di lavoro gestiti da Amazon per Apache Airflow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedworkflowsforapacheairflow.html)  | airflow | 
|  [AWS Amplify](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsamplify.html)  | amplify | 
|  [AWS Amplify Generatore di interfacce utente](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsamplifyuibuilder.html)  | amplifyuibuilder | 
|  [Amazon AppIntegrations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappintegrations.html)  | app-integrations | 
|  [AWS AppConfig](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappconfig.html)  | appconfig | 
|  [Amazon AppFlow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappflow.html)  | appflow | 
|  [AWS Application Cost Profiler](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationcostprofilerservice.html)  | application-cost-profiler | 
|  [Informazioni approfondite sulle CloudWatch applicazioni Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html)  | applicationinsights | 
|  [AWS App Mesh](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappmesh.html)  | appmesh | 
|  [ WorkSpaces Applicazioni Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappstream2.0.html)  | appstream | 
|  [AWS AppSync](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappsync.html)  | appsync | 
|  [Amazon Managed Service per Prometheus](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedserviceforprometheus.html)  | aps | 
|  [Amazon Athena](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html)  | atena | 
|  [AWS Audit Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsauditmanager.html)  | auditmanager | 
|  [AWS Auto Scaling](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsautoscaling.html)  | autoscaling | 
|  [Marketplace AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmarketplace.html)  | aws-marketplace | 
|  [AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html)  | backup | 
|  [AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html)  | batch | 
|  [Amazon Braket](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbraket.html)  | braket | 
|  [Budget AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbudgetservice.html)  | budgets | 
|  [AWS Cloud9](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloud9.html)  | cloud9 | 
|  [AWS CloudFormation](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html)  | cloudformation | 
|  [Amazon CloudFront](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudfront.html)  | cloudfront | 
|  [AWS CloudHSM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudhsm.html)  | cloudhsm | 
|  [Amazon CloudSearch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudsearch.html)  | cloudsearch | 
|  [AWS CloudTrail](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudtrail.html)  | cloudtrail | 
|  [Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatch.html)  | cloudwatch | 
|  [AWS CodeArtifact](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodeartifact.html)  | codeartifact | 
|  [AWS CodeDeploy](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodedeploy.html)  | codedeploy | 
|  [Amazon CodeGuru Profiler](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncodeguruprofiler.html)  | codeguru-profiler | 
|  [ CodeGuru Revisore Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncodegurureviewer.html)  | codeguru-reviewer | 
|  [AWS CodePipeline](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodepipeline.html)  | codepipeline | 
|  [AWS CodeStar](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodestar.html)  | codestar | 
|  [Notifiche AWS CodeStar](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodestarnotifications.html)  | codestar-notifications | 
|  [Amazon Cognito Identity](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitoidentity.html)  | cognito-identity | 
|  [Pool di utenti Amazon Cognito](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitouserpools.html)  | cognito-idp | 
|  [Amazon Cognito Sync](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitosync.html)  | cognito-sync | 
|  [Amazon Comprehend Medical](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html)  | comprehendmedical | 
|  [AWS Compute Optimizer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html)  | compute-optimizer | 
|  [AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html)  | config | 
|  [Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html)  | connect | 
|  [AWS Cost and Usage Report](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostandusagereport.html)  | cur | 
|  [AWS Glue DataBrew](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsgluedatabrew.html)  | databrew | 
|  [AWS Data Exchange](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdataexchange.html)  | dataexchange | 
|  [AWS Data Pipeline](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatapipeline.html)  | datapipeline | 
|  [DynamoDB Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondynamodbacceleratordax.html)  | dax | 
|  [AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html)  | devicefarm | 
|  [Amazon DevOps Guru](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondevopsguru.html)  | devops-guru | 
|  [AWS Direct Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdirectconnect.html)  | directconnect | 
|  [Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondatalifecyclemanager.html)  | dlm | 
|  [AWS Database Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatabasemigrationservice.html)  | dms | 
|  [Cluster elastici Amazon DocumentDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html)  | docdb-elastic | 
|  [Amazon DynamoDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondynamodb.html)  | dynamodb | 
|  [Amazon Elastic Block Store](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html)  | ebs | 
|  [Amazon Elastic Compute Cloud](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html)  | ec2 | 
|  [Amazon Elastic Container Registry](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html)  | ecr | 
|  [Amazon Elastic Container Registry Public](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistrypublic.html)  | ecr-public | 
|  [Amazon Elastic Container Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html)  | ecs | 
|  [Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html)  | eks | 
|  [Amazon ElastiCache](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticache.html)  | elasticache | 
|  [AWS Elastic Beanstalk](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselasticbeanstalk.html)  | elasticbeanstalk | 
|  [Amazon Elastic File System](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticfilesystem.html)  | elasticfilesystem | 
|  [Elastic Load Balancing](https://docs.aws.amazon.com/service-authorization/latest/reference/list_elasticloadbalancing.html)  | elasticloadbalancing | 
|  [Amazon Elastic Transcoder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastictranscoder.html)  | elastictranscoder | 
|  [Amazon EMR su EKS (Containers EMR)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonemroneksemrcontainers.html)  | emr-containers | 
|  [Amazon EMR Serverless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonemrserverless.html)  | emr-serverless | 
|  [ OpenSearch Servizio Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchservice.html)  | es | 
|  [Amazon EventBridge](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridge.html)  | eventi | 
|  [Amazon CloudWatch evidentemente](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchevidently.html)  | evidently | 
|  [Amazon FinSpace](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfinspace.html)  | finspace | 
|  [Amazon Data Firehose](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html)  | firehose | 
|  [AWS Fault Injection Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfaultinjectionsimulator.html)  | fis | 
|  [AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html)  | fms | 
|  [Amazon Fraud Detector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfrauddetector)  | frauddetector | 
|  [Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx)  | fsx | 
|  [ GameLift Server Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazongamelift)  | gamelift | 
|  [Servizio di posizione Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlocation.html)  | geo | 
|  [Amazon Glacier](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3glacier.html)  | glacier | 
|  [Grafana gestito da Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html)  | grafana | 
|  [AWS IoT Greengrass](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotgreengrass.html)  | greengrass | 
|  [AWS Ground Station](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsgroundstation.html)  | groundstation | 
|  [Amazon GuardDuty](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html)  | guardduty | 
|  [AWS HealthLake](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonhealthlake.html)  | healthlake | 
|  [Amazon Honeycode](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonhoneycode.html)  | honeycode | 
|  [AWS Identity and Access Management](https://docs.aws.amazon.com/service-authorization/latest/reference/list_identityandaccessmanagement.html)  | iam | 
|  [AWS Archivio di identità](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentitystore.html)  | identitystore | 
|  [EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html)  | imagebuilder | 
|  [Amazon Inspector Classic](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector.html)  | inspector | 
|  [Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html)  | inspector2 | 
|  [AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html)  | iot | 
|  [AWS IoT Analytics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotanalytics.html)  | iotanalytics | 
|  [AWS IoT Core Device Advisor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotcoredeviceadvisor.html)  | iotdeviceadvisor | 
|  [AWS IoT Events](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotevents.html)  | iotevents | 
|  [AWS IoT Fleet Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleethubfordevicemanagement.html)  | iotfleethub | 
|  [AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html)  | iotsitewise | 
|  [AWS IoT TwinMaker](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiottwinmaker.html)  | iottwinmaker | 
|  [Wireless AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html)  | iotwireless | 
|  [Amazon Interactive Video Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninteractivevideoservice.html)  | ivs | 
|  [Amazon Interactive Video Service Chat](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninteractivevideoservicechat.html)  | ivschat | 
|  [Amazon Managed Streaming per Apache Kafka](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedstreamingforapachekafka.html)  | kafka | 
|  [Amazon Managed Streaming per Kafka Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedstreamingforkafkaconnect.html)  | kafkaconnect | 
|  [Amazon Kendra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkendra.html)  | kendra | 
|  [Amazon Kinesis](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesis.html)  | kinesis | 
|  [Amazon Kinesis Analytics V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalyticsv2.html)  | kinesisanalytics | 
|  [AWS Key Management Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html)  | kms | 
|  [AWS Lambda](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html)  | lambda | 
|  [Amazon Lex](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlexv2.html)  | lex | 
|  [AWS License Manager Gestore abbonamenti Linux](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslicensemanagerlinuxsubscriptionsmanager.html)  | license-manager-linux-subscriptions | 
|  [Amazon Lightsail](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlightsail.html)  | lightsail | 
|  [ CloudWatch Registri Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchlogs.html)  | log | 
|  [Amazon Lookout per le apparecchiature](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutforequipment.html)  | lookoutequipment | 
|  [Amazon Lookout per le metriche](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutformetrics.html)  | lookoutmetrics | 
|  [Amazon Lookout per Vision](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutforvision.html)  | lookoutvision | 
|  [Modernizzazione del mainframe AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmainframemodernizationservice.html)  | m2 | 
|  [Blockchain gestita da Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedblockchain.html)  | managedblockchain | 
|  [AWS Elemental MediaConnect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediaconnect.html)  | mediaconnect | 
|  [AWS Elemental MediaConvert](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediaconvert.html)  | mediaconvert | 
|  [AWS Elemental MediaLive](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmedialive.html)  | medialive | 
|  [AWS Elemental MediaStore](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediastore.html)  | mediastore | 
|  [AWS Elemental MediaTailor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediatailor.html)  | mediatailor | 
|  [Amazon MemoryDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmemorydb.html)  | memorydb | 
|  [AWS Application Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationmigrationservice.html)  | mgn | 
|  [AWS Migration Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhub.html)  | mgh | 
|  [AWS Suggerimenti di strategia dell'Hub di migrazione](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhubstrategyrecommendations.html)  | migrationhub-strategy | 
|  [Amazon Pinpoint](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpoint.html)  | mobiletargeting | 
|  [Amazon MQ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmq.html)  | mq | 
|  [AWS Network Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsnetworkmanager.html)  | networkmanager | 
|  [Amazon Nimble Studio](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonnimblestudio.html)  | nimble | 
|  [AWS HealthOmics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html)  | omics | 
|  [AWS OpsWorks](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsopsworks.html)  | opsworks | 
|  [AWS OpsWorks CM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsopsworksconfigurationmanagement)  | opsworks-cm | 
|  [AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html)  | outposts | 
|  [AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html)  | organizations | 
|  [AWS Panorama](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspanorama.html)  | panorama | 
|  [AWS Performance Insights](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsperformanceinsights.html)  | pi | 
|  [ EventBridgeTubi Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgepipes.html)  | pipes | 
|  [Amazon Polly](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html)  | polly | 
|  [Amazon Connect Customer Profiles](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectcustomerprofiles.html)  | profile | 
|  [Amazon QLDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonqldb.html)  | qldb | 
|  [AWS Resource Access Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceaccessmanager.html)  | ram | 
|  [AWS Cestino di riciclaggio](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html)  | rbin | 
|  [Amazon Relational Database Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrds.html)  | rds | 
|  [Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshift.html)  | redshift | 
|  [API dati di Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshiftdataapi.html)  | redshift-data | 
|  [AWS Migration Hub Refactor Spaces](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhubrefactorspaces.html)  | refactor-spaces | 
|  [Amazon Rekognition](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html)  | rekognition | 
|  [AWS Resilience Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresiliencehub.html)  | resiliencehub | 
|  [Esploratore di risorse AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html)  | resource-explorer-2 | 
|  [AWS Resource Groups](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourcegroups.html)  | resource-groups | 
|  [AWS RoboMaker](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrobomaker.html)  | robomaker | 
|  [AWS Identity and Access Management Ruoli ovunque](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementrolesanywhere.html)  | rolesanywhere | 
|  [Amazon Route 53](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html)  | route53 | 
|  [Controlli di ripristino Amazon Route 53](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html)  | percorso 53- recovery-control-config | 
|  [Preparazione al ripristino di Amazon Route 53](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoveryreadiness.html)  | route53-recovery-readiness | 
|  [Amazon Route 53 Resolver](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53resolver.html)  | route53resolver | 
|  [AWS CloudWatchRUM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudwatchrum.html)  | rum | 
|  [Amazon Simple Storage Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html)  | s3 | 
|  [Amazon S3 su Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3onoutposts.html)  | s3-outposts | 
|  [Funzionalità geospaziali di Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakergeospatialcapabilities.html)  | sagemaker-geospatial | 
|  [Savings Plans](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssavingsplans.html)  | savingsplans | 
|  [ EventBridgeSchemi Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgeschemas.html)  | schemas | 
|  [Amazon SimpleDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsimpledb.html)  | sdb | 
|  [Gestione dei segreti AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecretsmanager.html)  | secretsmanager | 
|  [AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html)  | securityhub | 
|  [Amazon Security Lake](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsecuritylake.html)  | securitylake | 
|  [AWS Serverless Application Repository](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsserverlessapplicationrepository.html)  | serverlessrepo | 
|  [AWS Service Catalog](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsservicecatalog.html)  | servicecatalog | 
|  [AWS Cloud Map](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html)  | servicediscovery | 
|  [Service Quotas](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html)  | servicequotas | 
|  [Amazon Simple Email Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonses.html)  | ses | 
|  [AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html)  | shield | 
|  [AWS Signer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssigner.html)  | signer | 
|  [AWS SimSpace Weaver](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssimspaceweaver.html)  | simspaceweaver | 
|  [AWS Server Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsservermigrationservice.html)  | sms | 
|  [Servizio di SMS e messaggi vocali Amazon Pinpoint](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpointsmsandvoiceservice.html)  | sms-voice | 
|  [AWS Snowball Edge](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssnowball.html)  | snowball | 
|  [Amazon Simple Queue Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsqs.html)  | sqs | 
|  [AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html)  | ssm | 
|  [Strumento di gestione degli incidenti AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanager.html)  | ssm-incidents | 
|  [AWS Systems Manager per SAP](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerforsap.html)  | ssm-sap | 
|  [AWS Step Functions](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstepfunctions.html)  | states | 
|  [AWS Security Token Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecuritytokenservice.html)  | sts | 
|  [Amazon Simple Workflow Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsimpleworkflowservice.html)  | swf | 
|  [Amazon CloudWatch Synthetics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchsynthetics.html)  | synthetics | 
|  [AWS Resource Groups Tagging API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonresourcegrouptaggingapi.html)  | tag | 
|  [Amazon Textract](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html)  | textract | 
|  [Amazon Timestream](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontimestream.html)  | timestream | 
|  [AWS Costruttore di reti di telecomunicazioni](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstelconetworkbuilder.html)  | tnb | 
|  [Amazon Transcribe](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html)  | transcribe | 
|  [AWS Transfer Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html)  | transfer | 
|  [Amazon Translate](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranslate.html)  | translate | 
|  [Amazon Connect Voice ID](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectvoiceid.html)  | voiceid | 
|  [Amazon VPC Lattice](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html)  | vpc-lattice | 
|  [AWS WAFV2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html)  | wafv2 | 
|  [AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html)  | wellarchitected | 
|  [Amazon Connect Wisdom](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectwisdom.html)  | wisdom | 
|  [Amazon WorkLink](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonworklink.html)  | worklink | 
|  [Amazon WorkSpaces](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonworkspaces.html)  | workspace | 
|  [AWS X-Ray](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsx-ray.html)  | xray | 

## Operazioni per le quali sono disponibili le informazioni relative all'ultimo accesso
<a name="access_policies_last-accessed-action-last-accessed-supported-actions"></a>

La tabella seguente elenca le operazioni per le quali sono disponibili le informazioni relative all'ultimo accesso all'operazione stessa.

**Importante**  
L’operazione `iam:UpdateAccountName` sarà dichiarata obsoleta il 22 aprile 2026. Dopo il 22 aprile 2026, l’accesso all’aggiornamento del nome dell’account sarà controllato solo dall’autorizzazione `[account:PutAccountName](https://docs.aws.amazon.com/accounts/latest/reference/API_PutAccountName.html)`. Ti consigliamo vivamente di aggiornare tutte [le politiche di controllo del servizio (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) che controllano gli aggiornamenti dei nomi degli account per utilizzare l'`account:PutAccountName`autorizzazione.


|  **Prefisso del servizio**  |  **Azioni**  | 
| --- | --- | 
| access-analyzer |  analizzatore di accesso: ApplyArchiveRule analizzatore di accesso: CancelPolicyGeneration analizzatore di accesso: CheckAccessNotGranted analizzatore di accesso: CheckNoNewAccess analizzatore di accesso: CheckNoPublicAccess analizzatore di accesso: CreateAccessPreview analizzatore di accesso: CreateAnalyzer analizzatore di accesso: CreateArchiveRule analizzatore di accesso: DeleteAnalyzer analizzatore di accesso: DeleteArchiveRule analizzatore di accesso: GenerateFindingRecommendation analizzatore di accesso: GetAccessPreview analizzatore di accesso: GetAnalyzedResource analizzatore di accesso: GetAnalyzer analizzatore di accesso: GetArchiveRule analizzatore di accesso: GetFinding analizzatore di accesso: GetFindingRecommendation analizzatore di accesso: GetFindingsStatistics analizzatore di accesso: GetGeneratedPolicy analizzatore di accesso: ListAccessPreviewFindings analizzatore di accesso: ListAccessPreviews analizzatore di accesso: ListAnalyzedResources analizzatore di accesso: ListAnalyzers analizzatore di accesso: ListArchiveRules analizzatore di accesso: ListFindings analizzatore di accesso: ListPolicyGenerations analizzatore di accesso: StartPolicyGeneration analizzatore di accesso: StartResourceScan analizzatore di accesso: UpdateAnalyzer analizzatore di accesso: UpdateArchiveRule analizzatore di accesso: UpdateFindings analizzatore di accesso: ValidatePolicy  | 
| account |  conto: AcceptPrimaryEmailUpdate conto: DeleteAlternateContact conto: DisableRegion conto: EnableRegion conto: GetAccountInformation conto: GetAlternateContact conto: GetContactInformation conto: GetGovCloudAccountInformation conto: GetPrimaryEmail conto: GetRegionOptStatus conto: ListRegions conto: PutAccountName conto: PutAlternateContact conto: PutContactInformation conto: StartPrimaryEmailUpdate  | 
| acm |  macchina fotografica: DeleteCertificate acm: DescribeCertificate acm: ExportCertificate acm: GetAccountConfiguration acm: GetCertificate acm: ImportCertificate acm: ListCertificates acm: PutAccountConfiguration acm: RenewCertificate acm: RequestCertificate acm: ResendValidationEmail acm: UpdateCertificateOptions  | 
| airflow |  flusso d'aria: CreateCliToken flusso d'aria: CreateEnvironment flusso d'aria: CreateWebLoginToken flusso d'aria: DeleteEnvironment flusso d'aria: GetEnvironment flusso d'aria: ListEnvironments flusso d'aria: PublishMetrics flusso d'aria: UpdateEnvironment  | 
| amplify |  amplificare: CreateApp amplificare: CreateBackendEnvironment amplificare: CreateBranch amplificare: CreateDeployment amplificare: CreateDomainAssociation amplificare: CreateWebHook amplificare: DeleteApp amplificare: DeleteBackendEnvironment amplificare: DeleteBranch amplificare: DeleteDomainAssociation amplificare: DeleteJob amplificare: DeleteWebHook amplificare: GenerateAccessLogs amplificare: GetApp amplificare: GetArtifactUrl amplificare: GetBackendEnvironment amplificare: GetBranch amplificare: GetDomainAssociation amplificare: GetJob amplificare: GetWebHook amplificare: ListApps amplificare: ListArtifacts amplificare: ListBackendEnvironments amplificare: ListBranches amplificare: ListDomainAssociations amplificare: ListJobs amplificare: ListWebHooks amplificare: StartDeployment amplificare: StartJob amplificare: StopJob amplificare: UpdateApp amplificare: UpdateBranch amplificare: UpdateDomainAssociation amplificare: UpdateWebHook  | 
| amplifyuibuilder |  amplifyuibuilder: CreateComponent amplificyuibuilder: CreateForm amplificyuibuilder: CreateTheme amplificyuibuilder: DeleteComponent amplificyuibuilder: DeleteForm amplificyuibuilder: DeleteTheme amplificyuibuilder: ExportComponents amplificyuibuilder: ExportThemes amplificyuibuilder: GetCodegenJob amplificyuibuilder: ListCodegenJobs amplificyuibuilder: ListComponents amplificyuibuilder: ListForms amplificyuibuilder: ListThemes amplificyuibuilder: ResetMetadataFlag amplificyuibuilder: StartCodegenJob amplificyuibuilder: UpdateComponent amplificyuibuilder: UpdateForm amplificyuibuilder: UpdateTheme  | 
| app-integrations |  integrazioni con app: CreateApplication integrazioni con app: CreateDataIntegration integrazioni con app: CreateDataIntegrationAssociation integrazioni con app: CreateEventIntegration integrazioni con app: DeleteApplication integrazioni con app: DeleteDataIntegration integrazioni con app: DeleteEventIntegration integrazioni con app: GetApplication integrazioni con app: GetDataIntegration integrazioni con app: GetEventIntegration integrazioni con app: ListApplicationAssociations integrazioni con app: ListApplications integrazioni con app: ListDataIntegrationAssociations integrazioni con app: ListDataIntegrations integrazioni con app: ListEventIntegrationAssociations integrazioni con app: ListEventIntegrations integrazioni con app: UpdateApplication integrazioni con app: UpdateDataIntegration integrazioni con app: UpdateDataIntegrationAssociation integrazioni con app: UpdateEventIntegration  | 
| appconfig |  appconfig: CreateApplication app config: CreateConfigurationProfile app config: CreateDeploymentStrategy app config: CreateEnvironment app config: CreateExtension app config: CreateExtensionAssociation app config: CreateHostedConfigurationVersion app config: DeleteApplication app config: DeleteConfigurationProfile app config: DeleteDeploymentStrategy app config: DeleteEnvironment app config: DeleteExtension app config: DeleteExtensionAssociation app config: DeleteHostedConfigurationVersion app config: GetAccountSettings app config: GetApplication app config: GetConfiguration app config: GetConfigurationProfile app config: GetDeployment app config: GetDeploymentStrategy app config: GetEnvironment app config: GetExtension app config: GetExtensionAssociation app config: GetHostedConfigurationVersion app config: ListApplications app config: ListConfigurationProfiles app config: ListDeploymentStrategies app config: ListDeployments app config: ListEnvironments app config: ListExtensionAssociations app config: ListExtensions app config: ListHostedConfigurationVersions app config: StartDeployment app config: StopDeployment app config: UpdateAccountSettings app config: UpdateApplication app config: UpdateConfigurationProfile app config: UpdateDeploymentStrategy app config: UpdateEnvironment app config: UpdateExtension app config: UpdateExtensionAssociation app config: ValidateConfiguration  | 
| appflow |  flusso di app: CancelFlowExecutions flusso di app: CreateConnectorProfile flusso di app: CreateFlow flusso di app: DeleteConnectorProfile flusso di app: DeleteFlow flusso di app: DescribeConnector flusso di app: DescribeConnectorEntity flusso di app: DescribeConnectorProfiles flusso di app: DescribeConnectors flusso di app: DescribeFlow flusso di app: DescribeFlowExecutionRecords flusso di app: ListConnectorEntities flusso di app: ListConnectors flusso di app: ListFlows flusso di app: RegisterConnector flusso di app: ResetConnectorMetadataCache flusso di app: StartFlow flusso di app: StopFlow flusso di app: UnRegisterConnector flusso di app: UpdateConnectorProfile flusso di app: UpdateConnectorRegistration flusso di app: UpdateFlow  | 
| applicationinsights |  approfondimenti sulle applicazioni: AddWorkload approfondimenti sulle applicazioni: CreateApplication approfondimenti sulle applicazioni: CreateComponent approfondimenti sulle applicazioni: CreateLogPattern approfondimenti sulle applicazioni: DeleteApplication approfondimenti sulle applicazioni: DeleteComponent approfondimenti sulle applicazioni: DeleteLogPattern approfondimenti sulle applicazioni: DescribeApplication approfondimenti sulle applicazioni: DescribeComponent approfondimenti sulle applicazioni: DescribeComponentConfiguration approfondimenti sulle applicazioni: DescribeComponentConfigurationRecommendation approfondimenti sulle applicazioni: DescribeLogPattern approfondimenti sulle applicazioni: DescribeObservation approfondimenti sulle applicazioni: DescribeProblem approfondimenti sulle applicazioni: DescribeProblemObservations approfondimenti sulle applicazioni: DescribeWorkload approfondimenti sulle applicazioni: ListApplications approfondimenti sulle applicazioni: ListComponents approfondimenti sulle applicazioni: ListConfigurationHistory approfondimenti sulle applicazioni: ListLogPatternSets approfondimenti sulle applicazioni: ListLogPatterns approfondimenti sulle applicazioni: ListProblems approfondimenti sulle applicazioni: ListWorkloads approfondimenti sulle applicazioni: RemoveWorkload approfondimenti sulle applicazioni: UpdateApplication approfondimenti sulle applicazioni: UpdateComponent approfondimenti sulle applicazioni: UpdateComponentConfiguration approfondimenti sulle applicazioni: UpdateLogPattern approfondimenti sulle applicazioni: UpdateWorkload  | 
| appmesh |  app mesh: CreateGatewayRoute app mesh: CreateMesh app mesh: CreateRoute app mesh: CreateVirtualGateway app mesh: CreateVirtualNode app mesh: CreateVirtualRouter app mesh: CreateVirtualService app mesh: DeleteGatewayRoute app mesh: DeleteMesh app mesh: DeleteRoute app mesh: DeleteVirtualGateway app mesh: DeleteVirtualNode app mesh: DeleteVirtualRouter app mesh: DeleteVirtualService app mesh: DescribeGatewayRoute app mesh: DescribeMesh app mesh: DescribeRoute app mesh: DescribeVirtualGateway app mesh: DescribeVirtualNode app mesh: DescribeVirtualRouter app mesh: DescribeVirtualService app mesh: ListGatewayRoutes app mesh: ListMeshes app mesh: ListRoutes app mesh: ListVirtualGateways app mesh: ListVirtualNodes app mesh: ListVirtualRouters app mesh: ListVirtualServices app mesh: StreamAggregatedResources app mesh: UpdateGatewayRoute app mesh: UpdateMesh app mesh: UpdateRoute app mesh: UpdateVirtualGateway app mesh: UpdateVirtualNode app mesh: UpdateVirtualRouter app mesh: UpdateVirtualService  | 
| appstream |  appstream: AssociateAppBlockBuilderAppBlock appstream: AssociateApplicationFleet appstream: AssociateApplicationToEntitlement appstream: AssociateFleet appstream: AssociateSoftwareToImageBuilder appstream: BatchAssociateUserStack appstream: BatchDisassociateUserStack appstream: CopyImage appstream: CreateAppBlock appstream: CreateAppBlockBuilder appstream: URL CreateAppBlockBuilderStreaming appstream: CreateApplication appstream: CreateDirectoryConfig appstream: CreateEntitlement appstream: CreateFleet appstream: CreateImageBuilder appstream: URL CreateImageBuilderStreaming appstream: CreateStack appstream: URL CreateStreaming appstream: CreateThemeForStack appstream: CreateUpdatedImage appstream: CreateUsageReportSubscription appstream: CreateUser appstream: DeleteAppBlock appstream: DeleteAppBlockBuilder appstream: DeleteApplication appstream: DeleteDirectoryConfig appstream: DeleteEntitlement appstream: DeleteFleet appstream: DeleteImage appstream: DeleteImageBuilder appstream: DeleteImagePermissions appstream: DeleteStack appstream: DeleteThemeForStack appstream: DeleteUsageReportSubscription appstream: DeleteUser appstream: DescribeAppBlockBuilderAppBlockAssociations appstream: DescribeAppBlockBuilders appstream: DescribeAppBlocks appstream: DescribeAppLicenseUsage appstream: DescribeApplicationFleetAssociations appstream: DescribeApplications appstream: DescribeDirectoryConfigs appstream: DescribeEntitlements appstream: DescribeFleets appstream: DescribeImageBuilders appstream: DescribeImagePermissions appstream: DescribeImages appstream: DescribeSessions appstream: DescribeStacks appstream: DescribeThemeForStack appstream: DescribeUsageReportSubscriptions appstream: DescribeUserStackAssociations appstream: DescribeUsers appstream: DisableUser appstream: DisassociateAppBlockBuilderAppBlock appstream: DisassociateApplicationFleet appstream: DisassociateApplicationFromEntitlement appstream: DisassociateFleet appstream: DisassociateSoftwareFromImageBuilder appstream: EnableUser appstream: ExpireSession appstream: GetExportImageTask appstream: ListAssociatedFleets appstream: ListAssociatedStacks appstream: ListEntitledApplications appstream: ListExportImageTasks appstream: StartAppBlockBuilder appstream: StartFleet appstream: StartImageBuilder appstream: StartSoftwareDeploymentToImageBuilder appstream: StopAppBlockBuilder appstream: StopFleet appstream: StopImageBuilder appstream: UpdateAppBlockBuilder appstream: UpdateApplication appstream: UpdateDirectoryConfig appstream: UpdateEntitlement appstream: UpdateFleet appstream: UpdateImagePermissions appstream: UpdateStack appstream: UpdateThemeForStack  | 
| appsync |  sincronizzazione delle app: AssociateApi sincronizzazione delle app: AssociateMergedGraphqlApi sincronizzazione delle app: AssociateSourceGraphqlApi appsync: ACL AssociateWeb sincronizzazione delle app: CreateApi sincronizzazione delle app: CreateApiCache sincronizzazione delle app: CreateApiKey sincronizzazione delle app: CreateChannelNamespace sincronizzazione delle app: CreateDataSource sincronizzazione delle app: CreateDomainName sincronizzazione delle app: CreateFunction sincronizzazione delle app: CreateGraphqlApi sincronizzazione delle app: CreateResolver sincronizzazione delle app: CreateType sincronizzazione delle app: DeleteApi sincronizzazione delle app: DeleteApiCache sincronizzazione delle app: DeleteApiKey sincronizzazione delle app: DeleteChannelNamespace sincronizzazione delle app: DeleteDataSource sincronizzazione delle app: DeleteDomainName sincronizzazione delle app: DeleteFunction sincronizzazione delle app: DeleteGraphqlApi sincronizzazione delle app: DeleteResolver sincronizzazione delle app: DeleteType sincronizzazione delle app: DisassociateApi sincronizzazione delle app: DisassociateMergedGraphqlApi sincronizzazione delle app: DisassociateSourceGraphqlApi appsync: ACL DisassociateWeb sincronizzazione delle app: EvaluateCode sincronizzazione delle app: EvaluateMappingTemplate sincronizzazione delle app: FlushApiCache sincronizzazione delle app: GetApi sincronizzazione delle app: GetApiAssociation sincronizzazione delle app: GetApiCache sincronizzazione delle app: GetChannelNamespace sincronizzazione delle app: GetDataSource sincronizzazione delle app: GetDataSourceIntrospection sincronizzazione delle app: GetDomainName sincronizzazione delle app: GetFunction sincronizzazione delle app: GetGraphqlApi sincronizzazione delle app: GetGraphqlApiEnvironmentVariables sincronizzazione delle app: GetIntrospectionSchema sincronizzazione delle app: GetResolver sincronizzazione delle app: GetSchemaCreationStatus sincronizzazione delle app: GetSourceApiAssociation sincronizzazione delle app: GetType appsync: Risorsa GetWeb ACLFor appsync: ListApiKeys sincronizzazione delle app: ListApis sincronizzazione delle app: ListChannelNamespaces sincronizzazione delle app: ListDataSources sincronizzazione delle app: ListDomainNames sincronizzazione delle app: ListFunctions sincronizzazione delle app: ListGraphqlApis sincronizzazione delle app: ListResolvers sincronizzazione delle app: ListResolversByFunction appsync: ACL ListResourcesForWeb sincronizzazione delle app: ListSourceApiAssociations sincronizzazione delle app: ListTypes sincronizzazione delle app: ListTypesByAssociation sincronizzazione delle app: PutGraphqlApiEnvironmentVariables sincronizzazione delle app: StartDataSourceIntrospection sincronizzazione delle app: StartSchemaCreation sincronizzazione delle app: StartSchemaMerge sincronizzazione delle app: UpdateApi sincronizzazione delle app: UpdateApiCache sincronizzazione delle app: UpdateApiKey sincronizzazione delle app: UpdateChannelNamespace sincronizzazione delle app: UpdateDataSource sincronizzazione delle app: UpdateDomainName sincronizzazione delle app: UpdateFunction sincronizzazione delle app: UpdateGraphqlApi sincronizzazione delle app: UpdateResolver sincronizzazione delle app: UpdateSourceApiAssociation sincronizzazione delle app: UpdateType  | 
| aps |  app: CreateAlertManagerDefinition rubinetti: CreateAnomalyDetector rubinetti: CreateLoggingConfiguration rubinetti: CreateQueryLoggingConfiguration rubinetti: CreateRuleGroupsNamespace rubinetti: CreateWorkspace rubinetti: DeleteAlertManagerDefinition rubinetti: DeleteAnomalyDetector rubinetti: DeleteLoggingConfiguration rubinetti: DeleteQueryLoggingConfiguration rubinetti: DeleteResourcePolicy rubinetti: DeleteRuleGroupsNamespace rubinetti: DeleteScraper rubinetti: DeleteScraperLoggingConfiguration rubinetti: DeleteWorkspace rubinetti: DescribeAlertManagerDefinition rubinetti: DescribeAnomalyDetector rubinetti: DescribeLoggingConfiguration rubinetti: DescribeQueryLoggingConfiguration rubinetti: DescribeResourcePolicy rubinetti: DescribeRuleGroupsNamespace rubinetti: DescribeScraper rubinetti: DescribeScraperLoggingConfiguration rubinetti: DescribeWorkspace rubinetti: DescribeWorkspaceConfiguration rubinetti: GetDefaultScraperConfiguration rubinetti: ListAnomalyDetectors rubinetti: ListRuleGroupsNamespaces rubinetti: ListScrapers rubinetti: ListWorkspaces rubinetti: PutAlertManagerDefinition rubinetti: PutAnomalyDetector rubinetti: PutResourcePolicy rubinetti: PutRuleGroupsNamespace rubinetti: UpdateLoggingConfiguration rubinetti: UpdateQueryLoggingConfiguration rubinetti: UpdateScraper rubinetti: UpdateScraperLoggingConfiguration rubinetti: UpdateWorkspaceAlias rubinetti: UpdateWorkspaceConfiguration  | 
| atena |  atena: BatchGetNamedQuery atena: BatchGetPreparedStatement atena: BatchGetQueryExecution atena: CancelCapacityReservation atena: CreateCapacityReservation atena: CreateDataCatalog atena: CreateNamedQuery atena: CreateNotebook atena: CreatePreparedStatement atena: CreatePresignedNotebookUrl atena: CreateWorkGroup atena: DeleteCapacityReservation atena: DeleteDataCatalog atena: DeleteNamedQuery atena: DeleteNotebook atena: DeletePreparedStatement atena: DeleteWorkGroup atena: ExportNotebook atena: GetCalculationExecution atena: GetCalculationExecutionCode atena: GetCalculationExecutionStatus atena: GetCapacityAssignmentConfiguration atena: GetCapacityReservation atena: GetDataCatalog atena: GetDatabase atena: GetNamedQuery atena: GetNotebookMetadata atena: GetPreparedStatement atena: GetQueryExecution atena: GetQueryResults atena: GetQueryResultsStream atena: GetQueryRuntimeStatistics atena: GetResourceDashboard atena: GetSession atena: GetSessionEndpoint atena: GetSessionStatus atena: GetTableMetadata atena: GetWorkGroup atena: ImportNotebook atena: ListApplication DPUSizes atena: ListCalculationExecutions atena: ListCapacityReservations atena: ListDataCatalogs atena: ListDatabases atena: ListEngineVersions atena: ListExecutors atena: ListNamedQueries atena: ListNotebookMetadata atena: ListNotebookSessions atena: ListPreparedStatements atena: ListQueryExecutions atena: ListSessions atena: ListTableMetadata atena: ListWorkGroups atena: PutCapacityAssignmentConfiguration atena: StartCalculationExecution atena: StartQueryExecution atena: StartSession atena: StopCalculationExecution atena: StopQueryExecution atena: TerminateSession atena: UpdateCapacityReservation atena: UpdateDataCatalog atena: UpdateNamedQuery atena: UpdateNotebook atena: UpdateNotebookMetadata atena: UpdatePreparedStatement atena: UpdateWorkGroup  | 
| auditmanager |  responsabile dell'audit: AssociateAssessmentReportEvidenceFolder responsabile dell'audit: BatchAssociateAssessmentReportEvidence responsabile dell'audit: BatchCreateDelegationByAssessment responsabile dell'audit: BatchDeleteDelegationByAssessment responsabile dell'audit: BatchDisassociateAssessmentReportEvidence responsabile dell'audit: BatchImportEvidenceToAssessmentControl responsabile dell'audit: CreateAssessment responsabile dell'audit: CreateAssessmentFramework responsabile dell'audit: CreateAssessmentReport responsabile dell'audit: CreateControl responsabile dell'audit: DeleteAssessment responsabile dell'audit: DeleteAssessmentFramework responsabile dell'audit: DeleteAssessmentFrameworkShare responsabile dell'audit: DeleteAssessmentReport responsabile dell'audit: DeleteControl responsabile dell'audit: DeregisterAccount responsabile dell'audit: DeregisterOrganizationAdminAccount responsabile dell'audit: DisassociateAssessmentReportEvidenceFolder responsabile dell'audit: GetAccountStatus responsabile dell'audit: GetAssessment responsabile dell'audit: GetAssessmentFramework responsabile dell'audit: GetAssessmentReportUrl responsabile dell'audit: GetChangeLogs responsabile dell'audit: GetControl responsabile dell'audit: GetDelegations responsabile dell'audit: GetEvidence responsabile dell'audit: GetEvidenceByEvidenceFolder responsabile dell'audit: GetEvidenceFileUploadUrl responsabile dell'audit: GetEvidenceFolder responsabile dell'audit: GetEvidenceFoldersByAssessment responsabile dell'audit: GetEvidenceFoldersByAssessmentControl responsabile dell'audit: GetInsights responsabile dell'audit: GetInsightsByAssessment responsabile dell'audit: GetOrganizationAdminAccount responsabile dell'audit: GetServicesInScope responsabile dell'audit: GetSettings responsabile dell'audit: ListAssessmentControlInsightsByControlDomain responsabile dell'audit: ListAssessmentFrameworkShareRequests responsabile dell'audit: ListAssessmentFrameworks responsabile dell'audit: ListAssessmentReports responsabile dell'audit: ListAssessments responsabile dell'audit: ListControlDomainInsights responsabile dell'audit: ListControlDomainInsightsByAssessment responsabile dell'audit: ListControlInsightsByControlDomain responsabile dell'audit: ListControls responsabile dell'audit: ListKeywordsForDataSource responsabile dell'audit: ListNotifications responsabile dell'audit: RegisterAccount responsabile dell'audit: RegisterOrganizationAdminAccount responsabile dell'audit: StartAssessmentFrameworkShare responsabile dell'audit: UpdateAssessment responsabile dell'audit: UpdateAssessmentControl responsabile dell'audit: UpdateAssessmentControlSetStatus responsabile dell'audit: UpdateAssessmentFramework responsabile dell'audit: UpdateAssessmentFrameworkShare responsabile dell'audit: UpdateAssessmentStatus responsabile dell'audit: UpdateControl responsabile dell'audit: UpdateSettings responsabile dell'audit: ValidateAssessmentReportIntegrity  | 
| scalabilità automatica |  scalabilità automatica: AttachInstances scalabilità automatica: AttachLoadBalancerTargetGroups scalabilità automatica: AttachLoadBalancers scalabilità automatica: AttachTrafficSources scalabilità automatica: BatchDeleteScheduledAction scalabilità automatica: BatchPutScheduledUpdateGroupAction scalabilità automatica: CancelInstanceRefresh scalabilità automatica: CompleteLifecycleAction scalabilità automatica: CreateAutoScalingGroup scalabilità automatica: CreateLaunchConfiguration scalabilità automatica: DeleteAutoScalingGroup scalabilità automatica: DeleteLaunchConfiguration scalabilità automatica: DeleteLifecycleHook scalabilità automatica: DeleteNotificationConfiguration scalabilità automatica: DeletePolicy scalabilità automatica: DeleteScheduledAction scalabilità automatica: DeleteWarmPool scalabilità automatica: DescribeAccountLimits scalabilità automatica: DescribeAdjustmentTypes scalabilità automatica: DescribeAutoScalingGroups scalabilità automatica: DescribeAutoScalingInstances scalabilità automatica: DescribeAutoScalingNotificationTypes scalabilità automatica: DescribeInstanceRefreshes scalabilità automatica: DescribeLaunchConfigurations scalabilità automatica: DescribeLifecycleHookTypes scalabilità automatica: DescribeLifecycleHooks scalabilità automatica: DescribeLoadBalancerTargetGroups scalabilità automatica: DescribeLoadBalancers scalabilità automatica: DescribeMetricCollectionTypes scalabilità automatica: DescribeNotificationConfigurations scalabilità automatica: DescribePolicies scalabilità automatica: DescribeScalingActivities scalabilità automatica: DescribeScalingProcessTypes scalabilità automatica: DescribeScheduledActions scalabilità automatica: DescribeTerminationPolicyTypes scalabilità automatica: DescribeTrafficSources scalabilità automatica: DescribeWarmPool scalabilità automatica: DetachInstances scalabilità automatica: DetachLoadBalancerTargetGroups scalabilità automatica: DetachLoadBalancers scalabilità automatica: DetachTrafficSources scalabilità automatica: DisableMetricsCollection scalabilità automatica: EnableMetricsCollection scalabilità automatica: EnterStandby scalabilità automatica: ExecutePolicy scalabilità automatica: ExitStandby scalabilità automatica: GetPredictiveScalingForecast scalabilità automatica: PutLifecycleHook scalabilità automatica: PutNotificationConfiguration scalabilità automatica: PutScalingPolicy scalabilità automatica: PutScheduledUpdateGroupAction scalabilità automatica: PutWarmPool scalabilità automatica: RecordLifecycleActionHeartbeat scalabilità automatica: ResumeProcesses scalabilità automatica: RollbackInstanceRefresh scalabilità automatica: SetDesiredCapacity scalabilità automatica: SetInstanceHealth scalabilità automatica: SetInstanceProtection scalabilità automatica: StartInstanceRefresh scalabilità automatica: SuspendProcesses scalabilità automatica: TerminateInstanceInAutoScalingGroup scalabilità automatica: UpdateAutoScalingGroup  | 
| aws-marketplace |  aws-marketplace: GetEntitlements  | 
| backup |  backup: CancelLegalHold backup: CreateBackupPlan backup: CreateBackupSelection backup: CreateBackupVault backup: CreateFramework backup: CreateLegalHold backup: CreateLogicallyAirGappedBackupVault backup: CreateReportPlan backup: CreateRestoreAccessBackupVault backup: CreateRestoreTestingPlan backup: CreateRestoreTestingSelection backup: CreateTieringConfiguration backup: DeleteBackupPlan backup: DeleteBackupSelection backup: DeleteBackupVault backup: DeleteBackupVaultAccessPolicy backup: DeleteBackupVaultLockConfiguration backup: DeleteBackupVaultNotifications backup: DeleteFramework backup: DeleteRecoveryPoint backup: DeleteReportPlan backup: DeleteRestoreTestingPlan backup: DeleteRestoreTestingSelection backup: DeleteTieringConfiguration backup: DescribeBackupJob backup: DescribeBackupVault backup: DescribeCopyJob backup: DescribeFramework backup: DescribeGlobalSettings backup: DescribeProtectedResource backup: DescribeRecoveryPoint backup: DescribeRegionSettings backup: DescribeReportJob backup: DescribeReportPlan backup: DescribeRestoreJob backup: DescribeScanJob backup: DisassociateRecoveryPoint backup: DisassociateRecoveryPointFromParent backup: ExportBackupPlanTemplate backup: GetBackupPlan backup: GetBackupPlanFrom JSON backup: GetBackupPlanFromTemplate backup: GetBackupSelection backup: GetBackupVaultAccessPolicy backup: GetBackupVaultNotifications backup: GetLegalHold backup: GetRecoveryPointRestoreMetadata backup: GetRestoreJobMetadata backup: GetRestoreTestingInferredMetadata backup: GetRestoreTestingPlan backup: GetRestoreTestingSelection backup: GetSupportedResourceTypes backup: GetTieringConfiguration backup: ListBackupJobSummaries backup: ListBackupJobs backup: ListBackupPlanTemplates backup: ListBackupPlanVersions backup: ListBackupPlans backup: ListBackupSelections backup: ListBackupVaults backup: ListCopyJobSummaries backup: ListCopyJobs backup: ListFrameworks backup: ListIndexedRecoveryPoints backup: ListLegalHolds backup: ListProtectedResources backup: ListRecoveryPointsByBackupVault backup: ListRecoveryPointsByLegalHold backup: ListRecoveryPointsByResource backup: ListReportJobs backup: ListReportPlans backup: ListRestoreAccessBackupVaults backup: ListRestoreJobSummaries backup: ListRestoreJobs backup: ListRestoreJobsByProtectedResource backup: ListRestoreTestingPlans backup: ListRestoreTestingSelections backup: ListScanJobSummaries backup: ListScanJobs backup: ListTieringConfigurations backup: PutBackupVaultAccessPolicy backup: PutBackupVaultLockConfiguration backup: PutBackupVaultNotifications backup: PutRestoreValidationResult backup: StartBackupJob backup: StartCopyJob backup: StartReportJob backup: StartRestoreJob backup: StopBackupJob backup: UpdateBackupPlan backup: UpdateFramework backup: UpdateGlobalSettings backup: UpdateRecoveryPointLifecycle backup: UpdateRegionSettings backup: UpdateReportPlan backup: UpdateRestoreTestingPlan backup: UpdateRestoreTestingSelection backup: UpdateTieringConfiguration  | 
| batch |  lotto: CancelJob lotto: CreateComputeEnvironment lotto: CreateConsumableResource lotto: CreateJobQueue lotto: CreateSchedulingPolicy lotto: CreateServiceEnvironment lotto: DeleteComputeEnvironment lotto: DeleteConsumableResource lotto: DeleteJobQueue lotto: DeleteSchedulingPolicy lotto: DeleteServiceEnvironment lotto: DeregisterJobDefinition lotto: DescribeComputeEnvironments lotto: DescribeConsumableResource lotto: DescribeJobDefinitions lotto: DescribeJobQueues lotto: DescribeJobs lotto: DescribeSchedulingPolicies lotto: DescribeServiceEnvironments lotto: DescribeServiceJob lotto: GetJobQueueSnapshot lotto: ListConsumableResources lotto: ListJobs lotto: ListJobsByConsumableResource lotto: ListSchedulingPolicies lotto: ListServiceJobs lotto: RegisterJobDefinition lotto: SubmitJob lotto: SubmitServiceJob lotto: TerminateJob lotto: TerminateServiceJob lotto: UpdateComputeEnvironment lotto: UpdateConsumableResource lotto: UpdateJobQueue lotto: UpdateSchedulingPolicy lotto: UpdateServiceEnvironment  | 
| braket |  staffa: CancelJob staffa: CancelQuantumTask staffa: CreateJob staffa: CreateQuantumTask staffa: CreateSpendingLimit staffa: GetDevice staffa: GetJob staffa: GetQuantumTask staffa: SearchDevices staffa: SearchJobs staffa: SearchQuantumTasks staffa: SearchSpendingLimits  | 
| budgets |  bilanci: CreateBudgetAction bilanci: DeleteBudgetAction bilanci: DescribeBudgetAction bilanci: DescribeBudgetActionHistories bilanci: DescribeBudgetActionsForAccount bilanci: DescribeBudgetActionsForBudget bilanci: ExecuteBudgetAction bilanci: ModifyBudget bilanci: UpdateBudgetAction bilanci: ViewBudget  | 
| cloud9 |  cloud 9: CreateEnvironment EC2 nuvola 9: CreateEnvironmentMembership nuvola 9: DeleteEnvironment nuvola 9: DeleteEnvironmentMembership nuvola 9: DescribeEnvironmentMemberships nuvola 9: DescribeEnvironmentStatus nuvola 9: DescribeEnvironments nuvola 9: ListEnvironments nuvola 9: UpdateEnvironment nuvola 9: UpdateEnvironmentMembership  | 
| cloudformation |  formazione di nuvole: BatchDescribeTypeConfigurations formazione di nuvole: CancelUpdateStack formazione di nuvole: ContinueUpdateRollback formazione di nuvole: CreateChangeSet formazione di nuvole: CreateGeneratedTemplate formazione di nuvole: CreateStack formazione di nuvole: CreateStackInstances formazione di nuvole: CreateStackSet formazione di nuvole: DeactivateType formazione di nuvole: DeleteChangeSet formazione di nuvole: DeleteGeneratedTemplate formazione di nuvole: DeleteStack formazione di nuvole: DeleteStackInstances formazione di nuvole: DeleteStackSet formazione di nuvole: DeregisterType formazione di nuvole: DescribeAccountLimits formazione di nuvole: DescribeChangeSet formazione di nuvole: DescribeChangeSetHooks formazione di nuvole: DescribeEvents formazione di nuvole: DescribeGeneratedTemplate formazione di nuvole: DescribeOrganizationsAccess formazione di nuvole: DescribePublisher formazione di nuvole: DescribeResourceScan formazione di nuvole: DescribeStackDriftDetectionStatus formazione di nuvole: DescribeStackEvents formazione di nuvole: DescribeStackInstance formazione di nuvole: DescribeStackResource formazione di nuvole: DescribeStackResourceDrifts formazione di nuvole: DescribeStackResources formazione di nuvole: DescribeStackSet formazione di nuvole: DescribeStackSetOperation formazione di nuvole: DescribeStacks formazione di nuvole: DescribeType formazione di nuvole: DescribeTypeRegistration formazione di nuvole: DetectStackDrift formazione di nuvole: DetectStackResourceDrift formazione di nuvole: DetectStackSetDrift formazione di nuvole: EstimateTemplateCost formazione di nuvole: ExecuteChangeSet formazione di nuvole: GetGeneratedTemplate formazione di nuvole: GetHookResult formazione di nuvole: GetStackPolicy formazione di nuvole: GetTemplate formazione di nuvole: GetTemplateSummary formazione di nuvole: ImportStacksToStackSet formazione di nuvole: ListChangeSets formazione di nuvole: ListExports formazione di nuvole: ListGeneratedTemplates formazione di nuvole: ListHookResults formazione di nuvole: ListImports formazione di nuvole: ListResourceScanRelatedResources formazione di nuvole: ListResourceScanResources formazione di nuvole: ListResourceScans formazione di nuvole: ListStackInstanceResourceDrifts formazione di nuvole: ListStackInstances formazione di nuvole: ListStackRefactors formazione di nuvole: ListStackResources formazione di nuvole: ListStackSetAutoDeploymentTargets formazione di nuvole: ListStackSetOperationResults formazione di nuvole: ListStackSetOperations formazione di nuvole: ListStackSets formazione di nuvole: ListTypeRegistrations formazione di nuvole: ListTypeVersions formazione di nuvole: ListTypes formazione di nuvole: PublishType formazione di nuvole: RecordHandlerProgress formazione di nuvole: RegisterPublisher formazione di nuvole: RegisterType formazione di nuvole: RollbackStack formazione di nuvole: SetStackPolicy formazione di nuvole: SetTypeConfiguration formazione di nuvole: SetTypeDefaultVersion formazione di nuvole: SignalResource formazione di nuvole: StartResourceScan formazione di nuvole: StopStackSetOperation formazione di nuvole: TestType formazione di nuvole: UpdateGeneratedTemplate formazione di nuvole: UpdateStack formazione di nuvole: UpdateStackInstances formazione di nuvole: UpdateStackSet formazione di nuvole: UpdateTerminationProtection formazione di nuvole: ValidateTemplate  | 
| cloudfront |  fronte cloud: AssociateAlias cloudfront: ACL AssociateDistributionTenantWeb cloudfront: ACL AssociateDistributionWeb fronte cloud: CreateCachePolicy fronte cloud: CreateCloudFrontOriginAccessIdentity fronte cloud: CreateConnectionFunction fronte cloud: CreateContinuousDeploymentPolicy fronte cloud: CreateDistributionTenant fronte cloud: CreateFieldLevelEncryptionConfig fronte cloud: CreateFieldLevelEncryptionProfile fronte cloud: CreateFunction fronte cloud: CreateInvalidation fronte cloud: CreateKeyGroup fronte cloud: CreateKeyValueStore fronte cloud: CreateMonitoringSubscription fronte cloud: CreateOriginAccessControl fronte cloud: CreateOriginRequestPolicy fronte cloud: CreatePublicKey fronte cloud: CreateRealtimeLogConfig fronte cloud: CreateResponseHeadersPolicy fronte cloud: CreateTrustStore fronte cloud: DeleteAnycastIpList fronte cloud: DeleteCachePolicy fronte cloud: DeleteCloudFrontOriginAccessIdentity fronte cloud: DeleteConnectionFunction fronte cloud: DeleteConnectionGroup fronte cloud: DeleteContinuousDeploymentPolicy fronte cloud: DeleteDistribution fronte cloud: DeleteDistributionTenant fronte cloud: DeleteFieldLevelEncryptionConfig fronte cloud: DeleteFieldLevelEncryptionProfile fronte cloud: DeleteFunction fronte cloud: DeleteKeyGroup fronte cloud: DeleteKeyValueStore fronte cloud: DeleteMonitoringSubscription fronte cloud: DeleteOriginAccessControl fronte cloud: DeleteOriginRequestPolicy fronte cloud: DeletePublicKey fronte cloud: DeleteRealtimeLogConfig fronte cloud: DeleteResponseHeadersPolicy fronte cloud: DeleteStreamingDistribution fronte cloud: DeleteTrustStore fronte cloud: DeleteVpcOrigin fronte cloud: DescribeFunction fronte cloud: DescribeKeyValueStore cloudfront: ACL DisassociateDistributionTenantWeb cloudfront: ACL DisassociateDistributionWeb fronte cloud: GetAnycastIpList fronte cloud: GetCachePolicy fronte cloud: GetCachePolicyConfig fronte cloud: GetCloudFrontOriginAccessIdentity fronte cloud: GetCloudFrontOriginAccessIdentityConfig fronte cloud: GetContinuousDeploymentPolicy fronte cloud: GetContinuousDeploymentPolicyConfig fronte cloud: GetDistributionConfig fronte cloud: GetFieldLevelEncryption fronte cloud: GetFieldLevelEncryptionConfig fronte cloud: GetFieldLevelEncryptionProfile fronte cloud: GetFieldLevelEncryptionProfileConfig fronte cloud: GetFunction fronte cloud: GetInvalidation fronte cloud: GetInvalidationForDistributionTenant fronte cloud: GetKeyGroup fronte cloud: GetKeyGroupConfig fronte cloud: GetMonitoringSubscription fronte cloud: GetOriginAccessControl fronte cloud: GetOriginAccessControlConfig fronte cloud: GetOriginRequestPolicy fronte cloud: GetOriginRequestPolicyConfig fronte cloud: GetPublicKey fronte cloud: GetPublicKeyConfig fronte cloud: GetRealtimeLogConfig fronte cloud: GetResponseHeadersPolicy fronte cloud: GetResponseHeadersPolicyConfig fronte cloud: GetStreamingDistribution fronte cloud: GetStreamingDistributionConfig fronte cloud: GetVpcOrigin fronte cloud: ListAnycastIpLists fronte cloud: ListCachePolicies fronte cloud: ListCloudFrontOriginAccessIdentities fronte cloud: ListConflictingAliases fronte cloud: ListConnectionFunctions fronte cloud: ListConnectionGroups fronte cloud: ListContinuousDeploymentPolicies fronte cloud: ListDistributionTenants fronte cloud: ListDistributionTenantsByCustomization fronte cloud: ListDistributions fronte cloud: ListDistributionsByAnycastIpListId fronte cloud: ListDistributionsByCachePolicyId fronte cloud: ListDistributionsByConnectionMode fronte cloud: ListDistributionsByKeyGroup fronte cloud: ListDistributionsByOriginRequestPolicyId fronte cloud: ListDistributionsByRealtimeLogConfig fronte cloud: ListDistributionsByResponseHeadersPolicyId fronte cloud: ListDistributionsByVpcOriginId fronte cloud: ListDistributionsByWeb ACLId fronte cloud: ListFieldLevelEncryptionConfigs fronte cloud: ListFieldLevelEncryptionProfiles fronte cloud: ListFunctions fronte cloud: ListInvalidations fronte cloud: ListInvalidationsForDistributionTenant fronte cloud: ListKeyGroups fronte cloud: ListKeyValueStores fronte cloud: ListOriginAccessControls fronte cloud: ListOriginRequestPolicies fronte cloud: ListPublicKeys fronte cloud: ListRealtimeLogConfigs fronte cloud: ListResponseHeadersPolicies fronte cloud: ListStreamingDistributions fronte cloud: ListTrustStores fronte cloud: PublishConnectionFunction fronte cloud: PublishFunction fronte cloud: TestConnectionFunction fronte cloud: TestFunction fronte cloud: UpdateAnycastIpList fronte cloud: UpdateCachePolicy fronte cloud: UpdateCloudFrontOriginAccessIdentity fronte cloud: UpdateConnectionFunction fronte cloud: UpdateConnectionGroup fronte cloud: UpdateContinuousDeploymentPolicy fronte cloud: UpdateDistribution fronte cloud: UpdateDistributionTenant fronte cloud: UpdateFieldLevelEncryptionConfig fronte cloud: UpdateFieldLevelEncryptionProfile fronte cloud: UpdateFunction fronte cloud: UpdateKeyGroup fronte cloud: UpdateKeyValueStore fronte cloud: UpdateOriginAccessControl fronte cloud: UpdateOriginRequestPolicy fronte cloud: UpdatePublicKey fronte cloud: UpdateRealtimeLogConfig fronte cloud: UpdateResponseHeadersPolicy fronte cloud: UpdateTrustStore  | 
| cloudhsm |  cloudhsm: CreateHsm cloudhsm: DeleteBackup cloudhsm: DeleteHsm cloudhsm: DeleteResourcePolicy cloudhsm: DescribeBackups cloudhsm: DescribeClusters cloudhsm: GetResourcePolicy cloudhsm: InitializeCluster cloudhsm: ModifyBackupAttributes cloudhsm: ModifyCluster cloudhsm: PutResourcePolicy cloudhsm: RestoreBackup  | 
| cloudsearch |  ricerca nel cloud: BuildSuggesters ricerca nel cloud: CreateDomain ricerca nel cloud: DefineAnalysisScheme ricerca nel cloud: DefineExpression ricerca nel cloud: DefineIndexField ricerca nel cloud: DefineSuggester ricerca nel cloud: DeleteAnalysisScheme ricerca nel cloud: DeleteDomain ricerca nel cloud: DeleteExpression ricerca nel cloud: DeleteIndexField ricerca nel cloud: DeleteSuggester ricerca nel cloud: DescribeAnalysisSchemes ricerca nel cloud: DescribeAvailabilityOptions ricerca nel cloud: DescribeDomainEndpointOptions ricerca nel cloud: DescribeDomains ricerca nel cloud: DescribeExpressions ricerca nel cloud: DescribeIndexFields ricerca nel cloud: DescribeScalingParameters ricerca nel cloud: DescribeServiceAccessPolicies ricerca nel cloud: DescribeSuggesters ricerca nel cloud: IndexDocuments ricerca nel cloud: ListDomainNames ricerca nel cloud: UpdateAvailabilityOptions ricerca nel cloud: UpdateDomainEndpointOptions ricerca nel cloud: UpdateScalingParameters ricerca nel cloud: UpdateServiceAccessPolicies  | 
| cloudtrail |  pista nuvolosa: CancelQuery pista nuvolosa: CreateChannel pista nuvolosa: CreateDashboard pista nuvolosa: CreateEventDataStore pista nuvolosa: CreateTrail pista nuvolosa: DeleteChannel pista nuvolosa: DeleteDashboard pista nuvolosa: DeleteEventDataStore pista nuvolosa: DeleteResourcePolicy pista nuvolosa: DeleteTrail pista nuvolosa: DeregisterOrganizationDelegatedAdmin pista nuvolosa: DescribeQuery pista nuvolosa: DescribeTrails pista nuvolosa: DisableFederation pista nuvolosa: GenerateQuery pista nuvolosa: GetChannel pista nuvolosa: GetDashboard pista nuvolosa: GetEventConfiguration pista nuvolosa: GetEventDataStore pista nuvolosa: GetEventDataStoreData pista nuvolosa: GetEventSelectors pista nuvolosa: GetImport pista nuvolosa: GetInsightSelectors pista nuvolosa: GetResourcePolicy pista nuvolosa: GetTrail pista nuvolosa: GetTrailStatus pista nuvolosa: ListChannels pista nuvolosa: ListDashboards pista nuvolosa: ListEventDataStores pista nuvolosa: ListImportFailures pista nuvolosa: ListImports pista nuvolosa: ListInsightsData pista nuvolosa: ListPublicKeys pista nuvolosa: ListQueries pista nuvolosa: ListTrails pista nuvolosa: LookupEvents pista nuvolosa: PutEventConfiguration pista nuvolosa: PutEventSelectors pista nuvolosa: PutInsightSelectors pista nuvolosa: PutResourcePolicy pista nuvolosa: RegisterOrganizationDelegatedAdmin pista nuvolosa: RestoreEventDataStore pista nuvolosa: SearchSampleQueries pista nuvolosa: StartEventDataStoreIngestion pista nuvolosa: StartImport pista nuvolosa: StartLogging pista nuvolosa: StartQuery pista nuvolosa: StopEventDataStoreIngestion pista nuvolosa: StopImport pista nuvolosa: StopLogging pista nuvolosa: UpdateChannel pista nuvolosa: UpdateDashboard pista nuvolosa: UpdateEventDataStore pista nuvolosa: UpdateTrail  | 
| cloudwatch |  orologio cloud: DeleteAlarms orologio nuvoloso: DeleteAnomalyDetector orologio nuvoloso: DeleteDashboards orologio nuvoloso: DeleteInsightRules orologio nuvoloso: DeleteMetricStream orologio nuvoloso: DescribeAlarmHistory orologio nuvoloso: DescribeAlarms orologio nuvoloso: DescribeAlarmsForMetric orologio nuvoloso: DescribeAnomalyDetectors orologio nuvoloso: DescribeInsightRules orologio nuvoloso: DisableAlarmActions orologio nuvoloso: DisableInsightRules orologio nuvoloso: EnableAlarmActions orologio nuvoloso: EnableInsightRules orologio nuvoloso: GetDashboard orologio nuvoloso: GetInsightRuleReport orologio nuvoloso: GetMetricStatistics orologio nuvoloso: GetMetricStream orologio nuvoloso: ListDashboards orologio nuvoloso: ListManagedInsightRules orologio nuvoloso: ListMetricStreams orologio nuvoloso: PutAnomalyDetector orologio nuvoloso: PutCompositeAlarm orologio nuvoloso: PutDashboard orologio nuvoloso: PutInsightRule orologio nuvoloso: PutManagedInsightRules orologio nuvoloso: PutMetricAlarm orologio nuvoloso: PutMetricStream orologio nuvoloso: SetAlarmState orologio nuvoloso: StartMetricStreams orologio nuvoloso: StopMetricStreams  | 
| codeartifact |  artefatto del codice: AssociateExternalConnection artefatto del codice: CopyPackageVersions artefatto del codice: CreateDomain artefatto del codice: CreateRepository artefatto del codice: DeleteDomain artefatto del codice: DeleteDomainPermissionsPolicy artefatto del codice: DeletePackage artefatto del codice: DeletePackageVersions artefatto del codice: DeleteRepository artefatto del codice: DeleteRepositoryPermissionsPolicy artefatto del codice: DescribeDomain artefatto del codice: DescribePackage artefatto del codice: DescribePackageVersion artefatto del codice: DescribeRepository artefatto del codice: DisassociateExternalConnection artefatto del codice: DisposePackageVersions artefatto del codice: GetAssociatedPackageGroup artefatto del codice: GetAuthorizationToken artefatto del codice: GetDomainPermissionsPolicy artefatto del codice: GetPackageVersionAsset artefatto del codice: GetPackageVersionReadme artefatto del codice: GetRepositoryEndpoint artefatto del codice: GetRepositoryPermissionsPolicy artefatto del codice: ListDomains artefatto del codice: ListPackageGroups artefatto del codice: ListPackageVersionAssets artefatto del codice: ListPackageVersionDependencies artefatto del codice: ListPackageVersions artefatto del codice: ListPackages artefatto del codice: ListRepositories artefatto del codice: ListRepositoriesInDomain artefatto del codice: PublishPackageVersion artefatto del codice: PutDomainPermissionsPolicy artefatto del codice: PutPackageMetadata artefatto del codice: PutPackageOriginConfiguration artefatto del codice: PutRepositoryPermissionsPolicy artefatto del codice: ReadFromRepository artefatto del codice: UpdatePackageVersionsStatus artefatto del codice: UpdateRepository  | 
| codedeploy |  distribuzione del codice: BatchGetApplicationRevisions codedeploy: BatchGetApplications codedeploy: BatchGetDeploymentGroups codedeploy: BatchGetDeploymentInstances codedeploy: BatchGetDeploymentTargets codedeploy: BatchGetDeployments codedeploy: BatchGetOnPremisesInstances codedeploy: ContinueDeployment codedeploy: CreateApplication codedeploy: CreateDeployment codedeploy: CreateDeploymentConfig codedeploy: CreateDeploymentGroup codedeploy: DeleteApplication codedeploy: DeleteDeploymentConfig codedeploy: DeleteDeploymentGroup codedeploy: DeleteGitHubAccountToken codedeploy: DeleteResourcesByExternalId codedeploy: DeregisterOnPremisesInstance codedeploy: GetApplication codedeploy: GetApplicationRevision codedeploy: GetDeployment codedeploy: GetDeploymentConfig codedeploy: GetDeploymentGroup codedeploy: GetDeploymentInstance codedeploy: GetDeploymentTarget codedeploy: GetOnPremisesInstance codedeploy: ListApplicationRevisions codedeploy: ListApplications codedeploy: ListDeploymentConfigs codedeploy: ListDeploymentGroups codedeploy: ListDeploymentInstances codedeploy: ListDeploymentTargets codedeploy: ListDeployments codedeploy: ListGitHubAccountTokenNames codedeploy: ListOnPremisesInstances codedeploy: PutLifecycleEventHookExecutionStatus codedeploy: RegisterApplicationRevision codedeploy: RegisterOnPremisesInstance codedeploy: SkipWaitTimeForInstanceTermination codedeploy: StopDeployment codedeploy: UpdateApplication codedeploy: UpdateDeploymentGroup  | 
| codeguru-profiler |  profilo codeguru: AddNotificationChannels codeguru profiler: BatchGetFrameMetricData codeguru profiler: CreateProfilingGroup codeguru profiler: DeleteProfilingGroup codeguru profiler: DescribeProfilingGroup codeguru profiler: GetFindingsReportAccountSummary codeguru profiler: GetNotificationConfiguration codeguru profiler: GetPolicy codeguru profiler: GetProfile codeguru profiler: GetRecommendations codeguru profiler: ListFindingsReports codeguru profiler: ListProfileTimes codeguru profiler: ListProfilingGroups codeguru profiler: PutPermission codeguru profiler: RemoveNotificationChannel codeguru profiler: RemovePermission codeguru profiler: SubmitFeedback codeguru profiler: UpdateProfilingGroup  | 
| codeguru-reviewer |  revisore di codeguru: AssociateRepository revisore di codeguru: CreateCodeReview revisore di codeguru: DescribeCodeReview revisore di codeguru: DescribeRecommendationFeedback revisore di codeguru: DescribeRepositoryAssociation revisore di codeguru: DisassociateRepository revisore di codeguru: ListCodeReviews revisore di codeguru: ListRecommendationFeedback revisore di codeguru: ListRecommendations revisore di codeguru: ListRepositoryAssociations revisore di codeguru: PutRecommendationFeedback  | 
| codepipeline |  pipeline di codici: AcknowledgeJob pipeline di codice: AcknowledgeThirdPartyJob pipeline di codice: CreateCustomActionType pipeline di codice: CreatePipeline pipeline di codice: DeleteCustomActionType pipeline di codice: DeletePipeline pipeline di codice: DeleteWebhook pipeline di codice: DeregisterWebhookWithThirdParty pipeline di codice: GetActionType pipeline di codice: GetJobDetails pipeline di codice: GetPipeline pipeline di codice: GetPipelineExecution pipeline di codice: GetPipelineState pipeline di codice: GetThirdPartyJobDetails pipeline di codice: ListActionExecutions pipeline di codice: ListActionTypes pipeline di codice: ListPipelineExecutions pipeline di codice: ListPipelines pipeline di codice: ListRuleExecutions pipeline di codice: ListRuleTypes pipeline di codice: ListWebhooks pipeline di codice: OverrideStageCondition pipeline di codice: PollForJobs pipeline di codice: PollForThirdPartyJobs pipeline di codice: PutActionRevision pipeline di codice: PutApprovalResult pipeline di codice: PutJobFailureResult pipeline di codice: PutJobSuccessResult pipeline di codice: PutThirdPartyJobFailureResult pipeline di codice: PutThirdPartyJobSuccessResult pipeline di codice: PutWebhook pipeline di codice: RegisterWebhookWithThirdParty pipeline di codice: RollbackStage pipeline di codice: StartPipelineExecution pipeline di codice: StopPipelineExecution pipeline di codice: UpdateActionType pipeline di codice: UpdatePipeline  | 
| codestar |  codestar: AssociateTeamMember codestar: CreateProject codestar: CreateUserProfile codestar: DeleteProject codestar: DeleteUserProfile codestar: DescribeProject codestar: DescribeUserProfile codestar: DisassociateTeamMember codestar: ListProjects codestar: ListResources codestar: ListTeamMembers codestar: ListUserProfiles codestar: UpdateProject codestar: UpdateTeamMember codestar: UpdateUserProfile  | 
| codestar-notifications |  notifiche codestar: CreateNotificationRule notifiche codestar: DeleteNotificationRule notifiche codestar: DeleteTarget notifiche codestar: DescribeNotificationRule notifiche codestar: ListEventTypes notifiche codestar: ListNotificationRules notifiche codestar: ListTargets codestar-notifications:Subscribe codestar-notifications:Unsubscribe notifiche codestar: UpdateNotificationRule  | 
| cognito-identity |  identità cognitiva: CreateIdentityPool identità cognitiva: DeleteIdentities identità cognitiva: DeleteIdentityPool identità cognitiva: DescribeIdentity identità cognitiva: DescribeIdentityPool identità cognitiva: GetIdentityPoolRoles identità cognitiva: ListIdentities identità cognitiva: ListIdentityPools identità cognitiva: LookupDeveloperIdentity identità cognitiva: MergeDeveloperIdentities identità cognitiva: SetIdentityPoolRoles identità cognitiva: UnlinkDeveloperIdentity identità cognitiva: UpdateIdentityPool  | 
| cognito-idp |  cognito-idp: AddCustomAttributes cognito-idp: AdminAddUserToGroup cognito-idp: AdminConfirmSignUp cognito-idp: AdminCreateUser cognito-idp: AdminDeleteUser cognito-idp: AdminDeleteUserAttributes cognito-idp: AdminDisableProviderForUser cognito-idp: AdminDisableUser cognito-idp: AdminEnableUser cognito-idp: AdminForgetDevice cognito-idp: AdminGetDevice cognito-idp: AdminGetUser cognito-idp: AdminInitiateAuth cognito-idp: AdminLinkProviderForUser cognito-idp: AdminListDevices cognito-idp: AdminListGroupsForUser cognito-idp: AdminListUserAuthEvents cognito-idp: AdminRemoveUserFromGroup cognito-idp: AdminResetUserPassword cognito-idp: AdminRespondToAuthChallenge cognito-idp: AdminSetUser MFAPreference cognito-idp: AdminSetUserPassword cognito-idp: AdminSetUserSettings cognito-idp: AdminUpdateAuthEventFeedback cognito-idp: AdminUpdateDeviceStatus cognito-idp: AdminUpdateUserAttributes cognito-idp: AdminUserGlobalSignOut cognito-idp: AssociateSoftwareToken cognito-idp: ChangePassword cognito-idp: ConfirmDevice cognito-idp: ConfirmForgotPassword cognito-idp: ConfirmSignUp cognito-idp: CreateGroup cognito-idp: CreateIdentityProvider cognito-idp: CreateManagedLoginBranding cognito-idp: CreateResourceServer cognito-idp: CreateTerms cognito-idp: CreateUserImportJob cognito-idp: CreateUserPool cognito-idp: CreateUserPoolClient cognito-idp: CreateUserPoolDomain cognito-idp: DeleteGroup cognito-idp: DeleteIdentityProvider cognito-idp: DeleteManagedLoginBranding cognito-idp: DeleteResourceServer cognito-idp: DeleteTerms cognito-idp: DeleteUser cognito-idp: DeleteUserAttributes cognito-idp: DeleteUserPool cognito-idp: DeleteUserPoolClient cognito-idp: DeleteUserPoolDomain cognito-idp: DescribeIdentityProvider cognito-idp: DescribeManagedLoginBranding cognito-idp: DescribeManagedLoginBrandingByClient cognito-idp: DescribeResourceServer cognito-idp: DescribeRiskConfiguration cognito-idp: DescribeTerms cognito-idp: DescribeUserImportJob cognito-idp: DescribeUserPool cognito-idp: DescribeUserPoolClient cognito-idp: DescribeUserPoolDomain cognito-idp: ForgetDevice cognito-idp: ForgotPassword cognito-idp:ottieni CSVHeader cognito-idp: GetDevice cognito-idp: GetGroup cognito-idp: GetIdentityProviderByIdentifier cognito-idp: GetLogDeliveryConfiguration cognito-idp: GetSigningCertificate cognito-idp:ottieni UICustomization cognito-idp: GetUser cognito-idp: GetUserAttributeVerificationCode cognito-idp: GetUserPoolMfaConfig cognito-idp: GlobalSignOut cognito-idp: InitiateAuth cognito-idp: ListDevices cognito-idp: ListGroups cognito-idp: ListIdentityProviders cognito-idp: ListResourceServers cognito-idp: ListTerms cognito-idp: ListUserImportJobs cognito-idp: ListUserPoolClients cognito-idp: ListUserPools cognito-idp: ListUsers cognito-idp: ListUsersInGroup cognito-idp: ResendConfirmationCode cognito-idp: RespondToAuthChallenge cognito-idp: RevokeToken cognito-idp: SetLogDeliveryConfiguration cognito-idp: SetRiskConfiguration cognito-idp: impostato UICustomization cognito-idp: SetUser MFAPreference cognito-idp: SetUserPoolMfaConfig cognito-idp: SetUserSettings cognito-idp: SignUp cognito-idp: StartUserImportJob cognito-idp: StopUserImportJob cognito-idp: UpdateAuthEventFeedback cognito-idp: UpdateDeviceStatus cognito-idp: UpdateGroup cognito-idp: UpdateIdentityProvider cognito-idp: UpdateResourceServer cognito-idp: UpdateTerms cognito-idp: UpdateUserAttributes cognito-idp: UpdateUserPool cognito-idp: UpdateUserPoolClient cognito-idp: UpdateUserPoolDomain cognito-idp: VerifySoftwareToken cognito-idp: VerifyUserAttribute  | 
| cognito-sync |  sincronizzazione cognitiva: BulkPublish sincronizzazione cognitiva: DeleteDataset sincronizzazione cognitiva: DescribeDataset sincronizzazione cognitiva: DescribeIdentityPoolUsage sincronizzazione cognitiva: DescribeIdentityUsage sincronizzazione cognitiva: GetBulkPublishDetails sincronizzazione cognitiva: GetCognitoEvents sincronizzazione cognitiva: GetIdentityPoolConfiguration sincronizzazione cognitiva: ListDatasets sincronizzazione cognitiva: ListIdentityPoolUsage sincronizzazione cognitiva: ListRecords sincronizzazione cognitiva: RegisterDevice sincronizzazione cognitiva: SetCognitoEvents sincronizzazione cognitiva: SetIdentityPoolConfiguration sincronizzazione cognitiva: SubscribeToDataset sincronizzazione cognitiva: UnsubscribeFromDataset sincronizzazione cognitiva: UpdateRecords  | 
| comprehendmedical |  comprensivo di medicina: V2Job DescribeEntitiesDetection ComprehendMedical ICD10CMInference: Descrivi Job ComprehendMedicalPHIDetection: Descrivi Job comprendere la medicina: DescribeRxNormInferenceJob ComprehendMedicalSNOMEDCTInference: Descrivi Job comprendo medicina: V2 DetectEntities comprehendmedical:DetectPHI Comprehend MedicalICD10: Infer CM comprendere l'aspetto medico: InferRxNorm comprehendmedical:InferSNOMEDCT comprehendmedical: V2Jobs ListEntitiesDetection ComprehendMedical ICD10CMInference: Elenca lavori ComprehendMedical: Elenca PHIDetection i lavori comprendere l'aspetto medico: ListRxNormInferenceJobs ComprehendMedical: elenca i lavori SNOMEDCTInference comprehendmedical: V2Job StartEntitiesDetection ComprehendMedical ICD10CMInference: Inizia un lavoro ComprehendMedicalPHIDetection: Inizia un lavoro comprendere l'aspetto medico: StartRxNormInferenceJob ComprehendMedicalSNOMEDCTInference: Inizia un lavoro comprendmedical: V2Job StopEntitiesDetection ComprehendMedical ICD10CMInference: Stop Job ComprehendMedicalPHIDetection: Stop Job comprendere l'aspetto medico: StopRxNormInferenceJob ComprehendMedicalSNOMEDCTInference: Stop Job  | 
| compute-optimizer |  ottimizzatore di computer: DeleteRecommendationPreferences ottimizzatore di calcolo: DescribeRecommendationExportJobs ottimizzatore di calcolo: ExportAutoScalingGroupRecommendations Compute-OptimizerEBSVolume: raccomandazioni per l'esportazione Ottimizzatore di calcolo: esportazione EC2 InstanceRecommendations Compute-OptimizerECSService: raccomandazioni per l'esportazione ottimizzatore di calcolo: ExportIdleRecommendations ottimizzatore di calcolo: ExportLambdaFunctionRecommendations ottimizzatore di calcolo: ExportLicenseRecommendations Compute-OptimizerRDSDatabase: raccomandazioni per l'esportazione Ottimizzatore di calcolo: GET EC2 RecommendationProjectedMetrics Ottimizzatore di computazione:GET ECSService RecommendationProjectedMetrics ottimizzatore di calcolo: GetEffectiveRecommendationPreferences ottimizzatore di calcolo: GetEnrollmentStatus ottimizzatore di calcolo: GetEnrollmentStatusesForOrganization ottimizzatore di computazione:GET RDSDatabase RecommendationProjectedMetrics ottimizzatore di calcolo: GetRecommendationPreferences ottimizzatore di calcolo: GetRecommendationSummaries ottimizzatore di calcolo: PutRecommendationPreferences ottimizzatore di calcolo: UpdateEnrollmentStatus  | 
| config |  configurazione: BatchGetResourceConfig configurazione: DeleteAggregationAuthorization configurazione: DeleteConfigRule configurazione: DeleteConfigurationAggregator configurazione: DeleteConfigurationRecorder configurazione: DeleteConformancePack configurazione: DeleteDeliveryChannel configurazione: DeleteEvaluationResults configurazione: DeleteOrganizationConfigRule configurazione: DeleteOrganizationConformancePack configurazione: DeletePendingAggregationRequest configurazione: DeleteRemediationConfiguration configurazione: DeleteRemediationExceptions configurazione: DeleteResourceConfig configurazione: DeleteRetentionConfiguration configurazione: DeleteStoredQuery configurazione: DeliverConfigSnapshot configurazione: DescribeAggregateComplianceByConfigRules configurazione: DescribeAggregateComplianceByConformancePacks configurazione: DescribeAggregationAuthorizations configurazione: DescribeComplianceByConfigRule configurazione: DescribeComplianceByResource configurazione: DescribeConfigRuleEvaluationStatus configurazione: DescribeConfigRules configurazione: DescribeConfigurationAggregatorSourcesStatus configurazione: DescribeConfigurationAggregators configurazione: DescribeConfigurationRecorderStatus configurazione: DescribeConfigurationRecorders configurazione: DescribeConformancePackCompliance configurazione: DescribeConformancePackStatus configurazione: DescribeConformancePacks configurazione: DescribeDeliveryChannelStatus configurazione: DescribeDeliveryChannels configurazione: DescribeOrganizationConfigRuleStatuses configurazione: DescribeOrganizationConfigRules configurazione: DescribeOrganizationConformancePackStatuses configurazione: DescribeOrganizationConformancePacks configurazione: DescribePendingAggregationRequests configurazione: DescribeRemediationConfigurations configurazione: DescribeRemediationExceptions configurazione: DescribeRemediationExecutionStatus configurazione: DescribeRetentionConfigurations configurazione: GetComplianceDetailsByConfigRule configurazione: GetComplianceDetailsByResource configurazione: GetComplianceSummaryByConfigRule configurazione: GetComplianceSummaryByResourceType configurazione: GetConformancePackComplianceDetails configurazione: GetConformancePackComplianceSummary configurazione: GetCustomRulePolicy configurazione: GetDiscoveredResourceCounts configurazione: GetOrganizationConfigRuleDetailedStatus configurazione: GetOrganizationConformancePackDetailedStatus configurazione: GetOrganizationCustomRulePolicy configurazione: GetResourceConfigHistory configurazione: GetResourceEvaluationSummary configurazione: GetStoredQuery configurazione: ListConfigurationRecorders configurazione: ListConformancePackComplianceScores configurazione: ListDiscoveredResources configurazione: ListResourceEvaluations configurazione: ListStoredQueries configurazione: PutConfigRule configurazione: PutConfigurationAggregator configurazione: PutConfigurationRecorder configurazione: PutConformancePack configurazione: PutDeliveryChannel configurazione: PutEvaluations configurazione: PutExternalEvaluation configurazione: PutOrganizationConfigRule configurazione: PutOrganizationConformancePack configurazione: PutRemediationConfigurations configurazione: PutRemediationExceptions configurazione: PutResourceConfig configurazione: PutRetentionConfiguration configurazione: PutStoredQuery configurazione: SelectResourceConfig configurazione: StartConfigRulesEvaluation configurazione: StartConfigurationRecorder configurazione: StartRemediationExecution configurazione: StartResourceEvaluation configurazione: StopConfigurationRecorder  | 
| connect |  connettere: ActivateEvaluationForm connettere: AssociateAnalyticsDataSet connettere: AssociateApprovedOrigin connettere: AssociateBot connettere: AssociateContactWithUser connettere: AssociateDefaultVocabulary connettere: AssociateEmailAddressAlias connettere: AssociateFlow connettere: AssociateInstanceStorageConfig connettere: AssociateLambdaFunction connettere: AssociateLexBot connettere: AssociatePhoneNumberContactFlow connettere: AssociateQueueQuickConnects connettere: AssociateRoutingProfileQueues connettere: AssociateSecurityKey connettere: AssociateUserProficiencies connettere: BatchAssociateAnalyticsDataSet connettere: BatchCreateDataTableValue connettere: BatchDeleteDataTableValue connettere: BatchDescribeDataTableValue connettere: BatchDisassociateAnalyticsDataSet connettere: BatchGetFlowAssociation connettere: BatchPutContact connettere: BatchUpdateDataTableValue connettere: ClaimPhoneNumber connettere: CreateAgentStatus connettere: CreateContact connettere: CreateContactFlow connettere: CreateContactFlowModule connettere: CreateContactFlowModuleAlias connettere: CreateContactFlowModuleVersion connettere: CreateContactFlowVersion connettere: CreateDataTable connettere: CreateDataTableAttribute connettere: CreateEmailAddress connettere: CreateEvaluationForm connettere: CreateHoursOfOperation connettere: CreateInstance connettere: CreateIntegrationAssociation connettere: CreateParticipant connettere: CreatePersistentContactAssociation connettere: CreatePredefinedAttribute connettere: CreatePrompt connettere: CreatePushNotificationRegistration connettere: CreateQueue connettere: CreateQuickConnect connettere: CreateRoutingProfile connettere: CreateRule connettere: CreateSecurityProfile connettere: CreateTaskTemplate connettere: CreateTrafficDistributionGroup connettere: CreateUseCase connettere: CreateUser connettere: CreateUserHierarchyGroup connettere: CreateView connettere: CreateViewVersion connettere: CreateVocabulary connettere: CreateWorkspace connettere: DeactivateEvaluationForm connettere: DeleteContactEvaluation connettere: DeleteContactFlow connettere: DeleteContactFlowModule connettere: DeleteContactFlowModuleAlias connettere: DeleteContactFlowModuleVersion connettere: DeleteContactFlowVersion connettere: DeleteDataTable connettere: DeleteDataTableAttribute connettere: DeleteEmailAddress connettere: DeleteEvaluationForm connettere: DeleteHoursOfOperation connettere: DeleteHoursOfOperationOverride connettere: DeleteInstance connettere: DeleteIntegrationAssociation connettere: DeletePredefinedAttribute connettere: DeletePrompt connettere: DeletePushNotificationRegistration connettere: DeleteQueue connettere: DeleteQuickConnect connettere: DeleteRoutingProfile connettere: DeleteRule connettere: DeleteSecurityProfile connettere: DeleteTaskTemplate connettere: DeleteTrafficDistributionGroup connettere: DeleteUseCase connettere: DeleteUser connettere: DeleteUserHierarchyGroup connettere: DeleteView connettere: DeleteVocabulary connettere: DeleteWorkspace connettere: DeleteWorkspaceMedia connettere: DescribeAuthenticationProfile connettere: DescribeContactFlowModuleAlias connettere: DescribeDataTableAttribute connettere: DescribeHoursOfOperationOverride connettere: DescribeInstanceAttribute connettere: DescribeInstanceStorageConfig connettere: DescribePhoneNumber connettere: DescribeRule connettere: DescribeTrafficDistributionGroup connettere: DescribeUserHierarchyStructure connettere: DescribeVocabulary connettere: DisassociateAnalyticsDataSet connettere: DisassociateApprovedOrigin connettere: DisassociateBot connettere: DisassociateEmailAddressAlias connettere: DisassociateFlow connettere: DisassociateInstanceStorageConfig connettere: DisassociateLambdaFunction connettere: DisassociateLexBot connettere: DisassociatePhoneNumberContactFlow connettere: DisassociateQueueQuickConnects connettere: DisassociateRoutingProfileQueues connettere: DisassociateSecurityKey connettere: DisassociateUserProficiencies connettere: DismissUserContact connettere: EvaluateDataTableValues connettere: GetContactAttributes connettere: GetContactMetrics connettere: GetCurrentMetricData connettere: GetCurrentUserData connettere: GetEffectiveHoursOfOperations connettere: GetFederationToken connettere: GetFlowAssociation connettere: GetMetricData collegare: GetMetricData V2 connettere: GetPromptFile connettere: GetTaskTemplate connettere: GetTrafficDistribution connettere: ImportPhoneNumber connettere: ImportWorkspaceMedia connettere: ListAnalyticsDataAssociations connettere: ListAnalyticsDataLakeDataSets connettere: ListApprovedOrigins connettere: ListAssociatedContacts connettere: ListAuthenticationProfiles connettere: ListBots connettere: ListContactEvaluations connettere: ListContactFlowModuleAliases connettere: ListContactFlowModuleVersions connettere: ListContactFlowModules connettere: ListContactFlowVersions connettere: ListContactFlows connettere: ListContactReferences connettere: ListDataTableAttributes connettere: ListDataTablePrimaryValues connettere: ListDataTableValues connettere: ListDataTables connettere: ListDefaultVocabularies connettere: ListEvaluationFormVersions connettere: ListEvaluationForms connettere: ListFlowAssociations connettere: ListHoursOfOperations connettere: ListInstanceAttributes connettere: ListInstanceStorageConfigs connettere: ListIntegrationAssociations connettere: ListLambdaFunctions connettere: ListLexBots connettere: ListPhoneNumbers collegare: ListPhoneNumbers V2 connettere: ListPredefinedAttributes connettere: ListPrompts connettere: ListQueueQuickConnects connettere: ListQueues connettere: ListQuickConnects collegare: ListRealtimeContactAnalysisSegments V2 connettere: ListRoutingProfileManualAssignmentQueues connettere: ListRoutingProfileQueues connettere: ListRoutingProfiles connettere: ListRules connettere: ListSecurityKeys connettere: ListSecurityProfileApplications connettere: ListSecurityProfileFlowModules connettere: ListSecurityProfilePermissions connettere: ListSecurityProfiles connettere: ListTaskTemplates connettere: ListTrafficDistributionGroups connettere: ListUseCases connettere: ListUserHierarchyGroups connettere: ListUsers connettere: ListViewVersions connettere: ListViews connettere: ListWorkspaceMedia connettere: ListWorkspacePages connettere: ListWorkspaces connettere: MonitorContact connettere: PauseContact connettere: PutUserStatus connettere: ReleasePhoneNumber connettere: ReplicateInstance connettere: ResumeContact connettere: ResumeContactRecording connettere: SearchAgentStatuses connettere: SearchAvailablePhoneNumbers connettere: SearchContactEvaluations connettere: SearchContactFlowModules connettere: SearchContactFlows connettere: SearchContacts connettere: SearchDataTables connettere: SearchEmailAddresses connettere: SearchEvaluationForms connettere: SearchHoursOfOperations connettere: SearchPredefinedAttributes connettere: SearchPrompts connettere: SearchQueues connettere: SearchQuickConnects connettere: SearchRoutingProfiles connettere: SearchSecurityProfiles connettere: SearchUserHierarchyGroups connettere: SearchViews connettere: SearchVocabularies connettere: SearchWorkspaceAssociations connettere: SearchWorkspaces connettere: SendChatIntegrationEvent connettere: SendOutboundEmail connettere: StartChatContact connettere: StartContactEvaluation connettere: StartContactMediaProcessing connettere: StartContactRecording connettere: StartContactStreaming connettere: StartEmailContact connettere: StartOutboundChatContact connettere: StartOutboundEmailContact connettere: StartOutboundVoiceContact connettere: StartScreenSharing connettere: StartTaskContact connettere: StartWeb RTCContact connettere: StopContact connettere: StopContactMediaProcessing connettere: StopContactRecording connettere: StopContactStreaming connettere: SubmitContactEvaluation connettere: SuspendContactRecording connettere: TransferContact connettere: UpdateAgentStatus connettere: UpdateAuthenticationProfile connettere: UpdateContact connettere: UpdateContactAttributes connettere: UpdateContactEvaluation connettere: UpdateContactFlowContent connettere: UpdateContactFlowMetadata connettere: UpdateContactFlowModuleAlias connettere: UpdateContactFlowModuleContent connettere: UpdateContactFlowModuleMetadata connettere: UpdateContactFlowName connettere: UpdateContactRoutingData connettere: UpdateContactSchedule connettere: UpdateDataTableAttribute connettere: UpdateDataTableMetadata connettere: UpdateDataTablePrimaryValues connettere: UpdateEmailAddressMetadata connettere: UpdateEvaluationForm connettere: UpdateHoursOfOperation connettere: UpdateHoursOfOperationOverride connettere: UpdateInstanceAttribute connettere: UpdateInstanceStorageConfig connettere: UpdateParticipantAuthentication connettere: UpdateParticipantRoleConfig connettere: UpdatePhoneNumber connettere: UpdatePhoneNumberMetadata connettere: UpdatePredefinedAttribute connettere: UpdatePrompt connettere: UpdateQueueHoursOfOperation connettere: UpdateQueueMaxContacts connettere: UpdateQueueName connettere: UpdateQueueOutboundCallerConfig connettere: UpdateQueueOutboundEmailConfig connettere: UpdateQueueStatus connettere: UpdateQuickConnectConfig connettere: UpdateQuickConnectName connettere: UpdateRoutingProfileAgentAvailabilityTimer connettere: UpdateRoutingProfileConcurrency connettere: UpdateRoutingProfileDefaultOutboundQueue connettere: UpdateRoutingProfileName connettere: UpdateRoutingProfileQueues connettere: UpdateRule connettere: UpdateSecurityProfile connettere: UpdateTaskTemplate connettere: UpdateTrafficDistribution connettere: UpdateUserHierarchy connettere: UpdateUserHierarchyGroupName connettere: UpdateUserHierarchyStructure connettere: UpdateUserIdentityInfo connettere: UpdateUserPhoneConfig connettere: UpdateUserProficiencies connettere: UpdateUserRoutingProfile connettere: UpdateUserSecurityProfiles connettere: UpdateViewContent connettere: UpdateViewMetadata connettere: UpdateWorkspaceMetadata connettere: UpdateWorkspaceTheme connettere: UpdateWorkspaceVisibility  | 
| cur |  cura: DeleteReportDefinition cura: DescribeReportDefinitions cura: ModifyReportDefinition cura: PutReportDefinition  | 
| databrew |  data brew: BatchDeleteRecipeVersion data brew: CreateDataset data brew: CreateProfileJob data brew: CreateProject data brew: CreateRecipe data brew: CreateRecipeJob data brew: CreateRuleset data brew: CreateSchedule data brew: DeleteDataset data brew: DeleteJob data brew: DeleteProject data brew: DeleteRecipeVersion data brew: DeleteRuleset data brew: DeleteSchedule data brew: DescribeDataset data brew: DescribeJob data brew: DescribeJobRun data brew: DescribeProject data brew: DescribeRecipe data brew: DescribeRuleset data brew: DescribeSchedule data brew: ListDatasets data brew: ListJobRuns data brew: ListJobs data brew: ListProjects data brew: ListRecipeVersions data brew: ListRecipes data brew: ListRulesets data brew: ListSchedules data brew: PublishRecipe data brew: SendProjectSessionAction data brew: StartJobRun data brew: StartProjectSession data brew: StopJobRun data brew: UpdateDataset data brew: UpdateProfileJob data brew: UpdateProject data brew: UpdateRecipe data brew: UpdateRecipeJob data brew: UpdateRuleset data brew: UpdateSchedule  | 
| dataexchange |  scambio di dati: AcceptDataGrant scambio di dati: CancelJob scambio di dati: CreateDataGrant scambio di dati: CreateDataSet scambio di dati: CreateEventAction scambio di dati: CreateJob scambio di dati: CreateRevision scambio di dati: DeleteAsset scambio di dati: DeleteDataGrant scambio di dati: DeleteEventAction scambio di dati: DeleteRevision scambio di dati: GetDataGrant scambio di dati: GetEventAction scambio di dati: GetJob scambio di dati: GetReceivedDataGrant scambio di dati: ListDataGrants scambio di dati: ListDataSetRevisions scambio di dati: ListDataSets scambio di dati: ListEventActions scambio di dati: ListJobs scambio di dati: ListReceivedDataGrants scambio di dati: ListRevisionAssets scambio di dati: RevokeRevision scambio di dati: SendDataSetNotification scambio di dati: StartJob scambio di dati: UpdateAsset scambio di dati: UpdateDataSet scambio di dati: UpdateEventAction scambio di dati: UpdateRevision  | 
| datapipeline |  pipeline dati: ActivatePipeline tubazione dati: CreatePipeline tubazione dati: DeactivatePipeline tubazione dati: DeletePipeline tubazione dati: DescribeObjects tubazione dati: DescribePipelines tubazione dati: EvaluateExpression tubazione dati: GetPipelineDefinition tubazione dati: ListPipelines tubazione dati: PollForTask tubazione dati: PutPipelineDefinition tubazione dati: QueryObjects tubazione dati: ReportTaskProgress tubazione dati: ReportTaskRunnerHeartbeat tubazione dati: SetStatus tubazione dati: SetTaskStatus tubazione dati: ValidatePipelineDefinition  | 
| dax |  fax: CreateCluster fax: DecreaseReplicationFactor fax: DeleteCluster fax: DeleteParameterGroup fax: DeleteSubnetGroup fax: DescribeClusters fax: DescribeDefaultParameters fax: DescribeEvents fax: DescribeParameterGroups fax: DescribeParameters fax: DescribeSubnetGroups fax: IncreaseReplicationFactor fax: RebootNode fax: UpdateCluster fax: UpdateParameterGroup fax: UpdateSubnetGroup  | 
| devicefarm |  azienda agricola dei dispositivi: CreateDevicePool fabbrica di dispositivi: CreateInstanceProfile fabbrica di dispositivi: CreateNetworkProfile fabbrica di dispositivi: CreateProject fabbrica di dispositivi: CreateRemoteAccessSession fabbrica di dispositivi: CreateTestGridProject fabbrica di dispositivi: CreateTestGridUrl fabbrica di dispositivi: CreateUpload deviceFarm: crea VPCEConfiguration devicefarm: DeleteDevicePool fabbrica di dispositivi: DeleteInstanceProfile fabbrica di dispositivi: DeleteNetworkProfile fabbrica di dispositivi: DeleteProject fabbrica di dispositivi: DeleteRemoteAccessSession fabbrica di dispositivi: DeleteRun fabbrica di dispositivi: DeleteTestGridProject fabbrica di dispositivi: DeleteUpload DeviceFarm: elimina VPCEConfiguration devicefarm: GetAccountSettings fabbrica di dispositivi: GetDevice fabbrica di dispositivi: GetDeviceInstance fabbrica di dispositivi: GetDevicePool fabbrica di dispositivi: GetDevicePoolCompatibility fabbrica di dispositivi: GetInstanceProfile fabbrica di dispositivi: GetJob fabbrica di dispositivi: GetNetworkProfile fattoria di dispositivi: GetOfferingStatus fattoria di dispositivi: GetProject fattoria di dispositivi: GetRemoteAccessSession fattoria di dispositivi: GetRun fattoria di dispositivi: GetSuite fattoria di dispositivi: GetTest fattoria di dispositivi: GetTestGridProject fattoria di dispositivi: GetTestGridSession fattoria di dispositivi: GetUpload DeviceFarm: get VPCEConfiguration devicefarm: ListArtifacts fattoria di dispositivi: ListDeviceInstances fattoria di dispositivi: ListDevicePools fattoria di dispositivi: ListDevices fattoria di dispositivi: ListInstanceProfiles fattoria di dispositivi: ListJobs fattoria di dispositivi: ListNetworkProfiles fattoria di dispositivi: ListOfferingPromotions fattoria di dispositivi: ListOfferingTransactions fattoria di dispositivi: ListOfferings fattoria di dispositivi: ListProjects fattoria di dispositivi: ListRemoteAccessSessions fattoria di dispositivi: ListRuns fattoria di dispositivi: ListSamples fattoria di dispositivi: ListSuites fattoria di dispositivi: ListTestGridProjects fattoria di dispositivi: ListTestGridSessionActions fattoria di dispositivi: ListTestGridSessionArtifacts fattoria di dispositivi: ListTestGridSessions fattoria di dispositivi: ListTests fattoria di dispositivi: ListUniqueProblems fattoria di dispositivi: ListUploads DeviceFarm: elenco VPCEConfigurations devicefarm: PurchaseOffering fattoria di dispositivi: RenewOffering fattoria di dispositivi: ScheduleRun fattoria di dispositivi: StopJob fattoria di dispositivi: StopRemoteAccessSession fattoria di dispositivi: StopRun fattoria di dispositivi: UpdateDeviceInstance fattoria di dispositivi: UpdateDevicePool fattoria di dispositivi: UpdateInstanceProfile fattoria di dispositivi: UpdateNetworkProfile fattoria di dispositivi: UpdateProject fattoria di dispositivi: UpdateTestGridProject fattoria di dispositivi: UpdateUpload DeviceFarm: aggiorna VPCEConfiguration  | 
| devops-guru |  devops-guru: AddNotificationChannel devops-guru: DeleteInsight devops-guru: DescribeAccountHealth devops-guru: DescribeAccountOverview devops-guru: DescribeAnomaly devops-guru: DescribeEventSourcesConfig devops-guru: DescribeFeedback devops-guru: DescribeInsight devops-guru: DescribeOrganizationHealth devops-guru: DescribeOrganizationOverview devops-guru: DescribeOrganizationResourceCollectionHealth devops-guru: DescribeResourceCollectionHealth devops-guru: DescribeServiceIntegration devops-guru: GetCostEstimation devops-guru: GetResourceCollection devops-guru: ListAnomaliesForInsight devops-guru: ListAnomalousLogGroups devops-guru: ListEvents devops-guru: ListInsights devops-guru: ListMonitoredResources devops-guru: ListNotificationChannels devops-guru: ListOrganizationInsights devops-guru: ListRecommendations devops-guru: PutFeedback devops-guru: RemoveNotificationChannel devops-guru: SearchInsights devops-guru: SearchOrganizationInsights devops-guru: StartCostEstimation devops-guru: UpdateEventSourcesConfig devops-guru: UpdateResourceCollection devops-guru: UpdateServiceIntegration  | 
| directconnect |  connessione diretta: AcceptDirectConnectGatewayAssociationProposal connessione diretta: AllocateConnectionOnInterconnect connessione diretta: AllocateHostedConnection connessione diretta: AllocatePrivateVirtualInterface connessione diretta: AllocatePublicVirtualInterface connessione diretta: AllocateTransitVirtualInterface connessione diretta: AssociateConnectionWithLag connessione diretta: AssociateHostedConnection connessione diretta: AssociateMacSecKey connessione diretta: AssociateVirtualInterface connessione diretta: ConfirmConnection connessione diretta: ConfirmCustomerAgreement connessione diretta: ConfirmPrivateVirtualInterface connessione diretta: ConfirmPublicVirtualInterface connessione diretta: ConfirmTransitVirtualInterface Direct Connect: crea BGPPeer connessione diretta: CreateConnection connessione diretta: CreateDirectConnectGateway connessione diretta: CreateDirectConnectGatewayAssociation connessione diretta: CreateDirectConnectGatewayAssociationProposal connessione diretta: CreateInterconnect connessione diretta: CreateLag connessione diretta: CreatePrivateVirtualInterface connessione diretta: CreatePublicVirtualInterface connessione diretta: CreateTransitVirtualInterface Direct Connect: elimina BGPPeer connessione diretta: DeleteConnection connessione diretta: DeleteDirectConnectGateway connessione diretta: DeleteDirectConnectGatewayAssociation connessione diretta: DeleteDirectConnectGatewayAssociationProposal connessione diretta: DeleteInterconnect connessione diretta: DeleteLag connessione diretta: DeleteVirtualInterface connessione diretta: DescribeConnectionLoa connessione diretta: DescribeConnections connessione diretta: DescribeConnectionsOnInterconnect connessione diretta: DescribeCustomerMetadata connessione diretta: DescribeDirectConnectGatewayAssociationProposals connessione diretta: DescribeDirectConnectGatewayAssociations connessione diretta: DescribeDirectConnectGatewayAttachments connessione diretta: DescribeDirectConnectGateways connessione diretta: DescribeHostedConnections connessione diretta: DescribeInterconnectLoa connessione diretta: DescribeInterconnects connessione diretta: DescribeLags connessione diretta: DescribeLoa connessione diretta: DescribeLocations connessione diretta: DescribeRouterConfiguration connessione diretta: DescribeVirtualGateways connessione diretta: DescribeVirtualInterfaces connessione diretta: DisassociateConnectionFromLag connessione diretta: DisassociateMacSecKey connessione diretta: ListVirtualInterfaceTestHistory connessione diretta: StartBgpFailoverTest connessione diretta: StopBgpFailoverTest connessione diretta: UpdateConnection connessione diretta: UpdateDirectConnectGateway connessione diretta: UpdateDirectConnectGatewayAssociation connessione diretta: UpdateLag connessione diretta: UpdateVirtualInterfaceAttributes  | 
| dlm |  dm: CreateLifecyclePolicy dpm: DeleteLifecyclePolicy dpm: GetLifecyclePolicies dpm: GetLifecyclePolicy dpm: UpdateLifecyclePolicy  | 
| dms |  dighe: ApplyPendingMaintenanceAction dms: AssociateExtensionPack dms: BatchStartRecommendations dms: CancelMetadataModelCreation dms: CancelReplicationTaskAssessmentRun dms: CreateDataProvider dms: CreateEndpoint dms: CreateEventSubscription dms: CreateInstanceProfile dms: CreateMigrationProject dms: CreateReplicationConfig dms: CreateReplicationInstance dms: CreateReplicationSubnetGroup dms: CreateReplicationTask dms: DeleteCertificate dms: DeleteConnection dms: DeleteDataMigration dms: DeleteDataProvider dms: DeleteEndpoint dms: DeleteEventSubscription dms: DeleteFleetAdvisorCollector dms: DeleteFleetAdvisorDatabases dms: DeleteInstanceProfile dms: DeleteMigrationProject dms: DeleteReplicationConfig dms: DeleteReplicationInstance dms: DeleteReplicationSubnetGroup dms: DeleteReplicationTask dms: DeleteReplicationTaskAssessmentRun dms: DescribeAccountAttributes dms: DescribeApplicableIndividualAssessments dms: DescribeCertificates dms: DescribeConnections dms: DescribeDataMigrations dms: DescribeEndpointSettings dms: DescribeEndpointTypes dms: DescribeEndpoints dms: DescribeEngineVersions dms: DescribeEventCategories dms: DescribeEventSubscriptions dms: DescribeEvents dms: DescribeFleetAdvisorCollectors dms: DescribeFleetAdvisorDatabases dms: DescribeFleetAdvisorLsaAnalysis dms: DescribeFleetAdvisorSchemaObjectSummary dms: DescribeFleetAdvisorSchemas dms: DescribeMetadataModel dms: DescribeMetadataModelChildren dms: DescribeMetadataModelCreations dms: DescribeMetadataModelImports dms: DescribeOrderableReplicationInstances dms: DescribePendingMaintenanceActions dms: DescribeRecommendationLimitations dms: DescribeRecommendations dms: DescribeRefreshSchemasStatus dms: DescribeReplicationConfigs dms: DescribeReplicationInstanceTaskLogs dms: DescribeReplicationInstances dms: DescribeReplicationSubnetGroups dms: DescribeReplicationTableStatistics dms: DescribeReplicationTaskAssessmentResults dms: DescribeReplicationTaskAssessmentRuns dms: DescribeReplicationTaskIndividualAssessments dms: DescribeReplicationTasks dms: DescribeReplications dms: DescribeSchemas dms: DescribeTableStatistics dms: ExportMetadataModelAssessment dms: ImportCertificate dms: ListDataProviders dms: ListExtensionPacks dms: ListInstanceProfiles dms: ListMetadataModelAssessments dms: ListMetadataModelConversions dms: ListMetadataModelExports dms: ListMigrationProjects dms: ModifyDataMigration dms: ModifyEndpoint dms: ModifyEventSubscription dms: ModifyReplicationConfig dms: ModifyReplicationInstance dms: ModifyReplicationSubnetGroup dms: ModifyReplicationTask dms: MoveReplicationTask dms: RebootReplicationInstance dms: RefreshSchemas dms: ReloadReplicationTables dms: ReloadTables dms: RunFleetAdvisorLsaAnalysis dms: StartMetadataModelAssessment dms: StartMetadataModelConversion dms: StartMetadataModelCreation dms: StartMetadataModelExportAsScripts dms: StartMetadataModelExportToTarget dms: StartRecommendations dms: StartReplication dms: StartReplicationTask dms: StartReplicationTaskAssessment dms: StopDataMigration dms: StopReplicationTask dms: TestConnection dms: UpdateConversionConfiguration dms: UpdateDataProvider dms: UpdateInstanceProfile dms: UpdateMigrationProject dms: UpdateSubscriptionsToEventBridge  | 
| docdb-elastic |  docdb elastico: ApplyPendingMaintenanceAction docdb elastico: CopyClusterSnapshot docdb elastico: DeleteCluster docdb elastico: DeleteClusterSnapshot docdb elastico: GetCluster docdb elastico: GetClusterSnapshot docdb elastico: GetPendingMaintenanceAction docdb elastico: ListClusterSnapshots docdb elastico: ListClusters docdb elastico: ListPendingMaintenanceActions docdb elastico: RestoreClusterFromSnapshot docdb elastico: StartCluster docdb elastico: StopCluster docdb elastico: UpdateCluster  | 
| dynamodb |  dinamodb: AssociateTableReplica dinamodb: CreateBackup dinamodb: CreateGlobalTable dinamodb: CreateTable dinamodb: DeleteBackup dinamodb: DeleteTable dinamodb: DescribeBackup dinamodb: DescribeContinuousBackups dinamodb: DescribeContributorInsights dinamodb: DescribeEndpoints dinamodb: DescribeExport dinamodb: DescribeGlobalTable dinamodb: DescribeGlobalTableSettings dinamodb: DescribeImport dinamodb: DescribeKinesisStreamingDestination dinamodb: DescribeLimits dinamodb: DescribeStream dinamodb: DescribeTable dinamodb: DescribeTableReplicaAutoScaling dinamodb: DescribeTimeToLive dinamodb: DisableKinesisStreamingDestination dinamodb: EnableKinesisStreamingDestination dinamodb: ExportTableToPointInTime dinamodb: GetResourcePolicy dinamodb: ImportTable dinamodb: ListBackups dinamodb: ListContributorInsights dinamodb: ListExports dinamodb: ListGlobalTables dinamodb: ListImports dinamodb: ListStreams dinamodb: ListTables dinamodb: ReadDataForReplication dinamodb: ReplicateSettings dinamodb: RestoreTableFromBackup dinamodb: RestoreTableToPointInTime dinamodb: UpdateContinuousBackups dinamodb: UpdateContributorInsights dinamodb: UpdateGlobalTable dinamodb: UpdateGlobalTableSettings dinamodb: UpdateKinesisStreamingDestination dinamodb: UpdateTable dinamodb: UpdateTableReplicaAutoScaling dinamodb: UpdateTimeToLive dinamodb: WriteDataForReplication  | 
| ebs |  Web: CompleteSnapshot ebs: StartSnapshot  | 
| ec2 |  ec2: AcceptAddressTransfer ec2: AcceptCapacityReservationBillingOwnership ec2: AcceptReservedInstancesExchangeQuote ec2: AcceptTransitGatewayMulticastDomainAssociations ec2: AcceptTransitGatewayPeeringAttachment ec2: AcceptTransitGatewayVpcAttachment ec2: AcceptVpcEndpointConnections ec2: AcceptVpcPeeringConnection ec2: AdvertiseByoipCidr ec2: AllocateAddress ec2: AllocateHosts ec2: AllocateIpamPoolCidr ec2: ApplySecurityGroupsToClientVpnTargetNetwork ec2:6 indirizzi AssignIpv ec2: AssignPrivateIpAddresses ec2: AssignPrivateNatGatewayAddress ec2: AssociateAddress ec2: AssociateCapacityReservationBillingOwner ec2: AssociateClientVpnTargetNetwork ec2: AssociateDhcpOptions ec2: AssociateEnclaveCertificateIamRole ec2: AssociateIamInstanceProfile ec2: AssociateInstanceEventWindow ec2: AssociateIpamByoasn ec2: AssociateIpamResourceDiscovery ec2: AssociateNatGatewayAddress ec2: AssociateRouteServer ec2: AssociateRouteTable ec2: AssociateSecurityGroupVpc ec2: AssociateSubnetCidrBlock ec2: AssociateTransitGatewayMulticastDomain ec2: AssociateTransitGatewayPolicyTable ec2: AssociateTransitGatewayRouteTable ec2: AssociateTrunkInterface ec2: AssociateVpcCidrBlock ec2: AttachClassicLinkVpc ec2: AttachInternetGateway ec2: AttachNetworkInterface ec2: AttachVerifiedAccessTrustProvider ec2: AttachVolume ec2: AttachVpnGateway ec2: AuthorizeClientVpnIngress ec2: AuthorizeSecurityGroupEgress ec2: AuthorizeSecurityGroupIngress ec2: BundleInstance ec2: CancelBundleTask ec2: CancelCapacityReservation ec2: CancelCapacityReservationFleets ec2: CancelConversionTask ec2: CancelDeclarativePoliciesReport ec2: CancelExportTask ec2: CancelImageLaunchPermission ec2: CancelImportTask ec2: CancelReservedInstancesListing ec2: CancelSpotFleetRequests ec2: CancelSpotInstanceRequests ec2: ConfirmProductInstance ec2: CopyFpgaImage ec2: CopyImage ec2: CopySnapshot ec2: CopyVolumes ec2: CreateCapacityManagerDataExport ec2: CreateCapacityReservation ec2: CreateCapacityReservationBySplitting ec2: CreateCapacityReservationFleet ec2: CreateCarrierGateway ec2: CreateClientVpnEndpoint ec2: CreateClientVpnRoute ec2: CreateCoipCidr ec2: CreateCoipPool ec2: CreateCustomerGateway ec2: CreateDefaultSubnet ec2: CreateDefaultVpc ec2: CreateDelegateMacVolumeOwnershipTask ec2: CreateDhcpOptions ec2: CreateEgressOnlyInternetGateway ec2: CreateFleet ec2: CreateFlowLogs ec2: CreateFpgaImage ec2: CreateImage ec2: CreateImageUsageReport ec2: CreateInstanceConnectEndpoint ec2: CreateInstanceEventWindow ec2: CreateInstanceExportTask ec2: CreateInternetGateway ec2: CreateInterruptibleCapacityReservationAllocation ec2: CreateIpam ec2: CreateIpamExternalResourceVerificationToken ec2: CreateIpamPolicy ec2: CreateIpamPool ec2: CreateIpamPrefixListResolver ec2: CreateIpamPrefixListResolverTarget ec2: CreateIpamResourceDiscovery ec2: CreateIpamScope ec2: CreateKeyPair ec2: CreateLaunchTemplateVersion ec2: CreateLocalGatewayRoute ec2: CreateLocalGatewayRouteTable ec2: CreateLocalGatewayRouteTableVirtualInterfaceGroupAssociation ec2: CreateLocalGatewayRouteTableVpcAssociation ec2: CreateLocalGatewayVirtualInterface ec2: CreateLocalGatewayVirtualInterfaceGroup ec2: CreateMacSystemIntegrityProtectionModificationTask ec2: CreateManagedPrefixList ec2: CreateNatGateway ec2: CreateNetworkAcl ec2: CreateNetworkAclEntry ec2: CreateNetworkInsightsAccessScope ec2: CreateNetworkInsightsPath ec2: CreateNetworkInterface ec2: CreateNetworkInterfacePermission ec2: CreatePlacementGroup ec2:4 piscine CreatePublicIpv ec2: CreateReplaceRootVolumeTask ec2: CreateReservedInstancesListing ec2: CreateRestoreImageTask ec2: CreateRoute ec2: CreateRouteServer ec2: CreateRouteServerEndpoint ec2: CreateRouteServerPeer ec2: CreateRouteTable ec2: CreateSecurityGroup ec2: CreateSnapshots ec2: CreateSpotDatafeedSubscription ec2: CreateStoreImageTask ec2: CreateSubnet ec2: CreateSubnetCidrReservation ec2: CreateTrafficMirrorFilter ec2: CreateTrafficMirrorFilterRule ec2: CreateTrafficMirrorSession ec2: CreateTrafficMirrorTarget ec2: CreateTransitGateway ec2: CreateTransitGatewayConnect ec2: CreateTransitGatewayConnectPeer ec2: CreateTransitGatewayMeteringPolicy ec2: CreateTransitGatewayMeteringPolicyEntry ec2: CreateTransitGatewayMulticastDomain ec2: CreateTransitGatewayPeeringAttachment ec2: CreateTransitGatewayPolicyTable ec2: CreateTransitGatewayPrefixListReference ec2: CreateTransitGatewayRoute ec2: CreateTransitGatewayRouteTable ec2: CreateTransitGatewayRouteTableAnnouncement ec2: CreateTransitGatewayVpcAttachment ec2: CreateVerifiedAccessEndpoint ec2: CreateVerifiedAccessGroup ec2: CreateVerifiedAccessInstance ec2: CreateVerifiedAccessTrustProvider ec2: CreateVolume ec2: CreateVpc ec2: CreateVpcBlockPublicAccessExclusion ec2: CreateVpcEncryptionControl ec2: CreateVpcEndpoint ec2: CreateVpcEndpointConnectionNotification ec2: CreateVpcEndpointServiceConfiguration ec2: CreateVpcPeeringConnection ec2: CreateVpnConcentrator ec2: CreateVpnConnection ec2: CreateVpnConnectionRoute ec2: CreateVpnGateway ec2: DeleteCapacityManagerDataExport ec2: DeleteCarrierGateway ec2: DeleteClientVpnEndpoint ec2: DeleteClientVpnRoute ec2: DeleteCoipCidr ec2: DeleteCoipPool ec2: DeleteCustomerGateway ec2: DeleteDhcpOptions ec2: DeleteEgressOnlyInternetGateway ec2: DeleteFleets ec2: DeleteFlowLogs ec2: DeleteFpgaImage ec2: DeleteImageUsageReport ec2: DeleteInstanceConnectEndpoint ec2: DeleteInstanceEventWindow ec2: DeleteInternetGateway ec2: DeleteIpam ec2: DeleteIpamExternalResourceVerificationToken ec2: DeleteIpamPolicy ec2: DeleteIpamPool ec2: DeleteIpamPrefixListResolver ec2: DeleteIpamPrefixListResolverTarget ec2: DeleteIpamResourceDiscovery ec2: DeleteIpamScope ec2: DeleteKeyPair ec2: DeleteLaunchTemplate ec2: DeleteLaunchTemplateVersions ec2: DeleteLocalGatewayRoute ec2: DeleteLocalGatewayRouteTable ec2: DeleteLocalGatewayRouteTableVirtualInterfaceGroupAssociation ec2: DeleteLocalGatewayRouteTableVpcAssociation ec2: DeleteLocalGatewayVirtualInterface ec2: DeleteLocalGatewayVirtualInterfaceGroup ec2: DeleteManagedPrefixList ec2: DeleteNatGateway ec2: DeleteNetworkAcl ec2: DeleteNetworkAclEntry ec2: DeleteNetworkInsightsAccessScope ec2: DeleteNetworkInsightsAccessScopeAnalysis ec2: DeleteNetworkInsightsAnalysis ec2: DeleteNetworkInsightsPath ec2: DeleteNetworkInterface ec2: DeleteNetworkInterfacePermission ec2: DeletePlacementGroup ec2:4 piscine DeletePublicIpv ec2: DeleteQueuedReservedInstances ec2: DeleteRoute ec2: DeleteRouteServer ec2: DeleteRouteServerEndpoint ec2: DeleteRouteServerPeer ec2: DeleteRouteTable ec2: DeleteSecurityGroup ec2: DeleteSpotDatafeedSubscription ec2: DeleteSubnet ec2: DeleteSubnetCidrReservation ec2: DeleteTrafficMirrorFilter ec2: DeleteTrafficMirrorFilterRule ec2: DeleteTrafficMirrorSession ec2: DeleteTrafficMirrorTarget ec2: DeleteTransitGateway ec2: DeleteTransitGatewayConnect ec2: DeleteTransitGatewayConnectPeer ec2: DeleteTransitGatewayMeteringPolicy ec2: DeleteTransitGatewayMeteringPolicyEntry ec2: DeleteTransitGatewayMulticastDomain ec2: DeleteTransitGatewayPeeringAttachment ec2: DeleteTransitGatewayPolicyTable ec2: DeleteTransitGatewayPrefixListReference ec2: DeleteTransitGatewayRoute ec2: DeleteTransitGatewayRouteTable ec2: DeleteTransitGatewayRouteTableAnnouncement ec2: DeleteTransitGatewayVpcAttachment ec2: DeleteVerifiedAccessEndpoint ec2: DeleteVerifiedAccessGroup ec2: DeleteVerifiedAccessInstance ec2: DeleteVerifiedAccessTrustProvider ec2: DeleteVolume ec2: DeleteVpc ec2: DeleteVpcBlockPublicAccessExclusion ec2: DeleteVpcEncryptionControl ec2: DeleteVpcEndpointConnectionNotifications ec2: DeleteVpcEndpointServiceConfigurations ec2: DeleteVpcEndpoints ec2: DeleteVpcPeeringConnection ec2: DeleteVpnConcentrator ec2: DeleteVpnConnection ec2: DeleteVpnConnectionRoute ec2: DeleteVpnGateway ec2: DeprovisionByoipCidr ec2: DeprovisionIpamByoasn ec2: DeprovisionIpamPoolCidr ec2:4 DeprovisionPublicIpv PoolCidr ec2: DeregisterImage ec2: DeregisterInstanceEventNotificationAttributes ec2: DeregisterTransitGatewayMulticastGroupMembers ec2: DeregisterTransitGatewayMulticastGroupSources ec2: DescribeAccountAttributes ec2: DescribeAddressTransfers ec2: DescribeAddresses ec2: DescribeAddressesAttribute ec2: DescribeAggregateIdFormat ec2: DescribeAvailabilityZones ec2: DescribeAwsNetworkPerformanceMetricSubscriptions ec2: DescribeBundleTasks ec2: DescribeByoipCidrs ec2: DescribeCapacityBlockExtensionHistory ec2: DescribeCapacityBlockExtensionOfferings ec2: DescribeCapacityBlockStatus ec2: DescribeCapacityBlocks ec2: DescribeCapacityManagerDataExports ec2: DescribeCapacityReservationBillingRequests ec2: DescribeCapacityReservationFleets ec2: DescribeCapacityReservationTopology ec2: DescribeCapacityReservations ec2: DescribeCarrierGateways ec2: DescribeClassicLinkInstances ec2: DescribeClientVpnAuthorizationRules ec2: DescribeClientVpnConnections ec2: DescribeClientVpnEndpoints ec2: DescribeClientVpnRoutes ec2: DescribeClientVpnTargetNetworks ec2: DescribeCoipPools ec2: DescribeConversionTasks ec2: DescribeCustomerGateways ec2: DescribeDeclarativePoliciesReports ec2: DescribeDhcpOptions ec2: DescribeEgressOnlyInternetGateways ec2: DescribeElasticGpus ec2: DescribeExportImageTasks ec2: DescribeExportTasks ec2: DescribeFastLaunchImages ec2: DescribeFastSnapshotRestores ec2: DescribeFleetHistory ec2: DescribeFleetInstances ec2: DescribeFleets ec2: DescribeFlowLogs ec2: DescribeFpgaImageAttribute ec2: DescribeFpgaImages ec2: DescribeHostReservationOfferings ec2: DescribeHostReservations ec2: DescribeHosts ec2: DescribeIamInstanceProfileAssociations ec2: DescribeIdFormat ec2: DescribeIdentityIdFormat ec2: DescribeImageAttribute ec2: DescribeImageReferences ec2: DescribeImageUsageReportEntries ec2: DescribeImageUsageReports ec2: DescribeImportImageTasks ec2: DescribeImportSnapshotTasks ec2: DescribeInstanceConnectEndpoints ec2: DescribeInstanceCreditSpecifications ec2: DescribeInstanceEventNotificationAttributes ec2: DescribeInstanceEventWindows ec2: DescribeInstanceImageMetadata ec2: DescribeInstanceSqlHaHistoryStates ec2: DescribeInstanceSqlHaStates ec2: DescribeInstanceTopology ec2: DescribeInstanceTypes ec2: DescribeInternetGateways ec2: DescribeIpamByoasn ec2: DescribeIpamExternalResourceVerificationTokens ec2: DescribeIpamPolicies ec2: DescribeIpamPools ec2: DescribeIpamPrefixListResolverTargets ec2: DescribeIpamPrefixListResolvers ec2: DescribeIpamResourceDiscoveries ec2: DescribeIpamResourceDiscoveryAssociations ec2: DescribeIpamScopes ec2: DescribeIpams ec2:6 piscine DescribeIpv ec2: DescribeKeyPairs ec2: DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations ec2: DescribeLocalGatewayRouteTableVpcAssociations ec2: DescribeLocalGatewayRouteTables ec2: DescribeLocalGatewayVirtualInterfaceGroups ec2: DescribeLocalGatewayVirtualInterfaces ec2: DescribeLocalGateways ec2: DescribeLockedSnapshots ec2: DescribeMacHosts ec2: DescribeMacModificationTasks ec2: DescribeManagedPrefixLists ec2: DescribeMovingAddresses ec2: DescribeNatGateways ec2: DescribeNetworkAcls ec2: DescribeNetworkInsightsAccessScopeAnalyses ec2: DescribeNetworkInsightsAccessScopes ec2: DescribeNetworkInsightsAnalyses ec2: DescribeNetworkInsightsPaths ec2: DescribeNetworkInterfaceAttribute ec2: DescribeNetworkInterfacePermissions ec2: DescribeNetworkInterfaces ec2: DescribeOutpostLags ec2: DescribePlacementGroups ec2: DescribePrefixLists ec2: DescribePrincipalIdFormat ec2:4 piscine DescribePublicIpv ec2: DescribeRegions ec2: DescribeReplaceRootVolumeTasks ec2: DescribeReservedInstances ec2: DescribeReservedInstancesListings ec2: DescribeReservedInstancesModifications ec2: DescribeReservedInstancesOfferings ec2: DescribeRouteServerEndpoints ec2: DescribeRouteServerPeers ec2: DescribeRouteServers ec2: DescribeRouteTables ec2: DescribeScheduledInstanceAvailability ec2: DescribeScheduledInstances ec2: DescribeSecurityGroupReferences ec2: DescribeSecurityGroupRules ec2: DescribeSecurityGroupVpcAssociations ec2: DescribeSecurityGroups ec2: DescribeServiceLinkVirtualInterfaces ec2: DescribeSnapshotAttribute ec2: DescribeSnapshotTierStatus ec2: DescribeSpotDatafeedSubscription ec2: DescribeSpotFleetInstances ec2: DescribeSpotFleetRequestHistory ec2: DescribeSpotFleetRequests ec2: DescribeSpotInstanceRequests ec2: DescribeSpotPriceHistory ec2: DescribeStaleSecurityGroups ec2: DescribeStoreImageTasks ec2: DescribeTrafficMirrorFilterRules ec2: DescribeTrafficMirrorFilters ec2: DescribeTrafficMirrorSessions ec2: DescribeTrafficMirrorTargets ec2: DescribeTransitGatewayAttachments ec2: DescribeTransitGatewayConnectPeers ec2: DescribeTransitGatewayConnects ec2: DescribeTransitGatewayMeteringPolicies ec2: DescribeTransitGatewayMulticastDomains ec2: DescribeTransitGatewayPeeringAttachments ec2: DescribeTransitGatewayPolicyTables ec2: DescribeTransitGatewayRouteTableAnnouncements ec2: DescribeTransitGatewayRouteTables ec2: DescribeTransitGatewayVpcAttachments ec2: DescribeTransitGateways ec2: DescribeTrunkInterfaceAssociations ec2: DescribeVerifiedAccessEndpoints ec2: DescribeVerifiedAccessGroups ec2: DescribeVerifiedAccessInstanceLoggingConfigurations ec2: DescribeVerifiedAccessInstances ec2: DescribeVerifiedAccessTrustProviders ec2: DescribeVolumeAttribute ec2: DescribeVolumeStatus ec2: DescribeVolumes ec2: DescribeVolumesModifications ec2: DescribeVpcAttribute ec2: DescribeVpcBlockPublicAccessExclusions ec2: DescribeVpcBlockPublicAccessOptions ec2: DescribeVpcClassicLink ec2: DescribeVpcClassicLinkDnsSupport ec2: DescribeVpcEncryptionControls ec2: DescribeVpcEndpointAssociations ec2: DescribeVpcEndpointConnectionNotifications ec2: DescribeVpcEndpointConnections ec2: DescribeVpcEndpointServiceConfigurations ec2: DescribeVpcEndpointServicePermissions ec2: DescribeVpcEndpointServices ec2: DescribeVpcEndpoints ec2: DescribeVpcPeeringConnections ec2: DescribeVpcs ec2: DescribeVpnConcentrators ec2: DescribeVpnConnections ec2: DescribeVpnGateways ec2: DetachClassicLinkVpc ec2: DetachInternetGateway ec2: DetachNetworkInterface ec2: DetachVerifiedAccessTrustProvider ec2: DetachVolume ec2: DetachVpnGateway ec2: DisableAddressTransfer ec2: DisableAllowedImagesSettings ec2: DisableAwsNetworkPerformanceMetricSubscription ec2: DisableCapacityManager ec2: DisableEbsEncryptionByDefault ec2: DisableFastLaunch ec2: DisableFastSnapshotRestores ec2: DisableImage ec2: DisableImageBlockPublicAccess ec2: DisableImageDeprecation ec2: DisableImageDeregistrationProtection ec2: DisableInstanceSqlHaStandbyDetections ec2: DisableIpamOrganizationAdminAccount ec2: DisableIpamPolicy ec2: DisableRouteServerPropagation ec2: DisableSerialConsoleAccess ec2: DisableSnapshotBlockPublicAccess ec2: DisableTransitGatewayRouteTablePropagation ec2: DisableVgwRoutePropagation ec2: DisableVpcClassicLink ec2: DisableVpcClassicLinkDnsSupport ec2: DisassociateAddress ec2: DisassociateCapacityReservationBillingOwner ec2: DisassociateClientVpnTargetNetwork ec2: DisassociateEnclaveCertificateIamRole ec2: DisassociateIamInstanceProfile ec2: DisassociateInstanceEventWindow ec2: DisassociateIpamByoasn ec2: DisassociateIpamResourceDiscovery ec2: DisassociateNatGatewayAddress ec2: DisassociateRouteServer ec2: DisassociateRouteTable ec2: DisassociateSecurityGroupVpc ec2: DisassociateSubnetCidrBlock ec2: DisassociateTransitGatewayMulticastDomain ec2: DisassociateTransitGatewayPolicyTable ec2: DisassociateTransitGatewayRouteTable ec2: DisassociateTrunkInterface ec2: DisassociateVpcCidrBlock ec2: EnableAddressTransfer ec2: EnableAllowedImagesSettings ec2: EnableAwsNetworkPerformanceMetricSubscription ec2: EnableCapacityManager ec2: EnableEbsEncryptionByDefault ec2: EnableFastLaunch ec2: EnableFastSnapshotRestores ec2: EnableImage ec2: EnableImageBlockPublicAccess ec2: EnableImageDeprecation ec2: EnableImageDeregistrationProtection ec2: EnableInstanceSqlHaStandbyDetections ec2: EnableIpamOrganizationAdminAccount ec2: EnableIpamPolicy ec2: EnableReachabilityAnalyzerOrganizationSharing ec2: EnableRouteServerPropagation ec2: EnableSerialConsoleAccess ec2: EnableSnapshotBlockPublicAccess ec2: EnableTransitGatewayRouteTablePropagation ec2: EnableVgwRoutePropagation ec2: IO EnableVolume ec2: EnableVpcClassicLink ec2: EnableVpcClassicLinkDnsSupport ec2: ExportClientVpnClientCertificateRevocationList ec2: ExportClientVpnClientConfiguration ec2: ExportImage ec2: ExportTransitGatewayRoutes ec2: ExportVerifiedAccessInstanceClientConfiguration ec2: GetActiveVpnTunnelStatus ec2: GetAllowedImagesSettings ec2: GetAssociatedEnclaveCertificateIamRoles ec2:6 GetAssociatedIpv PoolCidrs ec2: GetAwsNetworkPerformanceData ec2: GetCapacityManagerAttributes ec2: GetCapacityManagerMetricData ec2: GetCapacityManagerMetricDimensions ec2: GetCapacityReservationUsage ec2: GetCoipPoolUsage ec2: GetConsoleOutput ec2: GetConsoleScreenshot ec2: GetDeclarativePoliciesReportSummary ec2: GetDefaultCreditSpecification ec2: GetEbsDefaultKmsKeyId ec2: GetEbsEncryptionByDefault ec2: GetEnabledIpamPolicy ec2: GetFlowLogsIntegrationTemplate ec2: GetGroupsForCapacityReservation ec2: GetHostReservationPurchasePreview ec2: GetImageAncestry ec2: GetImageBlockPublicAccessState ec2: GetInstanceMetadataDefaults ec2: GetInstanceTpmEkPub ec2: GetInstanceTypesFromInstanceRequirements ec2: GetInstanceUefiData ec2: GetIpamAddressHistory ec2: GetIpamDiscoveredAccounts ec2: GetIpamDiscoveredPublicAddresses ec2: GetIpamDiscoveredResourceCidrs ec2: GetIpamPolicyAllocationRules ec2: GetIpamPolicyOrganizationTargets ec2: GetIpamPoolAllocations ec2: GetIpamPoolCidrs ec2: GetIpamPrefixListResolverRules ec2: GetIpamPrefixListResolverVersionEntries ec2: GetIpamPrefixListResolverVersions ec2: GetIpamResourceCidrs ec2: GetLaunchTemplateData ec2: GetManagedPrefixListAssociations ec2: GetManagedPrefixListEntries ec2: GetNetworkInsightsAccessScopeAnalysisFindings ec2: GetNetworkInsightsAccessScopeContent ec2: GetPasswordData ec2: GetReservedInstancesExchangeQuote ec2: GetRouteServerAssociations ec2: GetRouteServerPropagations ec2: GetRouteServerRoutingDatabase ec2: GetSecurityGroupsForVpc ec2: GetSerialConsoleAccessStatus ec2: GetSnapshotBlockPublicAccessState ec2: GetSpotPlacementScores ec2: GetSubnetCidrReservations ec2: GetTransitGatewayAttachmentPropagations ec2: GetTransitGatewayMeteringPolicyEntries ec2: GetTransitGatewayMulticastDomainAssociations ec2: GetTransitGatewayPolicyTableAssociations ec2: GetTransitGatewayPolicyTableEntries ec2: GetTransitGatewayPrefixListReferences ec2: GetTransitGatewayRouteTableAssociations ec2: GetTransitGatewayRouteTablePropagations ec2: GetVerifiedAccessEndpointPolicy ec2: GetVerifiedAccessEndpointTargets ec2: GetVerifiedAccessGroupPolicy ec2: GetVpcResourcesBlockingEncryptionEnforcement ec2: GetVpnConnectionDeviceSampleConfiguration ec2: GetVpnConnectionDeviceTypes ec2: GetVpnTunnelReplacementStatus ec2: ImportClientVpnClientCertificateRevocationList ec2: ImportImage ec2: ImportInstance ec2: ImportKeyPair ec2: ImportSnapshot ec2: ImportVolume ec2: InjectVolume IOLatency ec2: ListImagesInRecycleBin ec2: ListSnapshotsInRecycleBin ec2: ListVolumesInRecycleBin ec2: LockSnapshot ec2: ModifyAddressAttribute ec2: ModifyAvailabilityZoneGroup ec2: ModifyCapacityReservation ec2: ModifyCapacityReservationFleet ec2: ModifyClientVpnEndpoint ec2: ModifyDefaultCreditSpecification ec2: ModifyEbsDefaultKmsKeyId ec2: ModifyFleet ec2: ModifyFpgaImageAttribute ec2: ModifyHosts ec2: ModifyIdFormat ec2: ModifyIdentityIdFormat ec2: ModifyImageAttribute ec2: ModifyInstanceAttribute ec2: ModifyInstanceCapacityReservationAttributes ec2: ModifyInstanceConnectEndpoint ec2: ModifyInstanceCpuOptions ec2: ModifyInstanceCreditSpecification ec2: ModifyInstanceEventStartTime ec2: ModifyInstanceEventWindow ec2: ModifyInstanceMaintenanceOptions ec2: ModifyInstanceMetadataDefaults ec2: ModifyInstanceMetadataOptions ec2: ModifyInstanceNetworkPerformanceOptions ec2: ModifyInstancePlacement ec2: ModifyIpam ec2: ModifyIpamPolicyAllocationRules ec2: ModifyIpamPool ec2: ModifyIpamPrefixListResolver ec2: ModifyIpamPrefixListResolverTarget ec2: ModifyIpamResourceCidr ec2: ModifyIpamResourceDiscovery ec2: ModifyIpamScope ec2: ModifyLaunchTemplate ec2: ModifyLocalGatewayRoute ec2: ModifyManagedPrefixList ec2: ModifyNetworkInterfaceAttribute ec2: ModifyPrivateDnsNameOptions ec2: ModifyPublicIpDnsNameOptions ec2: ModifyReservedInstances ec2: ModifyRouteServer ec2: ModifySecurityGroupRules ec2: ModifySnapshotAttribute ec2: ModifySnapshotTier ec2: ModifySpotFleetRequest ec2: ModifySubnetAttribute ec2: ModifyTrafficMirrorFilterNetworkServices ec2: ModifyTrafficMirrorFilterRule ec2: ModifyTrafficMirrorSession ec2: ModifyTransitGateway ec2: ModifyTransitGatewayMeteringPolicy ec2: ModifyTransitGatewayPrefixListReference ec2: ModifyTransitGatewayVpcAttachment ec2: ModifyVerifiedAccessEndpoint ec2: ModifyVerifiedAccessEndpointPolicy ec2: ModifyVerifiedAccessGroup ec2: ModifyVerifiedAccessGroupPolicy ec2: ModifyVerifiedAccessInstance ec2: ModifyVerifiedAccessInstanceLoggingConfiguration ec2: ModifyVerifiedAccessTrustProvider ec2: ModifyVolume ec2: ModifyVolumeAttribute ec2: ModifyVpcAttribute ec2: ModifyVpcBlockPublicAccessExclusion ec2: ModifyVpcBlockPublicAccessOptions ec2: ModifyVpcEncryptionControl ec2: ModifyVpcEndpoint ec2: ModifyVpcEndpointConnectionNotification ec2: ModifyVpcEndpointServiceConfiguration ec2: ModifyVpcEndpointServicePayerResponsibility ec2: ModifyVpcEndpointServicePermissions ec2: ModifyVpcPeeringConnectionOptions ec2: ModifyVpcTenancy ec2: ModifyVpnConnection ec2: ModifyVpnConnectionOptions ec2: ModifyVpnTunnelCertificate ec2: ModifyVpnTunnelOptions ec2: MonitorInstances ec2: MoveAddressToVpc ec2: MoveByoipCidrToIpam ec2: MoveCapacityReservationInstances ec2: ProvisionByoipCidr ec2: ProvisionIpamByoasn ec2: ProvisionIpamPoolCidr ec2:4 ProvisionPublicIpv PoolCidr ec2: PurchaseCapacityBlockExtension ec2: PurchaseHostReservation ec2: PurchaseReservedInstancesOffering ec2: PurchaseScheduledInstances ec2: RebootInstances ec2: RegisterImage ec2: RegisterInstanceEventNotificationAttributes ec2: RegisterTransitGatewayMulticastGroupMembers ec2: RegisterTransitGatewayMulticastGroupSources ec2: RejectCapacityReservationBillingOwnership ec2: RejectTransitGatewayMulticastDomainAssociations ec2: RejectTransitGatewayPeeringAttachment ec2: RejectTransitGatewayVpcAttachment ec2: RejectVpcEndpointConnections ec2: RejectVpcPeeringConnection ec2: ReleaseAddress ec2: ReleaseHosts ec2: ReleaseIpamPoolAllocation ec2: ReplaceIamInstanceProfileAssociation ec2: ReplaceImageCriteriaInAllowedImagesSettings ec2: ReplaceNetworkAclAssociation ec2: ReplaceNetworkAclEntry ec2: ReplaceRoute ec2: ReplaceRouteTableAssociation ec2: ReplaceTransitGatewayRoute ec2: ReplaceVpnTunnel ec2: ReportInstanceStatus ec2: RequestSpotFleet ec2: RequestSpotInstances ec2: ResetAddressAttribute ec2: ResetEbsDefaultKmsKeyId ec2: ResetFpgaImageAttribute ec2: ResetImageAttribute ec2: ResetInstanceAttribute ec2: ResetNetworkInterfaceAttribute ec2: ResetSnapshotAttribute ec2: RestoreAddressToClassic ec2: RestoreImageFromRecycleBin ec2: RestoreManagedPrefixListVersion ec2: RestoreSnapshotFromRecycleBin ec2: RestoreSnapshotTier ec2: RestoreVolumeFromRecycleBin ec2: RevokeClientVpnIngress ec2: RevokeSecurityGroupEgress ec2: RevokeSecurityGroupIngress ec2: RunInstances ec2: RunScheduledInstances ec2: SearchLocalGatewayRoutes ec2: SearchTransitGatewayMulticastGroups ec2: SearchTransitGatewayRoutes ec2: SendDiagnosticInterrupt ec2: StartDeclarativePoliciesReport ec2: StartInstances ec2: StartNetworkInsightsAccessScopeAnalysis ec2: StartNetworkInsightsAnalysis ec2: StartVpcEndpointServicePrivateDnsVerification ec2: TerminateClientVpnConnections ec2:6 indirizzi UnassignIpv ec2: UnassignPrivateIpAddresses ec2: UnassignPrivateNatGatewayAddress ec2: UnlockSnapshot ec2: UnmonitorInstances ec2: UpdateCapacityManagerOrganizationsAccess ec2: UpdateInterruptibleCapacityReservationAllocation ec2: UpdateSecurityGroupRuleDescriptionsEgress ec2: UpdateSecurityGroupRuleDescriptionsIngress ec2: WithdrawByoipCidr  | 
| ecr |  ecr: BatchCheckLayerAvailability ecr: BatchDeleteImage ecr: BatchGetImage ecr: BatchGetRepositoryScanningConfiguration ecr: CompleteLayerUpload ecr: CreatePullThroughCacheRule ecr: CreateRepositoryCreationTemplate ecr: DeleteLifecyclePolicy ecr: DeletePullThroughCacheRule ecr: DeleteRegistryPolicy ecr: DeleteRepository ecr: DeleteRepositoryCreationTemplate ecr: DeleteRepositoryPolicy ecr: DeleteSigningConfiguration ecr: DescribeImageReplicationStatus ecr: DescribeImageScanFindings ecr: DescribeImages ecr: DescribePullThroughCacheRules ecr: DescribeRegistry ecr: DescribeRepositories ecr: DescribeRepositoryCreationTemplates ecr: GetAccountSetting ecr: GetAuthorizationToken ecr: GetDownloadUrlForLayer ecr: GetLifecyclePolicy ecr: GetLifecyclePolicyPreview ecr: GetRegistryPolicy ecr: GetRegistryScanningConfiguration ecr: GetRepositoryPolicy ecr: GetSigningConfiguration ecr: InitiateLayerUpload ecr: ListImages ecr: ListPullTimeUpdateExclusions ecr: PutAccountSetting ecr: PutImage ecr: PutImageScanningConfiguration ecr: PutRegistryPolicy ecr: PutRegistryScanningConfiguration ecr: PutReplicationConfiguration ecr: StartImageScan ecr: StartLifecyclePolicyPreview ecr: UpdatePullThroughCacheRule ecr: UpdateRepositoryCreationTemplate ecr: UploadLayerPart ecr: ValidatePullThroughCacheRule  | 
| ecr-public |  ecr-pubblico: BatchCheckLayerAvailability ecr-pubblico: BatchDeleteImage ecr-pubblico: CompleteLayerUpload ecr-pubblico: CreateRepository ecr-pubblico: DeleteRepository ecr-pubblico: DeleteRepositoryPolicy ecr-pubblico: DescribeImages ecr-pubblico: DescribeRegistries ecr-pubblico: DescribeRepositories ecr-pubblico: GetAuthorizationToken ecr-pubblico: GetRegistryCatalogData ecr-pubblico: GetRepositoryCatalogData ecr-pubblico: GetRepositoryPolicy ecr-pubblico: InitiateLayerUpload ecr-pubblico: PutImage ecr-pubblico: PutRegistryCatalogData ecr-pubblico: PutRepositoryCatalogData ecr-pubblico: SetRepositoryPolicy ecr-pubblico: UploadLayerPart  | 
| ecs |  ecs: CreateCapacityProvider ecs: CreateCluster ecs: CreateService ecs: CreateTaskSet ecs: DeleteAccountSetting ecs: DeleteAttributes ecs: DeleteCapacityProvider ecs: DeleteCluster ecs: DeleteExpressGatewayService ecs: DeleteService ecs: DeleteTaskDefinitions ecs: DeleteTaskSet ecs: DeregisterContainerInstance ecs: DeregisterTaskDefinition ecs: DescribeCapacityProviders ecs: DescribeClusters ecs: DescribeContainerInstances ecs: DescribeExpressGatewayService ecs: DescribeServiceDeployments ecs: DescribeServiceRevisions ecs: DescribeServices ecs: DescribeTaskDefinition ecs: DescribeTaskSets ecs: DescribeTasks ecs: DiscoverPollEndpoint ecs: ExecuteCommand ecs: GetTaskProtection ecs: ListAccountSettings ecs: ListAttributes ecs: ListClusters ecs: ListContainerInstances ecs: ListServiceDeployments ecs: ListServices ecs: ListServicesByNamespace ecs: ListTaskDefinitionFamilies ecs: ListTaskDefinitions ecs: ListTasks ecs: PutAccountSetting ecs: PutAccountSettingDefault ecs: PutAttributes ecs: PutClusterCapacityProviders ecs: RegisterContainerInstance ecs: RunTask ecs: StartTask ecs: StopServiceDeployment ecs: StopTask ecs: SubmitAttachmentStateChanges ecs: SubmitContainerStateChange ecs: SubmitTaskStateChange ecs: UpdateCapacityProvider ecs: UpdateCluster ecs: UpdateClusterSettings ecs: UpdateContainerAgent ecs: UpdateContainerInstancesState ecs: UpdateExpressGatewayService ecs: UpdateService ecs: UpdateServicePrimaryTaskSet ecs: UpdateTaskProtection ecs: UpdateTaskSet  | 
| eks |  ex: AssociateAccessPolicy ex: AssociateEncryptionConfig ex: AssociateIdentityProviderConfig ex: CreateAccessEntry ex: CreateAddon ex: CreateCluster ex: CreateEksAnywhereSubscription ex: CreateFargateProfile ex: CreateNodegroup ex: DeleteAccessEntry ex: DeleteAddon ex: DeleteCapability ex: DeleteCluster ex: DeleteEksAnywhereSubscription ex: DeleteFargateProfile ex: DeleteNodegroup ex: DeletePodIdentityAssociation ex: DeregisterCluster ex: DescribeAccessEntry ex: DescribeAddon ex: DescribeAddonConfiguration ex: DescribeAddonVersions ex: DescribeCapability ex: DescribeCluster ex: DescribeClusterVersions ex: DescribeEksAnywhereSubscription ex: DescribeFargateProfile ex: DescribeIdentityProviderConfig ex: DescribeInsight ex: DescribeInsightsRefresh ex: DescribeNodegroup ex: DescribePodIdentityAssociation ex: DescribeUpdate ex: DisassociateAccessPolicy ex: DisassociateIdentityProviderConfig ex: ListAccessEntries ex: ListAccessPolicies ex: ListAddons ex: ListAssociatedAccessPolicies ex: ListCapabilities ex: ListClusters ex: ListEksAnywhereSubscriptions ex: ListFargateProfiles ex: ListIdentityProviderConfigs ex: ListInsights ex: ListNodegroups ex: ListPodIdentityAssociations ex: ListUpdates ex: RegisterCluster ex: StartInsightsRefresh ex: UpdateAccessEntry ex: UpdateAddon ex: UpdateCapability ex: UpdateClusterConfig ex: UpdateClusterVersion ex: UpdateEksAnywhereSubscription ex: UpdateNodegroupConfig ex: UpdateNodegroupVersion ex: UpdatePodIdentityAssociation  | 
| elasticache |  dolore elastico: AuthorizeCacheSecurityGroupIngress dolore elastico: BatchApplyUpdateAction dolore elastico: BatchStopUpdateAction dolore elastico: CompleteMigration dolore elastico: CopyServerlessCacheSnapshot dolore elastico: CopySnapshot dolore elastico: CreateCacheCluster dolore elastico: CreateCacheParameterGroup dolore elastico: CreateCacheSecurityGroup dolore elastico: CreateCacheSubnetGroup dolore elastico: CreateGlobalReplicationGroup dolore elastico: CreateReplicationGroup dolore elastico: CreateServerlessCache dolore elastico: CreateServerlessCacheSnapshot dolore elastico: CreateSnapshot dolore elastico: CreateUser dolore elastico: CreateUserGroup dolore elastico: DecreaseNodeGroupsInGlobalReplicationGroup dolore elastico: DecreaseReplicaCount dolore elastico: DeleteCacheCluster dolore elastico: DeleteCacheParameterGroup dolore elastico: DeleteCacheSecurityGroup dolore elastico: DeleteCacheSubnetGroup dolore elastico: DeleteGlobalReplicationGroup dolore elastico: DeleteReplicationGroup dolore elastico: DeleteServerlessCache dolore elastico: DeleteServerlessCacheSnapshot dolore elastico: DeleteSnapshot dolore elastico: DeleteUser dolore elastico: DeleteUserGroup dolore elastico: DescribeCacheClusters dolore elastico: DescribeCacheEngineVersions dolore elastico: DescribeCacheParameterGroups dolore elastico: DescribeCacheParameters dolore elastico: DescribeCacheSecurityGroups dolore elastico: DescribeCacheSubnetGroups dolore elastico: DescribeEngineDefaultParameters dolore elastico: DescribeEvents dolore elastico: DescribeGlobalReplicationGroups dolore elastico: DescribeReplicationGroups dolore elastico: DescribeReservedCacheNodes dolore elastico: DescribeReservedCacheNodesOfferings dolore elastico: DescribeServerlessCacheSnapshots dolore elastico: DescribeServerlessCaches dolore elastico: DescribeServiceUpdates dolore elastico: DescribeSnapshots dolore elastico: DescribeUpdateActions dolore elastico: DescribeUserGroups dolore elastico: DescribeUsers dolore elastico: DisassociateGlobalReplicationGroup dolore elastico: ExportServerlessCacheSnapshot dolore elastico: FailoverGlobalReplicationGroup dolore elastico: IncreaseNodeGroupsInGlobalReplicationGroup dolore elastico: IncreaseReplicaCount dolore elastico: ListAllowedNodeTypeModifications dolore elastico: ModifyCacheCluster dolore elastico: ModifyCacheParameterGroup dolore elastico: ModifyCacheSubnetGroup dolore elastico: ModifyGlobalReplicationGroup dolore elastico: ModifyReplicationGroup dolore elastico: ModifyReplicationGroupShardConfiguration dolore elastico: ModifyServerlessCache dolore elastico: ModifyUser dolore elastico: ModifyUserGroup dolore elastico: PurchaseReservedCacheNodesOffering dolore elastico: RebalanceSlotsInGlobalReplicationGroup dolore elastico: RebootCacheCluster dolore elastico: ResetCacheParameterGroup dolore elastico: RevokeCacheSecurityGroupIngress dolore elastico: StartMigration dolore elastico: TestFailover dolore elastico: TestMigration  | 
| elasticbeanstalk |  gambo elastico: AbortEnvironmentUpdate gambo elastico di fagioli: ApplyEnvironmentManagedAction gambo elastico di fagioli: AssociateEnvironmentOperationsRole Elastic Beanstalk: dai un'occhiata DNSAvailability gambo elastico di fagioli: ComposeEnvironments gambo elastico di fagioli: CreateApplication gambo elastico di fagioli: CreateApplicationVersion gambo elastico di fagioli: CreateConfigurationTemplate gambo elastico di fagioli: CreateEnvironment gambo elastico di fagioli: CreatePlatformVersion gambo elastico di fagioli: CreateStorageLocation gambo elastico di fagioli: DeleteApplication gambo elastico di fagioli: DeleteApplicationVersion gambo elastico di fagioli: DeleteConfigurationTemplate gambo elastico di fagioli: DeleteEnvironmentConfiguration gambo elastico di fagioli: DeletePlatformVersion gambo elastico di fagioli: DescribeAccountAttributes gambo elastico di fagioli: DescribeApplicationVersions gambo elastico di fagioli: DescribeApplications gambo elastico di fagioli: DescribeConfigurationOptions gambo elastico di fagioli: DescribeConfigurationSettings gambo elastico di fagioli: DescribeEnvironmentHealth gambo elastico di fagioli: DescribeEnvironmentManagedActionHistory gambo elastico di fagioli: DescribeEnvironmentManagedActions gambo elastico di fagioli: DescribeEnvironmentResources gambo elastico di fagioli: DescribeEnvironments gambo elastico di fagioli: DescribeEvents gambo elastico di fagioli: DescribeInstancesHealth gambo elastico di fagioli: DescribePlatformVersion gambo elastico di fagioli: DisassociateEnvironmentOperationsRole gambo elastico di fagioli: ListAvailableSolutionStacks gambo elastico di fagioli: ListPlatformBranches gambo elastico di fagioli: ListPlatformVersions gambo elastico di fagioli: RebuildEnvironment gambo elastico di fagioli: RequestEnvironmentInfo gambo elastico di fagioli: RestartAppServer gambo elastico di fagioli: RetrieveEnvironmentInfo gambo elastico di fagioli: SwapEnvironment CNAMEs gambo elastico di fagioli: TerminateEnvironment gambo elastico di fagioli: UpdateApplication gambo elastico di fagioli: UpdateApplicationResourceLifecycle gambo elastico di fagioli: UpdateApplicationVersion gambo elastico di fagioli: UpdateConfigurationTemplate gambo elastico di fagioli: UpdateEnvironment gambo elastico di fagioli: ValidateConfigurationSettings  | 
| elasticfilesystem |  file system elastico: CreateAccessPoint file system elastico: CreateFileSystem file system elastico: CreateMountTarget file system elastico: CreateReplicationConfiguration file system elastico: DeleteAccessPoint file system elastico: DeleteFileSystem file system elastico: DeleteFileSystemPolicy file system elastico: DeleteMountTarget file system elastico: DeleteReplicationConfiguration file system elastico: DescribeAccessPoints file system elastico: DescribeAccountPreferences file system elastico: DescribeBackupPolicy file system elastico: DescribeFileSystemPolicy file system elastico: DescribeFileSystems file system elastico: DescribeLifecycleConfiguration file system elastico: DescribeMountTargetSecurityGroups file system elastico: DescribeMountTargets file system elastico: DescribeReplicationConfigurations file system elastico: ModifyMountTargetSecurityGroups file system elastico: PutAccountPreferences file system elastico: PutBackupPolicy file system elastico: PutFileSystemPolicy file system elastico: PutLifecycleConfiguration file system elastico: UpdateFileSystem file system elastico: UpdateFileSystemProtection  | 
| elasticloadbalancing |  bilanciamento elastico del carico: AddListenerCertificates bilanciamento elastico del carico: AddTrustStoreRevocations bilanciamento elastico del carico: ApplySecurityGroupsToLoadBalancer bilanciamento elastico del carico: AttachLoadBalancerToSubnets bilanciamento elastico del carico: ConfigureHealthCheck bilanciamento elastico del carico: CreateAppCookieStickinessPolicy bilanciamento elastico del carico: crea LBCookie StickinessPolicy bilanciamento elastico del carico: CreateListener bilanciamento elastico del carico: CreateLoadBalancer bilanciamento elastico del carico: CreateLoadBalancerListeners bilanciamento elastico del carico: CreateLoadBalancerPolicy bilanciamento elastico del carico: CreateRule bilanciamento elastico del carico: CreateTargetGroup bilanciamento elastico del carico: CreateTrustStore bilanciamento elastico del carico: CreateWeb ACLAssociation bilanciamento elastico del carico: DeleteListener bilanciamento elastico del carico: DeleteLoadBalancer bilanciamento elastico del carico: DeleteLoadBalancerListeners bilanciamento elastico del carico: DeleteLoadBalancerPolicy bilanciamento elastico del carico: DeleteRule bilanciamento elastico del carico: DeleteSharedTrustStoreAssociation bilanciamento elastico del carico: DeleteTargetGroup bilanciamento elastico del carico: DeleteTrustStore bilanciamento elastico del carico: DeleteWeb ACLAssociation bilanciamento elastico del carico: DeregisterInstancesFromLoadBalancer bilanciamento elastico del carico: DeregisterTargets bilanciamento elastico del carico: DescribeAccountLimits bilanciamento elastico del carico: DescribeCapacityReservation bilanciamento elastico del carico: DescribeInstanceHealth bilanciamento elastico del carico: DescribeListenerAttributes bilanciamento elastico del carico: DescribeListenerCertificates bilanciamento elastico del carico: DescribeListeners bilanciamento elastico del carico: DescribeLoadBalancerAttributes bilanciamento elastico del carico: DescribeLoadBalancerPolicies bilanciamento elastico del carico: DescribeLoadBalancerPolicyTypes bilanciamento elastico del carico: DescribeLoadBalancers bilanciamento elastico del carico: DescribeRules bilanciamento elastico del carico: descrizione SSLPolicies bilanciamento elastico del carico: DescribeTargetGroupAttributes bilanciamento elastico del carico: DescribeTargetGroups bilanciamento elastico del carico: DescribeTargetHealth bilanciamento elastico del carico: DescribeTrustStoreAssociations bilanciamento elastico del carico: DescribeTrustStoreRevocations bilanciamento elastico del carico: DescribeTrustStores bilanciamento elastico del carico: DescribeWeb ACLAssociation bilanciamento elastico del carico: DetachLoadBalancerFromSubnets bilanciamento elastico del carico: DisableAvailabilityZonesForLoadBalancer bilanciamento elastico del carico: EnableAvailabilityZonesForLoadBalancer bilanciamento del carico elastico: ACL GetLoadBalancerWeb bilanciamento elastico del carico: GetResourcePolicy bilanciamento elastico del carico: GetTrustStoreCaCertificatesBundle bilanciamento elastico del carico: GetTrustStoreRevocationContent bilanciamento elastico del carico: ModifyCapacityReservation bilanciamento elastico del carico: ModifyIpPools bilanciamento elastico del carico: ModifyListener bilanciamento elastico del carico: ModifyLoadBalancerAttributes bilanciamento elastico del carico: ModifyRule bilanciamento elastico del carico: ModifyTargetGroup bilanciamento elastico del carico: ModifyTargetGroupAttributes bilanciamento elastico del carico: ModifyTrustStore bilanciamento elastico del carico: RegisterInstancesWithLoadBalancer bilanciamento elastico del carico: RegisterTargets bilanciamento elastico del carico: RemoveListenerCertificates bilanciamento elastico del carico: RemoveTrustStoreRevocations bilanciamento elastico del carico: SetIpAddressType bilanciamento elastico del carico: SetLoadBalancerListener SSLCertificate bilanciamento elastico del carico: SetLoadBalancerPoliciesForBackendServer bilanciamento elastico del carico: SetLoadBalancerPoliciesOfListener bilanciamento elastico del carico: SetRulePriorities bilanciamento elastico del carico: SetSecurityGroups bilanciamento elastico del carico: SetSubnets  | 
| elastictranscoder |  transcodificatore elastico: CancelJob transcodificatore elastico: CreateJob transcodificatore elastico: CreatePipeline transcodificatore elastico: CreatePreset transcodificatore elastico: DeletePipeline transcodificatore elastico: DeletePreset transcodificatore elastico: ListJobsByPipeline transcodificatore elastico: ListJobsByStatus transcodificatore elastico: ListPipelines transcodificatore elastico: ListPresets transcodificatore elastico: ReadJob transcodificatore elastico: ReadPipeline transcodificatore elastico: ReadPreset transcodificatore elastico: TestRole transcodificatore elastico: UpdatePipeline transcodificatore elastico: UpdatePipelineNotifications transcodificatore elastico: UpdatePipelineStatus  | 
| emr-containers |  contenitori emr: CancelJobRun contenitori emr: CreateJobTemplate contenitori emr: CreateManagedEndpoint contenitori emr: CreateSecurityConfiguration contenitori emr: CreateVirtualCluster contenitori emr: DeleteJobTemplate contenitori emr: DeleteManagedEndpoint contenitori emr: DeleteVirtualCluster contenitori emr: DescribeJobRun contenitori emr: DescribeJobTemplate contenitori emr: DescribeManagedEndpoint contenitori emr: DescribeSecurityConfiguration contenitori emr: DescribeVirtualCluster contenitori emr: GetManagedEndpointSessionCredentials contenitori emr: ListJobRuns contenitori emr: ListJobTemplates contenitori emr: ListManagedEndpoints contenitori emr: ListSecurityConfigurations contenitori emr: ListVirtualClusters contenitori emr: StartJobRun  | 
| emr-serverless |  emr-senza server: CancelJobRun emr-senza server: CreateApplication emr-senza server: DeleteApplication emr-senza server: GetApplication emr-senza server: GetDashboardForJobRun emr-senza server: GetJobRun emr-senza server: ListApplications emr-senza server: ListJobRunAttempts emr-senza server: ListJobRuns emr-senza server: StartApplication emr-senza server: StartJobRun emr-senza server: StopApplication emr-senza server: UpdateApplication  | 
| es |  Sì: AcceptInboundConnection Sì: AcceptInboundCrossClusterSearchConnection Sì: AssociatePackage Sì: AuthorizeVpcEndpointAccess Sì: CancelElasticsearchServiceSoftwareUpdate Sì: CancelServiceSoftwareUpdate Sì: CreateDomain Sì: CreateElasticsearchDomain Sì: CreateIndex Sì: CreateOutboundConnection Sì: CreateOutboundCrossClusterSearchConnection Sì: CreatePackage Sì: CreateVpcEndpoint Sì: DeleteDomain Sì: DeleteElasticsearchDomain Sì: DeleteElasticsearchServiceRole Sì: DeleteInboundConnection Sì: DeleteInboundCrossClusterSearchConnection Sì: DeleteIndex Sì: DeleteOutboundConnection Sì: DeleteOutboundCrossClusterSearchConnection Sì: DeletePackage Sì: DeleteVpcEndpoint Sì: DescribeDomain Sì: DescribeDomainAutoTunes Sì: DescribeDomainChangeProgress Sì: DescribeDomainConfig Sì: DescribeDomainHealth Sì: DescribeDomainNodes Sì: DescribeDomains Sì: DescribeDryRunProgress Sì: DescribeElasticsearchDomain Sì: DescribeElasticsearchDomainConfig Sì: DescribeElasticsearchDomains Sì: DescribeElasticsearchInstanceTypeLimits Sì: DescribeInboundConnections Sì: DescribeInboundCrossClusterSearchConnections Sì: DescribeInstanceTypeLimits Sì: DescribeOutboundConnections Sì: DescribeOutboundCrossClusterSearchConnections Sì: DescribePackages Sì: DescribeReservedElasticsearchInstanceOfferings Sì: DescribeReservedElasticsearchInstances Sì: DescribeReservedInstanceOfferings Sì: DescribeReservedInstances Sì: DescribeVpcEndpoints Sì: DissociatePackage Sì: DissociatePackages Sì: GetCompatibleElasticsearchVersions Sì: GetCompatibleVersions Sì: GetDataSource Sì: GetDomainMaintenanceStatus Sì: GetPackageVersionHistory Sì: GetUpgradeHistory Sì: GetUpgradeStatus Sì: ListDataSources Sì: ListDomainNames Sì: ListDomainsForPackage Sì: ListElasticsearchInstanceTypes Sì: ListElasticsearchVersions Sì: ListInstanceTypeDetails Sì: ListPackagesForDomain Sì: ListScheduledActions Sì: ListVersions Sì: ListVpcEndpointAccess Sì: ListVpcEndpoints Sì: ListVpcEndpointsForDomain Sì: PurchaseReservedElasticsearchInstanceOffering Sì: PurchaseReservedInstanceOffering Sì: RejectInboundConnection Sì: RejectInboundCrossClusterSearchConnection Sì: RevokeVpcEndpointAccess Sì: StartDomainMaintenance Sì: StartElasticsearchServiceSoftwareUpdate Sì: StartServiceSoftwareUpdate Sì: UpdateDataSource Sì: UpdateDomainConfig Sì: UpdateElasticsearchDomainConfig Sì: UpdateIndex Sì: UpdatePackage Sì: UpdatePackageScope Sì: UpdateScheduledAction Sì: UpdateVpcEndpoint Sì: UpgradeDomain Sì: UpgradeElasticsearchDomain  | 
| eventi |  eventi: ActivateEventSource eventi: CancelReplay eventi: CreateApiDestination eventi: CreateArchive eventi: CreateConnection eventi: CreateEndpoint eventi: CreateEventBus eventi: CreatePartnerEventSource eventi: DeactivateEventSource eventi: DeauthorizeConnection eventi: DeleteApiDestination eventi: DeleteArchive eventi: DeleteConnection eventi: DeleteEndpoint eventi: DeleteEventBus eventi: DeletePartnerEventSource eventi: DeleteRule eventi: DescribeApiDestination eventi: DescribeArchive eventi: DescribeConnection eventi: DescribeEndpoint eventi: DescribeEventBus eventi: DescribeEventSource eventi: DescribePartnerEventSource eventi: DescribeReplay eventi: DescribeRule eventi: DisableRule eventi: EnableRule eventi: ListApiDestinations eventi: ListArchives eventi: ListConnections eventi: ListEndpoints eventi: ListEventBuses eventi: ListEventSources eventi: ListPartnerEventSourceAccounts eventi: ListPartnerEventSources eventi: ListReplays eventi: ListRuleNamesByTarget eventi: ListRules eventi: ListTargetsByRule eventi: PutPermission eventi: PutRule eventi: PutTargets eventi: RemovePermission eventi: RemoveTargets eventi: StartReplay eventi: TestEventPattern eventi: UpdateApiDestination eventi: UpdateArchive eventi: UpdateConnection eventi: UpdateEndpoint eventi: UpdateEventBus  | 
| evidently |  evidentemente: CreateExperiment evidentemente: CreateFeature evidentemente: CreateLaunch evidentemente: CreateProject evidentemente: CreateSegment evidentemente: DeleteExperiment evidentemente: DeleteFeature evidentemente: DeleteLaunch evidentemente: DeleteProject evidentemente: DeleteSegment evidentemente: GetExperiment evidentemente: GetExperimentResults evidentemente: GetFeature evidentemente: GetLaunch evidentemente: GetProject evidentemente: GetSegment evidentemente: ListExperiments evidentemente: ListFeatures evidentemente: ListLaunches evidentemente: ListProjects evidentemente: ListSegmentReferences evidentemente: ListSegments evidentemente: StartExperiment evidentemente: StartLaunch evidentemente: StopExperiment evidentemente: StopLaunch evidentemente: TestSegmentPattern evidentemente: UpdateExperiment evidentemente: UpdateFeature evidentemente: UpdateLaunch evidentemente: UpdateProject evidentemente: UpdateProjectDataDelivery  | 
| finspace |  spazio interno: CreateEnvironment spazio interno: CreateKxChangeset spazio interno: CreateKxCluster spazio interno: CreateKxDatabase spazio interno: CreateKxDataview spazio interno: CreateKxEnvironment spazio interno: CreateKxScalingGroup spazio interno: CreateKxUser spazio interno: CreateKxVolume spazio interno: CreateUser spazio interno: DeleteEnvironment spazio interno: DeleteKxCluster spazio interno: DeleteKxClusterNode spazio interno: DeleteKxDatabase spazio interno: DeleteKxDataview spazio interno: DeleteKxEnvironment spazio interno: DeleteKxScalingGroup spazio interno: DeleteKxUser spazio interno: DeleteKxVolume spazio interno: GetEnvironment spazio interno: GetKxChangeset spazio interno: GetKxCluster spazio interno: GetKxConnectionString spazio interno: GetKxDatabase spazio interno: GetKxDataview spazio interno: GetKxEnvironment spazio interno: GetKxScalingGroup spazio interno: GetKxUser spazio interno: GetKxVolume spazio interno: GetLoadSampleDataSetGroupIntoEnvironmentStatus spazio interno: GetUser spazio interno: ListEnvironments spazio interno: ListKxChangesets spazio interno: ListKxClusterNodes spazio interno: ListKxClusters spazio interno: ListKxDatabases spazio interno: ListKxDataviews spazio interno: ListKxEnvironments spazio interno: ListKxScalingGroups spazio interno: ListKxUsers spazio interno: ListKxVolumes spazio interno: ListUsers spazio interno: LoadSampleDataSetGroupIntoEnvironment spazio interno: ResetUserPassword spazio interno: UpdateEnvironment spazio interno: UpdateKxClusterCodeConfiguration spazio interno: UpdateKxClusterDatabases spazio interno: UpdateKxDatabase spazio interno: UpdateKxDataview spazio interno: UpdateKxEnvironment spazio interno: UpdateKxEnvironmentNetwork spazio interno: UpdateKxUser spazio interno: UpdateKxVolume spazio interno: UpdateUser  | 
| firehose |  manichetta antincendio: CreateDeliveryStream manichetta antincendio: DeleteDeliveryStream manichetta antincendio: DescribeDeliveryStream manichetta antincendio: ListDeliveryStreams manichetta antincendio: StartDeliveryStreamEncryption manichetta antincendio: StopDeliveryStreamEncryption manichetta antincendio: UpdateDestination  | 
| fis |  pinza: CreateExperimentTemplate pesce: CreateTargetAccountConfiguration pesce: DeleteExperimentTemplate pesce: DeleteTargetAccountConfiguration pesce: GetAction pesce: GetExperiment pesce: GetExperimentTargetAccountConfiguration pesce: GetExperimentTemplate pesce: GetSafetyLever pesce: GetTargetAccountConfiguration pesce: GetTargetResourceType pesce: ListActions pesce: ListExperimentResolvedTargets pesce: ListExperimentTargetAccountConfigurations pesce: ListExperimentTemplates pesce: ListExperiments pesce: ListTargetAccountConfigurations pesce: ListTargetResourceTypes pesce: StartExperiment pesce: StopExperiment pesce: UpdateExperimentTemplate pesce: UpdateSafetyLeverState pesce: UpdateTargetAccountConfiguration  | 
| fms |  fms: AssociateAdminAccount fms: AssociateThirdPartyFirewall fms: BatchAssociateResource fms: BatchDisassociateResource fms: DeleteAppsList fms: DeleteNotificationChannel fms: DeletePolicy fms: DeleteProtocolsList fms: DeleteResourceSet fms: DisassociateAdminAccount fms: DisassociateThirdPartyFirewall fms: GetAdminAccount fms: GetAdminScope fms: GetAppsList fms: GetComplianceDetail fms: GetNotificationChannel fms: GetPolicy fms: GetProtectionStatus fms: GetProtocolsList fms: GetResourceSet fms: GetThirdPartyFirewallAssociationStatus fms: GetViolationDetails fms: ListAdminAccountsForOrganization fms: ListAdminsManagingAccount fms: ListAppsLists fms: ListComplianceStatus fms: ListDiscoveredResources fms: ListMemberAccounts fms: ListPolicies fms: ListProtocolsLists fms: ListResourceSetResources fms: ListResourceSets fms: ListThirdPartyFirewallFirewallPolicies fms: PutAdminAccount fms: PutAppsList fms: PutNotificationChannel fms: PutPolicy fms: PutProtocolsList fms: PutResourceSet  | 
| frauddetector |  rilevatore di frodi: BatchCreateVariable rilevatore di frodi: BatchGetVariable rilevatore di frodi: CancelBatchImportJob rilevatore di frodi: CancelBatchPredictionJob rilevatore di frodi: CreateBatchImportJob rilevatore di frodi: CreateBatchPredictionJob rilevatore di frodi: CreateDetectorVersion rilevatore di frodi: CreateList rilevatore di frodi: CreateModel rilevatore di frodi: CreateModelVersion rilevatore di frodi: CreateRule rilevatore di frodi: CreateVariable rilevatore di frodi: DeleteBatchImportJob rilevatore di frodi: DeleteBatchPredictionJob rilevatore di frodi: DeleteDetector rilevatore di frodi: DeleteDetectorVersion rilevatore di frodi: DeleteEntityType rilevatore di frodi: DeleteEvent rilevatore di frodi: DeleteEventType rilevatore di frodi: DeleteEventsByEventType rilevatore di frodi: DeleteExternalModel rilevatore di frodi: DeleteLabel rilevatore di frodi: DeleteList rilevatore di frodi: DeleteModel rilevatore di frodi: DeleteModelVersion rilevatore di frodi: DeleteOutcome rilevatore di frodi: DeleteRule rilevatore di frodi: DeleteVariable rilevatore di frodi: DescribeDetector rilevatore di frodi: DescribeModelVersions rilevatore di frodi: GetBatchImportJobs rilevatore di frodi: GetBatchPredictionJobs rilevatore di frodi: GetDeleteEventsByEventTypeStatus rilevatore di frodi: GetDetectorVersion rilevatore di frodi: GetDetectors rilevatore di frodi: GetEntityTypes rilevatore di frodi: GetEvent rilevatore di frodi: GetEventPrediction rilevatore di frodi: GetEventPredictionMetadata rilevatore di frodi: GetEventTypes rilevatore di frodi: GetExternalModels Rilevatore di frodi: Get Key KMSEncryption rilevatore di frodi: GetLabels rilevatore di frodi: GetListElements rilevatore di frodi: GetListsMetadata rilevatore di frodi: GetModelVersion rilevatore di frodi: GetModels rilevatore di frodi: GetOutcomes rilevatore di frodi: GetRules rilevatore di frodi: GetVariables rilevatore di frodi: ListEventPredictions rilevatore di frodi: PutDetector rilevatore di frodi: PutEntityType rilevatore di frodi: PutEventType rilevatore di frodi: PutExternalModel Rilevatore di frodi: Put Key KMSEncryption rilevatore di frodi: PutLabel rilevatore di frodi: PutOutcome rilevatore di frodi: SendEvent rilevatore di frodi: UpdateDetectorVersion rilevatore di frodi: UpdateDetectorVersionMetadata rilevatore di frodi: UpdateDetectorVersionStatus rilevatore di frodi: UpdateEventLabel rilevatore di frodi: UpdateList rilevatore di frodi: UpdateModel rilevatore di frodi: UpdateModelVersion rilevatore di frodi: UpdateModelVersionStatus rilevatore di frodi: UpdateRuleMetadata rilevatore di frodi: UpdateRuleVersion rilevatore di frodi: UpdateVariable  | 
| fsx |  fax: AssociateFileSystemAliases fax: CancelDataRepositoryTask fax: CopyBackup fax: CreateDataRepositoryTask fax: CreateFileCache fax: CreateFileSystem fax: CreateFileSystemFromBackup fax: CreateSnapshot fax: CreateStorageVirtualMachine fax: CreateVolume fax: CreateVolumeFromBackup fax: DeleteBackup fax: DeleteFileCache fax: DeleteFileSystem fax: DeleteSnapshot fax: DeleteStorageVirtualMachine fax: DeleteVolume fax: DescribeBackups fax: DescribeDataRepositoryAssociations fax: DescribeDataRepositoryTasks fax: DescribeFileCaches fax: DescribeFileSystemAliases fax: DescribeFileSystems FSX: descrive 3 AccessPointAttachments fsx: DescribeSharedVpcConfiguration fax: DescribeSnapshots fax: DescribeStorageVirtualMachines fax: DescribeVolumes fsx: A3 DetachAndDelete AccessPoint fax: DisassociateFileSystemAliases fsx: Blocchi V3 ReleaseFileSystemNfs fax: RestoreVolumeFromSnapshot fax: StartMisconfiguredStateRecovery fax: UpdateDataRepositoryAssociation fax: UpdateFileCache fax: UpdateFileSystem fax: UpdateSharedVpcConfiguration fax: UpdateSnapshot fax: UpdateStorageVirtualMachine fax: UpdateVolume  | 
| gamelift |  rinnovamento del gioco: AcceptMatch rinnovamento del gioco: ClaimGameServer rinnovamento del gioco: CreateAlias rinnovamento del gioco: CreateBuild rinnovamento del gioco: CreateContainerGroupDefinition rinnovamento del gioco: CreateFleet rinnovamento del gioco: CreateFleetLocations rinnovamento del gioco: CreateGameServerGroup rinnovamento del gioco: CreateGameSession rinnovamento del gioco: CreateGameSessionQueue rinnovamento del gioco: CreateLocation rinnovamento del gioco: CreateMatchmakingConfiguration rinnovamento del gioco: CreateMatchmakingRuleSet rinnovamento del gioco: CreatePlayerSession rinnovamento del gioco: CreatePlayerSessions rinnovamento del gioco: CreateScript rinnovamento del gioco: CreateVpcPeeringAuthorization rinnovamento del gioco: CreateVpcPeeringConnection rinnovamento del gioco: DeleteAlias rinnovamento del gioco: DeleteBuild rinnovamento del gioco: DeleteContainerGroupDefinition rinnovamento del gioco: DeleteFleet rinnovamento del gioco: DeleteFleetLocations rinnovamento del gioco: DeleteGameServerGroup rinnovamento del gioco: DeleteGameSessionQueue rinnovamento del gioco: DeleteLocation rinnovamento del gioco: DeleteMatchmakingConfiguration rinnovamento del gioco: DeleteMatchmakingRuleSet rinnovamento del gioco: DeleteScalingPolicy rinnovamento del gioco: DeleteScript rinnovamento del gioco: DeleteVpcPeeringAuthorization rinnovamento del gioco: DeleteVpcPeeringConnection rinnovamento del gioco: DeregisterCompute rinnovamento del gioco: DeregisterGameServer rinnovamento del gioco: DescribeAlias rinnovamento del gioco: DescribeBuild rinnovamento del gioco: DescribeCompute rinnovamento del gioco: DescribeContainerFleet rinnovamento del gioco: DescribeContainerGroupDefinition gamelift: descrivi EC2 InstanceLimits gamelift: DescribeFleetAttributes rinnovamento del gioco: DescribeFleetCapacity rinnovamento del gioco: DescribeFleetEvents rinnovamento del gioco: DescribeFleetLocationAttributes rinnovamento del gioco: DescribeFleetLocationCapacity rinnovamento del gioco: DescribeFleetLocationUtilization rinnovamento del gioco: DescribeFleetPortSettings rinnovamento del gioco: DescribeFleetUtilization rinnovamento del gioco: DescribeGameServer rinnovamento del gioco: DescribeGameServerGroup rinnovamento del gioco: DescribeGameServerInstances rinnovamento del gioco: DescribeGameSessionDetails rinnovamento del gioco: DescribeGameSessionPlacement rinnovamento del gioco: DescribeGameSessionQueues rinnovamento del gioco: DescribeGameSessions rinnovamento del gioco: DescribeInstances rinnovamento del gioco: DescribeMatchmaking rinnovamento del gioco: DescribeMatchmakingConfigurations rinnovamento del gioco: DescribeMatchmakingRuleSets rinnovamento del gioco: DescribePlayerSessions rinnovamento del gioco: DescribeRuntimeConfiguration rinnovamento del gioco: DescribeScalingPolicies rinnovamento del gioco: DescribeScript rinnovamento del gioco: DescribeVpcPeeringAuthorizations rinnovamento del gioco: DescribeVpcPeeringConnections rinnovamento del gioco: GetComputeAccess rinnovamento del gioco: GetComputeAuthToken rinnovamento del gioco: GetGameSessionLogUrl rinnovamento del gioco: GetInstanceAccess rinnovamento del gioco: ListAliases rinnovamento del gioco: ListBuilds rinnovamento del gioco: ListCompute rinnovamento del gioco: ListContainerFleets rinnovamento del gioco: ListContainerGroupDefinitionVersions rinnovamento del gioco: ListContainerGroupDefinitions rinnovamento del gioco: ListFleetDeployments rinnovamento del gioco: ListFleets rinnovamento del gioco: ListGameServerGroups rinnovamento del gioco: ListGameServers rinnovamento del gioco: ListLocations rinnovamento del gioco: ListScripts rinnovamento del gioco: PutScalingPolicy rinnovamento del gioco: RegisterCompute rinnovamento del gioco: RegisterGameServer rinnovamento del gioco: RequestUploadCredentials rinnovamento del gioco: ResolveAlias rinnovamento del gioco: ResumeGameServerGroup rinnovamento del gioco: SearchGameSessions rinnovamento del gioco: StartFleetActions rinnovamento del gioco: StartGameSessionPlacement rinnovamento del gioco: StartMatchBackfill rinnovamento del gioco: StartMatchmaking rinnovamento del gioco: StopFleetActions rinnovamento del gioco: StopGameSessionPlacement rinnovamento del gioco: StopMatchmaking rinnovamento del gioco: SuspendGameServerGroup rinnovamento del gioco: TerminateGameSession rinnovamento del gioco: UpdateAlias rinnovamento del gioco: UpdateBuild rinnovamento del gioco: UpdateContainerGroupDefinition rinnovamento del gioco: UpdateFleetAttributes rinnovamento del gioco: UpdateFleetCapacity rinnovamento del gioco: UpdateFleetPortSettings rinnovamento del gioco: UpdateGameServer rinnovamento del gioco: UpdateGameServerGroup rinnovamento del gioco: UpdateGameSession rinnovamento del gioco: UpdateGameSessionQueue rinnovamento del gioco: UpdateMatchmakingConfiguration rinnovamento del gioco: UpdateRuntimeConfiguration rinnovamento del gioco: UpdateScript rinnovamento del gioco: ValidateMatchmakingRuleSet  | 
| geo |  geo: AssociateTrackerConsumer geo: BatchDeleteDevicePositionHistory geo: BatchDeleteGeofence geo: BatchEvaluateGeofences geo: BatchGetDevicePosition geo: BatchPutGeofence geo: BatchUpdateDevicePosition geo: CalculateRoute geo: CalculateRouteMatrix geo: CreateGeofenceCollection geo: CreateMap geo: CreatePlaceIndex geo: CreateRouteCalculator geo: CreateTracker geo: DeleteGeofenceCollection geo: DeleteKey geo: DeleteMap geo: DeletePlaceIndex geo: DeleteRouteCalculator geo: DeleteTracker geo: DescribeGeofenceCollection geo: DescribeKey geo: DescribeMap geo: DescribePlaceIndex geo: DescribeRouteCalculator geo: DescribeTracker geo: DisassociateTrackerConsumer geo: ForecastGeofenceEvents geo: GetDevicePosition geo: GetDevicePositionHistory geo: GetGeofence geo: GetMapGlyphs geo: GetMapSprites geo: GetMapStyleDescriptor geo: GetMapTile geo: GetPlace geo: ListDevicePositions geo: ListGeofenceCollections geo: ListGeofences geo: ListKeys geo: ListMaps geo: ListPlaceIndexes geo: ListRouteCalculators geo: ListTrackerConsumers geo: ListTrackers geo: PutGeofence geo: SearchPlaceIndexForPosition geo: SearchPlaceIndexForSuggestions geo: SearchPlaceIndexForText geo: UpdateGeofenceCollection geo: UpdateKey geo: UpdateMap geo: UpdatePlaceIndex geo: UpdateRouteCalculator geo: UpdateTracker geo: VerifyDevicePosition  | 
| glacier |  ghiacciaio: AbortMultipartUpload ghiacciaio: AbortVaultLock ghiacciaio: CompleteMultipartUpload ghiacciaio: CompleteVaultLock ghiacciaio: CreateVault ghiacciaio: DeleteArchive ghiacciaio: DeleteVault ghiacciaio: DeleteVaultAccessPolicy ghiacciaio: DeleteVaultNotifications ghiacciaio: DescribeJob ghiacciaio: DescribeVault ghiacciaio: GetDataRetrievalPolicy ghiacciaio: GetJobOutput ghiacciaio: GetVaultAccessPolicy ghiacciaio: GetVaultLock ghiacciaio: GetVaultNotifications ghiacciaio: InitiateJob ghiacciaio: InitiateMultipartUpload ghiacciaio: InitiateVaultLock ghiacciaio: ListJobs ghiacciaio: ListMultipartUploads ghiacciaio: ListParts ghiacciaio: ListProvisionedCapacity ghiacciaio: ListVaults ghiacciaio: PurchaseProvisionedCapacity ghiacciaio: SetDataRetrievalPolicy ghiacciaio: SetVaultAccessPolicy ghiacciaio: SetVaultNotifications ghiacciaio: UploadArchive ghiacciaio: UploadMultipartPart  | 
| grafana |  grafana: AssociateLicense grafana: CreateWorkspace grafana: CreateWorkspaceApiKey grafana: CreateWorkspaceServiceAccount grafana: CreateWorkspaceServiceAccountToken grafana: DeleteWorkspace grafana: DeleteWorkspaceApiKey grafana: DeleteWorkspaceServiceAccount grafana: DeleteWorkspaceServiceAccountToken grafana: DescribeWorkspace grafana: DescribeWorkspaceAuthentication grafana: DescribeWorkspaceConfiguration grafana: DisassociateLicense grafana: ListPermissions grafana: ListVersions grafana: ListWorkspaceServiceAccountTokens grafana: ListWorkspaceServiceAccounts grafana: ListWorkspaces grafana: UpdatePermissions grafana: UpdateWorkspace grafana: UpdateWorkspaceAuthentication grafana: UpdateWorkspaceConfiguration  | 
| greengrass |  erba verde: AssociateRoleToGroup erba verde: AssociateServiceRoleToAccount erba verde: BatchAssociateClientDeviceWithCoreDevice erba verde: BatchDisassociateClientDeviceFromCoreDevice erba verde: CancelDeployment erba verde: CreateComponentVersion erba verde: CreateConnectorDefinition erba verde: CreateConnectorDefinitionVersion erba verde: CreateCoreDefinition erba verde: CreateCoreDefinitionVersion erba verde: CreateDeployment erba verde: CreateDeviceDefinition erba verde: CreateDeviceDefinitionVersion erba verde: CreateFunctionDefinition erba verde: CreateFunctionDefinitionVersion erba verde: CreateGroup erba verde: CreateGroupCertificateAuthority erba verde: CreateGroupVersion erba verde: CreateLoggerDefinition erba verde: CreateLoggerDefinitionVersion erba verde: CreateResourceDefinition erba verde: CreateResourceDefinitionVersion erba verde: CreateSoftwareUpdateJob erba verde: CreateSubscriptionDefinition erba verde: CreateSubscriptionDefinitionVersion erba verde: DeleteComponent erba verde: DeleteConnectorDefinition erba verde: DeleteCoreDefinition erba verde: DeleteCoreDevice erba verde: DeleteDeployment erba verde: DeleteDeviceDefinition erba verde: DeleteFunctionDefinition erba verde: DeleteGroup erba verde: DeleteLoggerDefinition erba verde: DeleteResourceDefinition erba verde: DeleteSubscriptionDefinition erba verde: DescribeComponent erba verde: DisassociateRoleFromGroup erba verde: DisassociateServiceRoleFromAccount erba verde: GetAssociatedRole erba verde: GetBulkDeploymentStatus erba verde: GetComponent erba verde: GetComponentVersionArtifact erba verde: GetConnectivityInfo erba verde: GetConnectorDefinition erba verde: GetConnectorDefinitionVersion erba verde: GetCoreDefinition erba verde: GetCoreDefinitionVersion erba verde: GetCoreDevice erba verde: GetDeployment erba verde: GetDeploymentStatus erba verde: GetDeviceDefinition erba verde: GetDeviceDefinitionVersion erba verde: GetFunctionDefinition erba verde: GetFunctionDefinitionVersion erba verde: GetGroup erba verde: GetGroupCertificateAuthority erba verde: GetGroupCertificateConfiguration erba verde: GetGroupVersion erba verde: GetLoggerDefinition erba verde: GetLoggerDefinitionVersion erba verde: GetResourceDefinition erba verde: GetResourceDefinitionVersion erba verde: GetServiceRoleForAccount erba verde: GetSubscriptionDefinition erba verde: GetSubscriptionDefinitionVersion erba verde: GetThingRuntimeConfiguration erba verde: ListBulkDeploymentDetailedReports erba verde: ListBulkDeployments erba verde: ListClientDevicesAssociatedWithCoreDevice erba verde: ListComponentVersions erba verde: ListComponents erba verde: ListConnectorDefinitionVersions erba verde: ListConnectorDefinitions erba verde: ListCoreDefinitionVersions erba verde: ListCoreDefinitions erba verde: ListCoreDevices erba verde: ListDeployments erba verde: ListDeviceDefinitionVersions erba verde: ListDeviceDefinitions erba verde: ListEffectiveDeployments erba verde: ListFunctionDefinitionVersions erba verde: ListFunctionDefinitions erba verde: ListGroupCertificateAuthorities erba verde: ListGroupVersions erba verde: ListGroups erba verde: ListInstalledComponents erba verde: ListLoggerDefinitionVersions erba verde: ListLoggerDefinitions erba verde: ListResourceDefinitionVersions erba verde: ListResourceDefinitions erba verde: ListSubscriptionDefinitionVersions erba verde: ListSubscriptionDefinitions erba verde: ResetDeployments erba verde: StartBulkDeployment erba verde: StopBulkDeployment erba verde: UpdateConnectivityInfo erba verde: UpdateConnectorDefinition erba verde: UpdateCoreDefinition erba verde: UpdateDeviceDefinition erba verde: UpdateFunctionDefinition erba verde: UpdateGroup erba verde: UpdateGroupCertificateConfiguration erba verde: UpdateLoggerDefinition erba verde: UpdateResourceDefinition erba verde: UpdateSubscriptionDefinition erba verde: UpdateThingRuntimeConfiguration  | 
| groundstation |  stazione a terra: CancelContact stazione a terra: CreateConfig stazione a terra: CreateDataflowEndpointGroup stazione a terra: V2 CreateDataflowEndpointGroup stazione a terra: CreateEphemeris stazione a terra: CreateMissionProfile stazione a terra: DeleteConfig stazione a terra: DeleteDataflowEndpointGroup stazione a terra: DeleteEphemeris stazione a terra: DeleteMissionProfile stazione a terra: DescribeContact stazione a terra: DescribeEphemeris stazione a terra: GetConfig stazione a terra: GetDataflowEndpointGroup stazione a terra: GetMinuteUsage stazione a terra: GetMissionProfile stazione a terra: GetSatellite stazione a terra: ListConfigs stazione a terra: ListContacts stazione a terra: ListDataflowEndpointGroups stazione a terra: ListEphemerides stazione a terra: ListGroundStations stazione a terra: ListMissionProfiles stazione a terra: ListSatellites stazione a terra: RegisterAgent stazione a terra: ReserveContact stazione a terra: UpdateAgentStatus stazione a terra: UpdateConfig stazione a terra: UpdateEphemeris stazione a terra: UpdateMissionProfile  | 
| guardduty |  servizio di guardia: AcceptAdministratorInvitation servizio di guardia: AcceptInvitation servizio di guardia: ArchiveFindings servizio di guardia: CreateDetector servizio di guardia: CreateFilter guardduty: crea IPSet servizio di guardia: CreateMalwareProtectionPlan servizio di guardia: CreateMembers servizio di guardia: CreatePublishingDestination servizio di guardia: CreateSampleFindings servizio di guardia: CreateThreatEntitySet servizio di guardia: CreateThreatIntelSet servizio di guardia: CreateTrustedEntitySet servizio di guardia: DeclineInvitations servizio di guardia: DeleteDetector servizio di guardia: DeleteFilter guardDuty: elimina IPSet servizio di guardia: DeleteInvitations servizio di guardia: DeleteMalwareProtectionPlan servizio di guardia: DeleteMembers servizio di guardia: DeletePublishingDestination servizio di guardia: DeleteThreatEntitySet servizio di guardia: DeleteThreatIntelSet servizio di guardia: DeleteTrustedEntitySet servizio di guardia: DescribeMalwareScans servizio di guardia: DescribeOrganizationConfiguration servizio di guardia: DescribePublishingDestination servizio di guardia: DisableOrganizationAdminAccount servizio di guardia: DisassociateFromAdministratorAccount servizio di guardia: DisassociateFromMasterAccount servizio di guardia: DisassociateMembers servizio di guardia: EnableOrganizationAdminAccount servizio di guardia: GetAdministratorAccount servizio di guardia: GetCoverageStatistics servizio di guardia: GetDetector servizio di guardia: GetFilter servizio di guardia: GetFindings servizio di guardia: GetFindingsStatistics guardduty: GET IPSet servizio di guardia: GetInvitationsCount servizio di guardia: GetMalwareProtectionPlan servizio di guardia: GetMalwareScan servizio di guardia: GetMalwareScanSettings servizio di guardia: GetMasterAccount servizio di guardia: GetMemberDetectors servizio di guardia: GetMembers servizio di guardia: GetOrganizationStatistics servizio di guardia: GetRemainingFreeTrialDays servizio di guardia: GetThreatEntitySet servizio di guardia: GetThreatIntelSet servizio di guardia: GetTrustedEntitySet servizio di guardia: GetUsageStatistics servizio di guardia: InviteMembers servizio di guardia: ListCoverage servizio di guardia: ListDetectors servizio di guardia: ListFilters servizio di guardia: ListFindings servizio di guardia: elenco IPSets servizio di guardia: ListInvitations servizio di guardia: ListMalwareProtectionPlans servizio di guardia: ListMalwareScans servizio di guardia: ListMembers servizio di guardia: ListOrganizationAdminAccounts servizio di guardia: ListPublishingDestinations servizio di guardia: ListThreatEntitySets servizio di guardia: ListThreatIntelSets servizio di guardia: ListTrustedEntitySets servizio di guardia: StartMalwareScan servizio di guardia: StartMonitoringMembers servizio di guardia: StopMonitoringMembers servizio di guardia: UnarchiveFindings servizio di guardia: UpdateDetector servizio di guardia: UpdateFilter servizio di guardia: UpdateFindingsFeedback guardduty: aggiornamento IPSet servizio di guardia: UpdateMalwareProtectionPlan servizio di guardia: UpdateMalwareScanSettings servizio di guardia: UpdateMemberDetectors servizio di guardia: UpdateOrganizationConfiguration servizio di guardia: UpdatePublishingDestination servizio di guardia: UpdateThreatEntitySet servizio di guardia: UpdateThreatIntelSet servizio di guardia: UpdateTrustedEntitySet  | 
| healthlake |  Health Lake: Annulla FHIRExport JobWithDelete HealthLake: crea FHIRDatastore Healthlake: CreateResource HealthLake: elimina FHIRDatastore healthlake: DeleteResource HealthLake: descrivi FHIRDatastore HealthLakeFHIRExport: Descrivi Job HealthLake: Descrivi FHIRExport JobWithGet HealthLakeFHIRImport: Descrivi Job Healthlake: GetCapabilities HealthLake: elenco FHIRDatastores HealthLake: Elenca lavori FHIRExport HealthLake: Elenca FHIRImport lavori Healthlake: ReadResource lago sanitario: SearchEverything lago sanitario: SearchWithGet lago sanitario: SearchWithPost HealthLakeFHIRExport: Inizia un lavoro HealthLake: Inizia FHIRExport JobWithPost HealthLakeFHIRImport: Inizia un lavoro Healthlake: UpdateResource  | 
| honeycode |  codice del miele: BatchCreateTableRows codice del miele: BatchDeleteTableRows codice del miele: BatchUpdateTableRows codice del miele: BatchUpsertTableRows codice del miele: DescribeTableDataImportJob codice del miele: GetScreenData codice del miele: InvokeScreenAutomation codice del miele: ListTableColumns codice del miele: ListTableRows codice del miele: ListTables codice del miele: QueryTableRows codice del miele: StartTableDataImportJob  | 
| iam |  iam: AddClient IDTo Open Provider IDConnect Io sono: AddRoleToInstanceProfile Io sono: AddUserToGroup Io sono: AttachGroupPolicy Io sono: AttachRolePolicy Io sono: AttachUserPolicy Io sono: ChangePassword Io sono: CreateAccessKey Io sono: CreateAccountAlias Io sono: CreateGroup Io sono: CreateInstanceProfile Io sono: CreateLoginProfile iam: CreateOpen IDConnect Fornitore Sono: CreatePolicy Io sono: CreatePolicyVersion Io sono: CreateRole IAM: crea SAMLProvider sono: CreateServiceLinkedRole Io sono: CreateServiceSpecificCredential Io sono: CreateUser Io sono: CreateVirtual MFADevice IAM: disattiva MFADevice sono: DeleteAccessKey Io sono: DeleteAccountAlias Io sono: DeleteAccountPasswordPolicy Io sono: DeleteCloudFrontPublicKey Io sono: DeleteGroup Io sono: DeleteGroupPolicy Io sono: DeleteInstanceProfile Io sono: DeleteLoginProfile iam: DeleteOpen IDConnect Fornitore Sono: DeletePolicy Io sono: DeletePolicyVersion Io sono: DeleteRole Io sono: DeleteRolePermissionsBoundary Io sono: DeleteRolePolicy IAM: elimina SAMLProvider iam:Delete Key SSHPublic sono: DeleteServerCertificate Io sono: DeleteServiceLinkedRole Io sono: DeleteServiceSpecificCredential Io sono: DeleteSigningCertificate Io sono: DeleteUser Io sono: DeleteUserPermissionsBoundary Io sono: DeleteUserPolicy Io sono: DeleteVirtual MFADevice Io sono: DetachGroupPolicy Io sono: DetachRolePolicy Io sono: DetachUserPolicy Io sono: DisableOrganizationsRootCredentialsManagement Io sono: DisableOrganizationsRootSessions Io sono: DisableOutboundWebIdentityFederation IAM: abilita MFADevice sono: EnableOrganizationsRootCredentialsManagement Io sono: EnableOrganizationsRootSessions Io sono: EnableOutboundWebIdentityFederation Io sono: GenerateCredentialReport sono: GenerateOrganizationsAccessReport sono: GenerateServiceLastAccessedDetails sono: GetAccessKeyLastUsed sono: GetAccountAuthorizationDetails sono: GetAccountEmailAddress sono: GetAccountName sono: GetAccountPasswordPolicy sono: GetAccountSummary sono: GetCloudFrontPublicKey sono: GetContextKeysForCustomPolicy sono: GetContextKeysForPrincipalPolicy sono: GetCredentialReport sono: GetGroup sono: GetGroupPolicy sono: GetInstanceProfile sono: GetLoginProfile Sono: GET MFADevice iam: Fornitore GetOpen IDConnect Sono: GetOrganizationsAccessReport sono: GetOutboundWebIdentityFederationInfo sono: GetPolicy sono: GetPolicyVersion sono: GetRole sono: GetRolePolicy Sono: GET SAMLProvider Sono: Get Key SSHPublic Sono: GetServerCertificate sono: GetServiceLastAccessedDetails sono: GetServiceLastAccessedDetailsWithEntities sono: GetServiceLinkedRoleDeletionStatus sono: GetUser sono: GetUserPolicy sono: ListAccessKeys sono: ListAccountAliases sono: ListAttachedGroupPolicies sono: ListAttachedRolePolicies sono: ListAttachedUserPolicies sono: ListCloudFrontPublicKeys sono: ListDelegationRequests sono: ListEntitiesForPolicy sono: ListGroupPolicies sono: ListGroups sono: ListGroupsForUser sono: ListInstanceProfiles sono: ListInstanceProfilesForRole IAM: elenco MFADevices iam: Fornitori ListOpen IDConnect Sono: ListOrganizationsFeatures sono: ListPolicies sono: ListPoliciesGrantingServiceAccess sono: ListPolicyVersions sono: ListRolePolicies sono: ListRoles IAM: elenco SAMLProviders iam:List Keys SSHPublic IAM:list STSRegional EndpointsStatus sono: ListServerCertificates sono: ListServiceSpecificCredentials sono: ListSigningCertificates sono: ListUserPolicies sono: ListUsers Io sono: ListVirtual MFADevices Io sono: PutGroupPolicy sono: PutRolePermissionsBoundary sono: PutRolePolicy sono: PutUserPermissionsBoundary sono: PutUserPolicy iam: RemoveClient IDFrom Open IDConnect Provider Io sono: RemoveRoleFromInstanceProfile sono: RemoveUserFromGroup sono: ResetServiceSpecificCredential Iam: resync MFADevice sono: SetDefaultPolicyVersion Iam: set STSRegional EndpointStatus sono: SetSecurityTokenServicePreferences sono: SimulateCustomPolicy sono: SimulatePrincipalPolicy sono: UpdateAccessKey sono: UpdateAccountEmailAddress sono: UpdateAccountName sono: UpdateAccountPasswordPolicy sono: UpdateAssumeRolePolicy sono: UpdateCloudFrontPublicKey sono: UpdateGroup sono: UpdateLoginProfile Io sono: UpdateOpen IDConnect ProviderThumbprint Io sono: UpdateRole Io sono: UpdateRoleDescription IAM: aggiorna SAMLProvider iam:Update Key SSHPublic Sono: UpdateServerCertificate Io sono: UpdateServiceSpecificCredential Io sono: UpdateSigningCertificate Io sono: UpdateUser Io sono: UploadCloudFrontPublicKey IAM: chiave SSHPublic di caricamento sono: UploadServerCertificate Io sono: UploadSigningCertificate  | 
| identitystore |  archivio di identità: CreateGroup archivio di identità: CreateGroupMembership archivio di identità: CreateUser archivio di identità: DeleteGroup archivio di identità: DeleteGroupMembership archivio di identità: DeleteUser archivio di identità: DescribeGroup archivio di identità: DescribeGroupMembership archivio di identità: DescribeUser archivio di identità: GetGroupId archivio di identità: GetGroupMembershipId archivio di identità: GetUserId archivio di identità: IsMemberInGroups archivio di identità: ListGroupMemberships archivio di identità: ListGroupMembershipsForMember archivio di identità: ListGroups archivio di identità: ListUsers archivio di identità: UpdateGroup archivio di identità: UpdateUser  | 
| imagebuilder |  generatore di immagini: CancelImageCreation generatore di immagini: CancelLifecycleExecution generatore di immagini: CreateComponent generatore di immagini: CreateContainerRecipe generatore di immagini: CreateDistributionConfiguration generatore di immagini: CreateImage generatore di immagini: CreateImagePipeline generatore di immagini: CreateImageRecipe generatore di immagini: CreateInfrastructureConfiguration generatore di immagini: CreateLifecyclePolicy generatore di immagini: CreateWorkflow generatore di immagini: DeleteComponent generatore di immagini: DeleteContainerRecipe generatore di immagini: DeleteDistributionConfiguration generatore di immagini: DeleteImage generatore di immagini: DeleteImagePipeline generatore di immagini: DeleteImageRecipe generatore di immagini: DeleteInfrastructureConfiguration generatore di immagini: DeleteLifecyclePolicy generatore di immagini: DeleteWorkflow generatore di immagini: DistributeImage generatore di immagini: GetComponentPolicy generatore di immagini: GetContainerRecipePolicy generatore di immagini: GetImagePolicy generatore di immagini: GetImageRecipePolicy generatore di immagini: GetLifecycleExecution generatore di immagini: GetLifecyclePolicy generatore di immagini: GetMarketplaceResource generatore di immagini: GetWorkflowExecution generatore di immagini: GetWorkflowStepExecution generatore di immagini: ImportComponent generatore di immagini: ImportDiskImage generatore di immagini: ImportVmImage generatore di immagini: ListComponentBuildVersions generatore di immagini: ListComponents generatore di immagini: ListContainerRecipes generatore di immagini: ListDistributionConfigurations generatore di immagini: ListImageBuildVersions generatore di immagini: ListImagePackages generatore di immagini: ListImagePipelineImages generatore di immagini: ListImagePipelines generatore di immagini: ListImageRecipes generatore di immagini: ListImageScanFindingAggregations generatore di immagini: ListImageScanFindings generatore di immagini: ListImages generatore di immagini: ListInfrastructureConfigurations generatore di immagini: ListLifecycleExecutionResources generatore di immagini: ListLifecycleExecutions generatore di immagini: ListLifecyclePolicies generatore di immagini: ListWaitingWorkflowSteps generatore di immagini: ListWorkflowExecutions generatore di immagini: ListWorkflowStepExecutions generatore di immagini: ListWorkflows generatore di immagini: PutComponentPolicy generatore di immagini: PutContainerRecipePolicy generatore di immagini: PutImagePolicy generatore di immagini: PutImageRecipePolicy generatore di immagini: RetryImage generatore di immagini: SendWorkflowStepAction generatore di immagini: StartImagePipelineExecution generatore di immagini: StartResourceStateUpdate generatore di immagini: UpdateDistributionConfiguration generatore di immagini: UpdateImagePipeline generatore di immagini: UpdateInfrastructureConfiguration  | 
| inspector |  ispettore: AddAttributesToFindings ispettore: CreateAssessmentTarget ispettore: CreateAssessmentTemplate ispettore: CreateExclusionsPreview ispettore: CreateResourceGroup ispettore: DeleteAssessmentRun ispettore: DeleteAssessmentTarget ispettore: DeleteAssessmentTemplate ispettore: DescribeAssessmentRuns ispettore: DescribeAssessmentTargets ispettore: DescribeAssessmentTemplates ispettore: DescribeCrossAccountAccessRole ispettore: DescribeExclusions ispettore: DescribeFindings ispettore: DescribeResourceGroups ispettore: DescribeRulesPackages ispettore: GetAssessmentReport ispettore: GetExclusionsPreview ispettore: GetTelemetryMetadata ispettore: ListAssessmentRunAgents ispettore: ListAssessmentRuns ispettore: ListAssessmentTargets ispettore: ListAssessmentTemplates ispettore: ListEventSubscriptions ispettore: ListExclusions ispettore: ListFindings ispettore: ListRulesPackages ispettore: PreviewAgents ispettore: RegisterCrossAccountAccessRole ispettore: RemoveAttributesFromFindings ispettore: StartAssessmentRun ispettore: StopAssessmentRun ispettore: SubscribeToEvent ispettore: UnsubscribeFromEvent ispettore: UpdateAssessmentTarget  | 
| inspector2 |  ispettore 2: AssociateMember ispettore 2: BatchGetAccountStatus ispettore 2: BatchGetCodeSnippet ispettore 2: BatchGetFindingDetails ispettore 2: BatchGetFreeTrialInfo ispettore 2:2 BatchGetMemberEc DeepInspectionStatus ispettore 2:2 BatchUpdateMemberEc DeepInspectionStatus ispettore 2: CancelFindingsReport ispettore 2: CancelSbomExport ispettore 2: CreateCisScanConfiguration ispettore 2: CreateCodeSecurityIntegration ispettore 2: CreateFilter ispettore 2: CreateFindingsReport ispettore 2: CreateSbomExport ispettore 2: DeleteCisScanConfiguration ispettore 2: DeleteCodeSecurityIntegration ispettore 2: DeleteFilter ispettore 2: DescribeOrganizationConfiguration inspector2:Disable ispettore 2: DisableDelegatedAdminAccount ispettore 2: DisassociateMember inspector2:Enable ispettore 2: EnableDelegatedAdminAccount ispettore 2: GetCisScanReport ispettore 2: GetCisScanResultDetails ispettore 2: GetClustersForImage ispettore 2: GetCodeSecurityIntegration ispettore 2: GetCodeSecurityScan ispettore 2: GetConfiguration ispettore 2: GetDelegatedAdminAccount ispettore 2:2 GetEc DeepInspectionConfiguration ispettore 2: GetEncryptionKey ispettore 2: GetFindingsReportStatus ispettore 2: GetMember ispettore 2: GetSbomExport ispettore 2: ListAccountPermissions ispettore 2: ListCisScanConfigurations ispettore 2: ListCisScanResultsAggregatedByChecks ispettore 2: ListCisScanResultsAggregatedByTargetResource ispettore 2: ListCisScans ispettore 2: ListCodeSecurityIntegrations ispettore 2: ListCodeSecurityScanConfigurations ispettore 2: ListCoverage ispettore 2: ListCoverageStatistics ispettore 2: ListDelegatedAdminAccounts ispettore 2: ListFilters ispettore 2: ListFindingAggregations ispettore 2: ListFindings ispettore 2: ListMembers ispettore 2: ListUsageTotals ispettore 2: ResetEncryptionKey ispettore 2: SearchVulnerabilities ispettore 2: SendCisSessionHealth ispettore 2: SendCisSessionTelemetry ispettore 2: StartCisSession ispettore 2: StartCodeSecurityScan ispettore 2: StopCisSession ispettore 2: UpdateCisScanConfiguration ispettore 2: UpdateCodeSecurityIntegration ispettore 2: UpdateConfiguration ispettore 2:2 UpdateEc DeepInspectionConfiguration ispettore 2: UpdateEncryptionKey ispettore 2: UpdateFilter ispettore 2:2 UpdateOrgEc DeepInspectionConfiguration ispettore 2: UpdateOrganizationConfiguration  | 
| iot |  IoT: AcceptCertificateTransfer IoT: AddThingToBillingGroup IoT: AddThingToThingGroup IoT: AssociateSbomWithPackageVersion IoT: AssociateTargetsWithJob IoT: AttachPolicy IoT: AttachPrincipalPolicy IoT: AttachSecurityProfile IoT: AttachThingPrincipal IoT: CancelAuditMitigationActionsTask IoT: CancelAuditTask IoT: CancelCertificateTransfer IoT: CancelDetectMitigationActionsTask IoT: CancelJob IoT: CancelJobExecution IoT: ClearDefaultAuthorizer IoT: ConfirmTopicRuleDestination IoT: CreateAuditSuppression IoT: CreateAuthorizer IoT: CreateBillingGroup IoT: CreateCertificateFromCsr IoT: CreateCertificateProvider IoT: CreateCommand IoT: CreateCustomMetric IoT: CreateDimension IoT: CreateDomainConfiguration IoT: CreateDynamicThingGroup IoT: CreateFleetMetric IoT: CreateJob IoT: CreateJobTemplate IoT: CreateKeysAndCertificate IoT: CreateMitigationAction IoT: crea OTAUpdate iot: CreatePackage IoT: CreatePackageVersion IoT: CreatePolicy IoT: CreatePolicyVersion IoT: CreateProvisioningClaim IoT: CreateProvisioningTemplate IoT: CreateProvisioningTemplateVersion IoT: CreateRoleAlias IoT: CreateScheduledAudit IoT: CreateSecurityProfile IoT: CreateStream IoT: CreateThing IoT: CreateThingGroup IoT: CreateThingType IoT: CreateTopicRule IoT: CreateTopicRuleDestination IoT: DeleteAccountAuditConfiguration IoT: DeleteAuditSuppression IoT: DeleteAuthorizer IoT: DeleteBillingGroup IoT: elimina CACertificate iot: DeleteCertificate IoT: DeleteCertificateProvider IoT: DeleteCommand IoT: DeleteCustomMetric IoT: DeleteDimension IoT: DeleteDomainConfiguration IoT: DeleteDynamicThingGroup IoT: DeleteFleetMetric IoT: DeleteJob IoT: DeleteJobExecution IoT: DeleteJobTemplate IoT: DeleteMitigationAction IoT: elimina OTAUpdate iot: DeletePackage IoT: DeletePackageVersion IoT: DeletePolicy IoT: DeletePolicyVersion IoT: DeleteProvisioningTemplate IoT: DeleteProvisioningTemplateVersion IoT: DeleteRegistrationCode IoT: DeleteRoleAlias IoT: DeleteScheduledAudit IoT: DeleteSecurityProfile IoT: DeleteStream IoT: DeleteThing IoT: DeleteThingGroup IoT: DeleteThingType IoT: DeleteTopicRule IoT: DeleteTopicRuleDestination IoT: elimina V2 LoggingLevel iot: DeprecateThingType IoT: DescribeAccountAuditConfiguration IoT: DescribeAuditFinding IoT: DescribeAuditMitigationActionsTask IoT: DescribeAuditSuppression IoT: DescribeAuditTask IoT: DescribeAuthorizer IoT: DescribeBillingGroup IoT: descrivi CACertificate iot: DescribeCertificate IoT: DescribeCertificateProvider IoT: DescribeCustomMetric IoT: DescribeDefaultAuthorizer IoT: DescribeDetectMitigationActionsTask IoT: DescribeDimension IoT: DescribeDomainConfiguration IoT: DescribeEncryptionConfiguration IoT: DescribeEndpoint IoT: DescribeEventConfigurations IoT: DescribeFleetMetric IoT: DescribeIndex IoT: DescribeJob IoT: DescribeJobExecution IoT: DescribeJobTemplate IoT: DescribeManagedJobTemplate IoT: DescribeMitigationAction IoT: DescribeProvisioningTemplate IoT: DescribeProvisioningTemplateVersion IoT: DescribeRoleAlias IoT: DescribeScheduledAudit IoT: DescribeSecurityProfile IoT: DescribeStream IoT: DescribeThing IoT: DescribeThingGroup IoT: DescribeThingRegistrationTask IoT: DescribeThingType IoT: DetachPolicy IoT: DetachPrincipalPolicy IoT: DetachSecurityProfile IoT: DetachThingPrincipal IoT: DisableTopicRule IoT: DisassociateSbomFromPackageVersion IoT: EnableTopicRule IoT: GetBehaviorModelTrainingSummaries IoT: GetBucketsAggregation IoT: GetCardinality IoT: GetCommand IoT: GetEffectivePolicies IoT: GetJobDocument IoT: GetLoggingOptions IoT: GET OTAUpdate iot: GetPackage IoT: GetPackageConfiguration IoT: GetPackageVersion IoT: GetPercentiles IoT: GetPolicy IoT: GetPolicyVersion IoT: GetRegistrationCode IoT: GetStatistics IoT: GetThingConnectivityData IoT: GetTopicRule IoT: GetTopicRuleDestination IoT: getV2 LoggingOptions iot: ListActiveViolations IoT: ListAttachedPolicies IoT: ListAuditFindings IoT: ListAuditMitigationActionsExecutions IoT: ListAuditMitigationActionsTasks IoT: ListAuditSuppressions IoT: ListAuditTasks IoT: ListAuthorizers IoT: ListBillingGroups IoT: elenco CACertificates iot: ListCertificateProviders IoT: ListCertificates iot: ListCertificatesBy CA IoT: ListCommands IoT: ListCustomMetrics IoT: ListDetectMitigationActionsExecutions IoT: ListDetectMitigationActionsTasks IoT: ListDimensions IoT: ListDomainConfigurations IoT: ListFleetMetrics IoT: ListIndices IoT: ListJobExecutionsForJob IoT: ListJobExecutionsForThing IoT: ListJobTemplates IoT: ListJobs IoT: ListManagedJobTemplates IoT: ListMetricValues IoT: ListMitigationActions IoT: elenco OTAUpdates iot: ListOutgoingCertificates IoT: ListPackageVersions IoT: ListPackages IoT: ListPolicies IoT: ListPolicyPrincipals IoT: ListPolicyVersions IoT: ListPrincipalPolicies IoT: ListPrincipalThings iot: ListPrincipalThings V2 IoT: ListProvisioningTemplateVersions IoT: ListProvisioningTemplates IoT: ListRelatedResourcesForAuditFinding IoT: ListRoleAliases IoT: ListSbomValidationResults IoT: ListScheduledAudits IoT: ListSecurityProfiles IoT: ListSecurityProfilesForTarget IoT: ListStreams IoT: ListTargetsForPolicy IoT: ListTargetsForSecurityProfile IoT: ListThingGroups IoT: ListThingGroupsForThing IoT: ListThingPrincipals iot: ListThingPrincipals V2 IoT: ListThingRegistrationTaskReports IoT: ListThingRegistrationTasks IoT: ListThingTypes IoT: ListThings IoT: ListThingsInBillingGroup IoT: ListThingsInThingGroup IoT: ListTopicRuleDestinations IoT: ListTopicRules IoT: listv2 LoggingLevels iot: ListViolationEvents IoT: PutVerificationStateOnViolation IoT: registrazione CACertificate iot: RegisterCertificate iot: RegisterCertificateWithout CA IoT: RegisterThing IoT: RejectCertificateTransfer IoT: RemoveThingFromBillingGroup IoT: RemoveThingFromThingGroup IoT: ReplaceTopicRule IoT: SearchIndex IoT: SetDefaultAuthorizer IoT: SetDefaultPolicyVersion IoT: SetLoggingOptions IoT: setV2 LoggingLevel IoT: setV2 LoggingOptions iot: StartAuditMitigationActionsTask IoT: StartDetectMitigationActionsTask IoT: StartOnDemandAuditTask IoT: StartThingRegistrationTask IoT: StopThingRegistrationTask IoT: TestAuthorization IoT: TestInvokeAuthorizer IoT: TransferCertificate IoT: UpdateAccountAuditConfiguration IoT: UpdateAuditSuppression IoT: UpdateAuthorizer IoT: UpdateBillingGroup IoT: aggiornamento CACertificate iot: UpdateCertificate IoT: UpdateCertificateProvider IoT: UpdateCommand IoT: UpdateCustomMetric IoT: UpdateDimension IoT: UpdateDomainConfiguration IoT: UpdateDynamicThingGroup IoT: UpdateEncryptionConfiguration IoT: UpdateEventConfigurations IoT: UpdateFleetMetric IoT: UpdateIndexingConfiguration IoT: UpdateJob IoT: UpdateMitigationAction IoT: UpdatePackage IoT: UpdatePackageConfiguration IoT: UpdatePackageVersion IoT: UpdateProvisioningTemplate IoT: UpdateRoleAlias IoT: UpdateScheduledAudit IoT: UpdateSecurityProfile IoT: UpdateStream IoT: UpdateThing IoT: UpdateThingGroup IoT: UpdateThingGroupsForThing IoT: UpdateThingType IoT: UpdateTopicRuleDestination IoT: ValidateSecurityProfileBehaviors  | 
| iotanalytics |  analisi IoT: CancelPipelineReprocessing analisi IoT: CreateChannel analisi IoT: CreateDataset analisi IoT: CreateDatasetContent analisi IoT: CreateDatastore analisi IoT: CreatePipeline analisi IoT: DeleteChannel analisi IoT: DeleteDataset analisi IoT: DeleteDatasetContent analisi IoT: DeleteDatastore analisi IoT: DeletePipeline analisi IoT: DescribeChannel analisi IoT: DescribeDataset analisi IoT: DescribeDatastore analisi IoT: DescribeLoggingOptions analisi IoT: DescribePipeline analisi IoT: GetDatasetContent analisi IoT: ListChannels analisi IoT: ListDatasetContents analisi IoT: ListDatasets analisi IoT: ListDatastores analisi IoT: ListPipelines analisi IoT: PutLoggingOptions analisi IoT: RunPipelineActivity analisi IoT: SampleChannelData analisi IoT: StartPipelineReprocessing analisi IoT: UpdateChannel analisi IoT: UpdateDataset analisi IoT: UpdateDatastore analisi IoT: UpdatePipeline  | 
| iotdeviceadvisor |  consulente per dispositivi IoT: CreateSuiteDefinition consulente per dispositivi iot: DeleteSuiteDefinition consulente per dispositivi iot: GetEndpoint consulente per dispositivi iot: GetSuiteDefinition consulente per dispositivi iot: GetSuiteRun consulente per dispositivi iot: GetSuiteRunReport consulente per dispositivi iot: ListSuiteDefinitions consulente per dispositivi iot: ListSuiteRuns consulente per dispositivi iot: StartSuiteRun consulente per dispositivi iot: StopSuiteRun consulente per dispositivi iot: UpdateSuiteDefinition  | 
| iotevents |  eventi IoT: BatchAcknowledgeAlarm eventi IoT: BatchDeleteDetector eventi IoT: BatchDisableAlarm eventi IoT: BatchEnableAlarm eventi IoT: BatchResetAlarm eventi IoT: BatchSnoozeAlarm eventi IoT: BatchUpdateDetector eventi IoT: CreateAlarmModel eventi IoT: CreateDetectorModel eventi IoT: CreateInput eventi IoT: DeleteAlarmModel eventi IoT: DeleteDetectorModel eventi IoT: DeleteInput eventi IoT: DescribeAlarm eventi IoT: DescribeAlarmModel eventi IoT: DescribeDetector eventi IoT: DescribeDetectorModel eventi IoT: DescribeDetectorModelAnalysis eventi IoT: DescribeInput eventi IoT: DescribeLoggingOptions eventi IoT: GetDetectorModelAnalysisResults eventi IoT: ListAlarmModelVersions eventi IoT: ListAlarmModels eventi IoT: ListAlarms eventi IoT: ListDetectorModelVersions eventi IoT: ListDetectorModels eventi IoT: ListDetectors eventi IoT: ListInputRoutings eventi IoT: ListInputs eventi IoT: PutLoggingOptions eventi IoT: StartDetectorModelAnalysis eventi IoT: UpdateAlarmModel eventi IoT: UpdateDetectorModel eventi IoT: UpdateInput  | 
| iotfleethub |  hub iotfleet: CreateApplication hub iotfleet: DeleteApplication hub iotfleet: DescribeApplication hub iotfleet: ListApplications hub iotfleet: UpdateApplication  | 
| iotsitewise |  per quanto riguarda il sito IoT: AssociateAssets per quanto riguarda il sito IoT: AssociateTimeSeriesToAssetProperty per quanto riguarda il sito IoT: BatchAssociateProjectAssets per quanto riguarda il sito IoT: BatchDisassociateProjectAssets per quanto riguarda il sito IoT: CreateAccessPolicy per quanto riguarda il sito IoT: CreateAsset per quanto riguarda il sito IoT: CreateAssetModel per quanto riguarda il sito IoT: CreateAssetModelCompositeModel per quanto riguarda il sito IoT: CreateBulkImportJob per quanto riguarda il sito IoT: CreateComputationModel per quanto riguarda il sito IoT: CreateDashboard per quanto riguarda il sito IoT: CreateDataset per quanto riguarda il sito IoT: CreateGateway per quanto riguarda il sito IoT: CreatePortal per quanto riguarda il sito IoT: CreateProject per quanto riguarda il sito IoT: DeleteAccessPolicy per quanto riguarda il sito IoT: DeleteAsset per quanto riguarda il sito IoT: DeleteAssetModel per quanto riguarda il sito IoT: DeleteAssetModelCompositeModel per quanto riguarda il sito IoT: DeleteComputationModel per quanto riguarda il sito IoT: DeleteDashboard per quanto riguarda il sito IoT: DeleteDataset per quanto riguarda il sito IoT: DeleteGateway per quanto riguarda il sito IoT: DeletePortal per quanto riguarda il sito IoT: DeleteProject per quanto riguarda il sito IoT: DeleteTimeSeries per quanto riguarda il sito IoT: DescribeAccessPolicy per quanto riguarda il sito IoT: DescribeAsset per quanto riguarda il sito IoT: DescribeAssetCompositeModel a livello di sito IoT: DescribeAssetModel a livello di sito IoT: DescribeAssetModelCompositeModel a livello di sito IoT: DescribeAssetModelInterfaceRelationship a livello di sito IoT: DescribeAssetProperty a livello di sito IoT: DescribeBulkImportJob a livello di sito IoT: DescribeComputationModel a livello di sito IoT: DescribeComputationModelExecutionSummary a livello di sito IoT: DescribeDashboard a livello di sito IoT: DescribeDataset a livello di sito IoT: DescribeDefaultEncryptionConfiguration a livello di sito IoT: DescribeExecution a livello di sito IoT: DescribeGateway a livello di sito IoT: DescribeGatewayCapabilityConfiguration a livello di sito IoT: DescribeLoggingOptions a livello di sito IoT: DescribePortal a livello di sito IoT: DescribeProject a livello di sito IoT: DescribeStorageConfiguration a livello di sito IoT: DescribeTimeSeries a livello di sito IoT: DisassociateAssets a livello di sito IoT: DisassociateTimeSeriesFromAssetProperty a livello di sito IoT: ExecuteAction a livello di sito IoT: ExecuteQuery a livello di sito IoT: ListAccessPolicies a livello di sito IoT: ListActions a livello di sito IoT: ListAssetModelCompositeModels a livello di sito IoT: ListAssetModelProperties a livello di sito IoT: ListAssetModels a livello di sito IoT: ListAssetProperties a livello di sito IoT: ListAssetRelationships a livello di sito IoT: ListAssets a livello di sito IoT: ListAssociatedAssets a livello di sito IoT: ListBulkImportJobs a livello di sito IoT: ListCompositionRelationships a livello di sito IoT: ListComputationModelDataBindingUsages a livello di sito IoT: ListComputationModelResolveToResources a livello di sito IoT: ListComputationModels a livello di sito IoT: ListDashboards a livello di sito IoT: ListDatasets a livello di sito IoT: ListExecutions a livello di sito IoT: ListGateways a livello di sito IoT: ListInterfaceRelationships a livello di sito IoT: ListPortals a livello di sito IoT: ListProjectAssets a livello di sito IoT: ListProjects a livello di sito IoT: ListTimeSeries a livello di sito IoT: PutDefaultEncryptionConfiguration a livello di sito IoT: PutLoggingOptions a livello di sito IoT: PutStorageConfiguration a livello di sito IoT: UpdateAccessPolicy a livello di sito IoT: UpdateAsset a livello di sito IoT: UpdateAssetModel a livello di sito IoT: UpdateAssetModelCompositeModel a livello di sito IoT: UpdateAssetProperty a livello di sito IoT: UpdateComputationModel a livello di sito IoT: UpdateDashboard a livello di sito IoT: UpdateDataset a livello di sito IoT: UpdateGateway a livello di sito IoT: UpdateGatewayCapabilityConfiguration a livello di sito IoT: UpdatePortal a livello di sito IoT: UpdateProject  | 
| iottwinmaker |  iottwinmaker: CancelMetadataTransferJob iottwinmaker: CreateComponentType iottwinmaker: CreateEntity iottwinmaker: CreateMetadataTransferJob iottwinmaker: CreateScene iottwinmaker: CreateSyncJob iottwinmaker: CreateWorkspace iottwinmaker: DeleteComponentType iottwinmaker: DeleteEntity iottwinmaker: DeleteScene iottwinmaker: DeleteSyncJob iottwinmaker: DeleteWorkspace iottwinmaker: ExecuteQuery iottwinmaker: GetMetadataTransferJob iottwinmaker: GetPricingPlan iottwinmaker: GetScene iottwinmaker: GetSyncJob iottwinmaker: ListComponentTypes iottwinmaker: ListComponents iottwinmaker: ListEntities iottwinmaker: ListMetadataTransferJobs iottwinmaker: ListProperties iottwinmaker: ListScenes iottwinmaker: ListSyncJobs iottwinmaker: ListSyncResources iottwinmaker: ListWorkspaces iottwinmaker: UpdateComponentType iottwinmaker: UpdateEntity iottwinmaker: UpdatePricingPlan iottwinmaker: UpdateScene iottwinmaker: UpdateWorkspace  | 
| iotwireless |  IoT senza fili: AssociateAwsAccountWithPartnerAccount IoT wireless: AssociateMulticastGroupWithFuotaTask IoT wireless: AssociateWirelessDeviceWithFuotaTask IoT wireless: AssociateWirelessDeviceWithMulticastGroup IoT wireless: AssociateWirelessDeviceWithThing IoT senza fili: AssociateWirelessGatewayWithCertificate IoT senza fili: AssociateWirelessGatewayWithThing IoT senza fili: CancelMulticastGroupSession IoT senza fili: CreateDestination IoT senza fili: CreateDeviceProfile IoT senza fili: CreateFuotaTask IoT senza fili: CreateMulticastGroup IoT senza fili: CreateNetworkAnalyzerConfiguration IoT senza fili: CreateServiceProfile IoT senza fili: CreateWirelessDevice IoT senza fili: CreateWirelessGateway IoT senza fili: CreateWirelessGatewayTask IoT senza fili: CreateWirelessGatewayTaskDefinition IoT senza fili: DeleteDestination IoT senza fili: DeleteDeviceProfile IoT senza fili: DeleteFuotaTask IoT senza fili: DeleteMulticastGroup IoT senza fili: DeleteNetworkAnalyzerConfiguration IoT senza fili: DeleteQueuedMessages IoT senza fili: DeleteServiceProfile IoT senza fili: DeleteWirelessDevice IoT senza fili: DeleteWirelessDeviceImportTask IoT senza fili: DeleteWirelessGateway IoT senza fili: DeleteWirelessGatewayTask IoT senza fili: DeleteWirelessGatewayTaskDefinition IoT senza fili: DeregisterWirelessDevice IoT senza fili: DisassociateAwsAccountFromPartnerAccount IoT senza fili: DisassociateMulticastGroupFromFuotaTask IoT senza fili: DisassociateWirelessDeviceFromFuotaTask IoT senza fili: DisassociateWirelessDeviceFromMulticastGroup IoT senza fili: DisassociateWirelessDeviceFromThing IoT senza fili: DisassociateWirelessGatewayFromCertificate IoT senza fili: DisassociateWirelessGatewayFromThing IoT senza fili: GetDestination IoT senza fili: GetDeviceProfile IoT senza fili: GetEventConfigurationByResourceTypes IoT senza fili: GetFuotaTask IoT senza fili: GetLogLevelsByResourceTypes IoT senza fili: GetMetricConfiguration IoT senza fili: GetMetrics IoT senza fili: GetMulticastGroup IoT senza fili: GetMulticastGroupSession IoT senza fili: GetNetworkAnalyzerConfiguration IoT senza fili: GetPartnerAccount IoT senza fili: GetPosition IoT senza fili: GetPositionConfiguration IoT senza fili: GetPositionEstimate IoT senza fili: GetResourceEventConfiguration IoT senza fili: GetResourceLogLevel IoT senza fili: GetResourcePosition IoT senza fili: GetServiceEndpoint IoT senza fili: GetServiceProfile IoT senza fili: GetWirelessDevice IoT senza fili: GetWirelessDeviceImportTask IoT senza fili: GetWirelessDeviceStatistics IoT senza fili: GetWirelessGateway IoT senza fili: GetWirelessGatewayCertificate IoT senza fili: GetWirelessGatewayFirmwareInformation IoT senza fili: GetWirelessGatewayStatistics IoT senza fili: GetWirelessGatewayTask IoT senza fili: GetWirelessGatewayTaskDefinition IoT senza fili: ListDestinations IoT senza fili: ListDeviceProfiles IoT senza fili: ListDevicesForWirelessDeviceImportTask IoT wireless: ListEventConfigurations IoT wireless: ListFuotaTasks IoT wireless: ListMulticastGroups IoT wireless: ListMulticastGroupsByFuotaTask IoT wireless: ListNetworkAnalyzerConfigurations IoT wireless: ListPartnerAccounts IoT wireless: ListPositionConfigurations IoT wireless: ListQueuedMessages IoT wireless: ListServiceProfiles IoT wireless: ListWirelessDeviceImportTasks IoT wireless: ListWirelessDevices IoT wireless: ListWirelessGatewayTaskDefinitions IoT wireless: ListWirelessGateways IoT wireless: PutPositionConfiguration IoT wireless: PutResourceLogLevel IoT wireless: ResetAllResourceLogLevels IoT wireless: ResetResourceLogLevel IoT wireless: SendDataToMulticastGroup IoT wireless: SendDataToWirelessDevice IoT wireless: StartBulkAssociateWirelessDeviceWithMulticastGroup IoT wireless: StartBulkDisassociateWirelessDeviceFromMulticastGroup IoT wireless: StartFuotaTask IoT wireless: StartMulticastGroupSession IoT wireless: StartNetworkAnalyzerStream IoT wireless: StartSingleWirelessDeviceImportTask IoT wireless: StartWirelessDeviceImportTask IoT wireless: TestWirelessDevice IoT wireless: UpdateDestination IoT wireless: UpdateEventConfigurationByResourceTypes IoT wireless: UpdateFuotaTask IoT wireless: UpdateLogLevelsByResourceTypes IoT wireless: UpdateMetricConfiguration IoT wireless: UpdateMulticastGroup IoT wireless: UpdateNetworkAnalyzerConfiguration IoT wireless: UpdatePartnerAccount IoT wireless: UpdatePosition IoT wireless: UpdateResourceEventConfiguration IoT wireless: UpdateResourcePosition IoT wireless: UpdateWirelessDevice IoT wireless: UpdateWirelessDeviceImportTask IoT wireless: UpdateWirelessGateway  | 
| ivs |  è: BatchGetChannel è: BatchGetStreamKey è: BatchStartViewerSessionRevocation è: CreateChannel è: CreateEncoderConfiguration è: CreateIngestConfiguration è: CreateParticipantToken è: CreatePlaybackRestrictionPolicy è: CreateRecordingConfiguration è: CreateStorageConfiguration è: CreateStreamKey è: DeleteChannel è: DeleteEncoderConfiguration è: DeleteIngestConfiguration è: DeletePlaybackKeyPair è: DeletePlaybackRestrictionPolicy è: DeletePublicKey è: DeleteRecordingConfiguration è: DeleteStorageConfiguration è: DeleteStreamKey è: DisconnectParticipant è: GetChannel è: GetComposition è: GetEncoderConfiguration è: GetIngestConfiguration è: GetParticipant è: GetPlaybackKeyPair è: GetPlaybackRestrictionPolicy è: GetPublicKey è: GetRecordingConfiguration è: GetStorageConfiguration è: GetStream è: GetStreamKey è: GetStreamSession è: ImportPlaybackKeyPair è: ImportPublicKey è: ListChannels è: ListCompositions è: ListEncoderConfigurations è: ListIngestConfigurations è: ListParticipantEvents è: ListParticipantReplicas è: ListParticipants è: ListPlaybackKeyPairs è: ListPlaybackRestrictionPolicies è: ListPublicKeys è: ListRecordingConfigurations è: ListStorageConfigurations è: ListStreamKeys è: ListStreamSessions è: ListStreams è: PutMetadata è: StartComposition è: StartViewerSessionRevocation è: StopComposition è: StopStream è: UpdateChannel è: UpdateIngestConfiguration è: UpdatePlaybackRestrictionPolicy  | 
| ivschat |  visto: CreateChatToken vista chat: CreateLoggingConfiguration vista chat: CreateRoom vista chat: DeleteLoggingConfiguration vista chat: DeleteMessage vista chat: DeleteRoom vista chat: DisconnectUser vista chat: GetLoggingConfiguration vista chat: GetRoom vista chat: ListLoggingConfigurations vista chat: ListRooms vista chat: SendEvent vista chat: UpdateLoggingConfiguration vista chat: UpdateRoom  | 
| kafka |  kafka: BatchAssociateScramSecret caffè: BatchDisassociateScramSecret caffè: CreateCluster kafka: V2 CreateCluster kafka: CreateConfiguration caffè: CreateReplicator caffè: CreateVpcConnection caffè: DeleteCluster caffè: DeleteClusterPolicy caffè: DeleteConfiguration caffè: DeleteReplicator caffè: DeleteVpcConnection caffè: DescribeCluster caffè: DescribeClusterOperation kafka: V2 DescribeClusterOperation kafka: V2 DescribeCluster kafka: DescribeConfiguration caffè: DescribeConfigurationRevision caffè: DescribeVpcConnection caffè: GetBootstrapBrokers caffè: GetClusterPolicy caffè: GetCompatibleKafkaVersions caffè: ListClientVpcConnections caffè: ListClusterOperations kafka: V2 ListClusterOperations kafka: ListClusters kafka: V2 ListClusters kafka: ListConfigurationRevisions caffè: ListConfigurations caffè: ListKafkaVersions caffè: ListNodes caffè: ListReplicators caffè: ListScramSecrets caffè: ListVpcConnections caffè: PutClusterPolicy caffè: RebootBroker caffè: RejectClientVpcConnection caffè: UpdateBrokerCount caffè: UpdateBrokerStorage caffè: UpdateBrokerType caffè: UpdateClusterConfiguration caffè: UpdateClusterKafkaVersion caffè: UpdateConfiguration caffè: UpdateConnectivity caffè: UpdateMonitoring caffè: UpdateRebalancing caffè: UpdateReplicationInfo caffè: UpdateSecurity caffè: UpdateStorage  | 
| kafkaconnect |  connessione kafka: CreateConnector connessione kafka: CreateCustomPlugin connessione kafka: CreateWorkerConfiguration connessione kafka: DeleteConnector connessione kafka: DeleteCustomPlugin connessione kafka: DeleteWorkerConfiguration connessione kafka: DescribeConnector connessione kafka: DescribeCustomPlugin connessione kafka: DescribeWorkerConfiguration connessione kafka: ListConnectorOperations connessione kafka: ListConnectors connessione kafka: ListCustomPlugins connessione kafka: ListWorkerConfigurations connessione kafka: UpdateConnector  | 
| kendra |  kendra: AssociateEntitiesToExperience kendra: AssociatePersonasToEntities kendra: BatchDeleteDocument kendra: BatchDeleteFeaturedResultsSet kendra: BatchGetDocumentStatus kendra: BatchPutDocument kendra: ClearQuerySuggestions kendra: CreateAccessControlConfiguration kendra: CreateDataSource kendra: CreateExperience kendra: CreateFaq kendra: CreateFeaturedResultsSet kendra: CreateIndex kendra: CreateQuerySuggestionsBlockList kendra: CreateThesaurus kendra: DeleteDataSource kendra: DeleteExperience kendra: DeleteFaq kendra: DeleteIndex kendra: DeletePrincipalMapping kendra: DeleteQuerySuggestionsBlockList kendra: DeleteThesaurus kendra: DescribeAccessControlConfiguration kendra: DescribeDataSource kendra: DescribeExperience kendra: DescribeFaq kendra: DescribeFeaturedResultsSet kendra: DescribeIndex kendra: DescribePrincipalMapping kendra: DescribeQuerySuggestionsBlockList kendra: DescribeQuerySuggestionsConfig kendra: DescribeThesaurus kendra: DisassociateEntitiesFromExperience kendra: DisassociatePersonasFromEntities kendra: GetQuerySuggestions kendra: GetSnapshots kendra: ListAccessControlConfigurations kendra: ListDataSourceSyncJobs kendra: ListDataSources kendra: ListEntityPersonas kendra: ListExperienceEntities kendra: ListExperiences kendra: ListFaqs kendra: ListFeaturedResultsSets kendra: ListGroupsOlderThanOrderingId kendra: ListIndices kendra: ListQuerySuggestionsBlockLists kendra: ListThesauri kendra: PutPrincipalMapping kendra:Query kendra:Retrieve kendra: StartDataSourceSyncJob kendra: StopDataSourceSyncJob kendra: SubmitFeedback kendra: UpdateDataSource kendra: UpdateExperience kendra: UpdateFeaturedResultsSet kendra: UpdateIndex kendra: UpdateQuerySuggestionsBlockList kendra: UpdateQuerySuggestionsConfig kendra: UpdateThesaurus  | 
| kinesis |  cinesi: CreateStream cinesi: DecreaseStreamRetentionPeriod cinesi: DeleteStream cinesi: DeregisterStreamConsumer cinesi: DescribeAccountSettings cinesi: DescribeLimits cinesi: DescribeStream cinesi: DescribeStreamConsumer cinesi: DescribeStreamSummary cinesi: DisableEnhancedMonitoring cinesi: EnableEnhancedMonitoring cinesi: IncreaseStreamRetentionPeriod cinesi: ListShards cinesi: ListStreamConsumers cinesi: ListStreams cinesi: MergeShards cinesi: RegisterStreamConsumer cinesi: SplitShard cinesi: StartStreamEncryption cinesi: StopStreamEncryption cinesi: UpdateAccountSettings cinesi: UpdateShardCount cinesi: UpdateStreamMode  | 
| kinesisanalytics |  analisi della cinesi: AddApplicationCloudWatchLoggingOption kinesisanalytics: AddApplicationInput kinesisanalytics: AddApplicationInputProcessingConfiguration kinesisanalytics: AddApplicationOutput kinesisanalytics: AddApplicationReferenceDataSource kinesisanalytics: AddApplicationVpcConfiguration kinesisanalytics: CreateApplication kinesisanalytics: CreateApplicationPresignedUrl kinesisanalytics: CreateApplicationSnapshot kinesisanalytics: DeleteApplication kinesisanalytics: DeleteApplicationCloudWatchLoggingOption kinesisanalytics: DeleteApplicationInputProcessingConfiguration kinesisanalytics: DeleteApplicationOutput kinesisanalytics: DeleteApplicationReferenceDataSource kinesisanalytics: DeleteApplicationSnapshot kinesisanalytics: DeleteApplicationVpcConfiguration kinesisanalytics: DescribeApplication kinesisanalytics: DescribeApplicationOperation kinesisanalytics: DescribeApplicationSnapshot kinesisanalytics: DescribeApplicationVersion kinesisanalytics: DiscoverInputSchema kinesisanalytics: ListApplicationOperations kinesisanalytics: ListApplicationSnapshots kinesisanalytics: ListApplicationVersions kinesisanalytics: ListApplications kinesisanalytics: RollbackApplication kinesisanalytics: StartApplication kinesisanalytics: StopApplication kinesisanalytics: UpdateApplication kinesisanalytics: UpdateApplicationMaintenanceConfiguration  | 
| kms |  kms:CancelKeyDeletion kms:ConnectCustomKeyStore kms:CreateAlias kms:CreateCustomKeyStore kms:CreateGrant kms:CreateKey kms:Decrypt kms:DeleteAlias kms:DeleteCustomKeyStore kms:DeleteImportedKeyMaterial kms:DeriveSharedSecret kms:DescribeCustomKeyStores kms:DescribeKey kms:DisableKey kms:DisableKeyRotation kms:DisconnectCustomKeyStore kms:EnableKey kms:EnableKeyRotation kms:Encrypt kms:GenerateDataKey kms:GenerateDataKeyPair kms:GenerateDataKeyPairWithoutPlaintext kms:GenerateDataKeyWithoutPlaintext kms:GenerateMac kms:GenerateRandom kms:GetKeyPolicy kms:GetKeyRotationStatus kms:GetParametersForImport kms:GetPublicKey kms:ImportKeyMaterial kms:ListAliases kms:ListGrants kms:ListKeyPolicies kms:ListKeyRotations kms:ListKeys kms:ListRetirableGrants kms:ReplicateKey kms:RetireGrant kms:RevokeGrant kms:RotateKeyOnDemand kms:ScheduleKeyDeletion kms:Sign kms:UpdateAlias kms:UpdateCustomKeyStore kms:UpdateKeyDescription kms:UpdatePrimaryRegion kms:Verify kms:VerifyMac  | 
| lambda |  lambda: AddLayerVersionPermission lambda: AddPermission lambda: CreateAlias lambda: CreateCodeSigningConfig lambda: CreateEventSourceMapping lambda: CreateFunction lambda: CreateFunctionUrlConfig lambda: DeleteAlias lambda: DeleteCapacityProvider lambda: DeleteCodeSigningConfig lambda: DeleteEventSourceMapping lambda: DeleteFunction lambda: DeleteFunctionCodeSigningConfig lambda: DeleteFunctionConcurrency lambda: DeleteFunctionEventInvokeConfig lambda: DeleteFunctionUrlConfig lambda: DeleteLayerVersion lambda: DeleteProvisionedConcurrencyConfig lambda: GetAccountSettings lambda: GetAlias lambda: GetCapacityProvider lambda: GetCodeSigningConfig lambda: GetEventSourceMapping lambda: GetFunction lambda: GetFunctionCodeSigningConfig lambda: GetFunctionConcurrency lambda: GetFunctionConfiguration lambda: GetFunctionEventInvokeConfig lambda: GetFunctionRecursionConfig lambda: GetFunctionScalingConfig lambda: GetFunctionUrlConfig lambda: GetLayerVersion lambda: GetLayerVersionPolicy lambda: GetPolicy lambda: GetProvisionedConcurrencyConfig lambda: GetRuntimeManagementConfig lambda: ListAliases lambda: ListCapacityProviders lambda: ListCodeSigningConfigs lambda: ListDurableExecutionsByFunction lambda: ListEventSourceMappings lambda: ListFunctionEventInvokeConfigs lambda: ListFunctionUrlConfigs lambda: ListFunctions lambda: ListFunctionsByCodeSigningConfig lambda: ListLayerVersions lambda: ListLayers lambda: ListProvisionedConcurrencyConfigs lambda: ListVersionsByFunction lambda: PublishLayerVersion lambda: PublishVersion lambda: PutFunctionCodeSigningConfig lambda: PutFunctionConcurrency lambda: PutFunctionEventInvokeConfig lambda: PutFunctionRecursionConfig lambda: PutFunctionScalingConfig lambda: PutProvisionedConcurrencyConfig lambda: PutRuntimeManagementConfig lambda: RemoveLayerVersionPermission lambda: RemovePermission lambda: UpdateAlias lambda: UpdateCapacityProvider lambda: UpdateCodeSigningConfig lambda: UpdateEventSourceMapping lambda: UpdateFunctionCode lambda: UpdateFunctionConfiguration lambda: UpdateFunctionEventInvokeConfig lambda: UpdateFunctionUrlConfig  | 
| lex |  lex: BatchCreateCustomVocabularyItem lex: BatchDeleteCustomVocabularyItem lex: BatchUpdateCustomVocabularyItem lex: BuildBotLocale lex: CreateBotAlias lex: CreateBotReplica lex: CreateBotVersion lex: CreateExport lex: CreateIntentVersion lex: CreateResourcePolicy lex: CreateSlotTypeVersion lex: CreateTestSetDiscrepancyReport lex: CreateUploadUrl lex: DeleteBot lex: DeleteBotChannelAssociation lex: DeleteBotReplica lex: DeleteExport lex: DeleteImport lex: DeleteIntentVersion lex: DeleteResourcePolicy lex: DeleteSlotTypeVersion lex: DeleteTestSet lex: DeleteUtterances lex: DescribeBotAlias lex: DescribeBotRecommendation lex: DescribeBotReplica lex: DescribeBotResourceGeneration lex: DescribeBotVersion lex: DescribeCustomVocabularyMetadata lex: DescribeExport lex: DescribeImport lex: DescribeResourcePolicy lex: DescribeTestExecution lex: DescribeTestSet lex: DescribeTestSetDiscrepancyReport lex: DescribeTestSetGeneration lex: GenerateBotElement lex: GetBot lex: GetBotAlias lex: GetBotAliases lex: GetBotChannelAssociation lex: GetBotChannelAssociations lex: GetBotVersions lex: GetBots lex: GetBuiltinIntent lex: GetBuiltinIntents lex: GetBuiltinSlotTypes lex: GetExport lex: GetImport lex: GetIntent lex: GetIntentVersions lex: GetIntents lex: GetMigration lex: GetMigrations lex: GetSlotType lex: GetSlotTypeVersions lex: GetSlotTypes lex: GetTestExecutionArtifactsUrl lex: GetUtterancesView lex: ListBotAliasReplicas lex: ListBotAliases lex: ListBotRecommendations lex: ListBotReplicas lex: ListBotResourceGenerations lex: ListBotVersionReplicas lex: ListBotVersions lex: ListBots lex: ListBuiltInIntents lex: ListBuiltInSlotTypes lex: ListCustomVocabularyItems lex: ListExports lex: ListImports lex: ListIntentMetrics lex: ListIntentPaths lex: ListRecommendedIntents lex: ListSessionAnalyticsData lex: ListSessionMetrics lex: ListTestExecutionResultItems lex: ListTestExecutions lex: ListTestSets lex: PutBot lex: PutBotAlias lex: PutIntent lex: PutSlotType lex: SearchAssociatedTranscripts lex: StartBotRecommendation lex: StartImport lex: StartMigration lex: StartTestExecution lex: StartTestSetGeneration lex: StopBotRecommendation lex: UpdateBotAlias lex: UpdateBotRecommendation lex: UpdateExport lex: UpdateResourcePolicy  | 
| license-manager-linux-subscriptions |  license-manager-linux-subscriptions:DeregisterSubscriptionProvider license-manager-linux-subscriptions:GetRegisteredSubscriptionProvider license-manager-linux-subscriptions:GetServiceSettings license-manager-linux-subscriptions:ListLinuxSubscriptionInstances license-manager-linux-subscriptions:ListLinuxSubscriptions license-manager-linux-subscriptions:ListRegisteredSubscriptionProviders license-manager-linux-subscriptions:RegisterSubscriptionProvider license-manager-linux-subscriptions:UpdateServiceSettings  | 
| lightsail |  vela leggera: AllocateStaticIp vela leggera: AttachCertificateToDistribution vela leggera: AttachDisk vela leggera: AttachInstancesToLoadBalancer vela leggera: AttachLoadBalancerTlsCertificate vela leggera: AttachStaticIp vela leggera: CloseInstancePublicPorts vela leggera: CopySnapshot vela leggera: CreateBucket vela leggera: CreateBucketAccessKey vela leggera: CreateCertificate vela leggera: CreateCloudFormationStack vela leggera: CreateContactMethod vela leggera: CreateContainerService vela leggera: CreateContainerServiceDeployment vela leggera: CreateContainerServiceRegistryLogin vela leggera: CreateDisk vela leggera: CreateDiskFromSnapshot vela leggera: CreateDiskSnapshot vela leggera: CreateDistribution vela leggera: CreateDomain lightSail: crea GUISession AccessDetails vela leggera: CreateInstanceSnapshot vela leggera: CreateInstances vela leggera: CreateInstancesFromSnapshot vela leggera: CreateKeyPair vela leggera: CreateLoadBalancer vela leggera: CreateLoadBalancerTlsCertificate vela leggera: CreateRelationalDatabase vela leggera: CreateRelationalDatabaseFromSnapshot vela leggera: CreateRelationalDatabaseSnapshot vela leggera: DeleteAlarm vela leggera: DeleteAutoSnapshot vela leggera: DeleteBucket vela leggera: DeleteBucketAccessKey vela leggera: DeleteCertificate vela leggera: DeleteContactMethod vela leggera: DeleteContainerImage vela leggera: DeleteContainerService vela leggera: DeleteDisk vela leggera: DeleteDiskSnapshot vela leggera: DeleteDistribution vela leggera: DeleteDomain vela leggera: DeleteDomainEntry vela leggera: DeleteInstance vela leggera: DeleteInstanceSnapshot vela leggera: DeleteKeyPair vela leggera: DeleteKnownHostKeys vela leggera: DeleteLoadBalancer vela leggera: DeleteLoadBalancerTlsCertificate vela leggera: DeleteRelationalDatabase vela leggera: DeleteRelationalDatabaseSnapshot vela leggera: DetachCertificateFromDistribution vela leggera: DetachDisk vela leggera: DetachInstancesFromLoadBalancer vela leggera: DetachStaticIp vela leggera: DisableAddOn vela leggera: DownloadDefaultKeyPair vela leggera: EnableAddOn vela leggera: ExportSnapshot vela leggera: GetActiveNames vela leggera: GetAlarms vela leggera: GetAutoSnapshots vela leggera: GetBlueprints vela leggera: GetBucketAccessKeys vela leggera: GetBucketBundles vela leggera: GetBucketMetricData vela leggera: GetBuckets vela leggera: GetBundles vela leggera: GetCertificates vela leggera: GetCloudFormationStackRecords vela leggera: GetContactMethods vela leggera: GetContainer APIMetadata vela leggera: GetContainerImages vela leggera: GetContainerLog vela leggera: GetContainerServiceDeployments vela leggera: GetContainerServiceMetricData vela leggera: GetContainerServicePowers vela leggera: GetContainerServices vela leggera: GetCostEstimate vela leggera: GetDisk vela leggera: GetDiskSnapshot vela leggera: GetDiskSnapshots vela leggera: GetDisks vela leggera: GetDistributionBundles vela leggera: GetDistributionLatestCacheReset vela leggera: GetDistributionMetricData vela leggera: GetDistributions vela leggera: GetDomain vela leggera: GetExportSnapshotRecords vela leggera: GetInstance vela leggera: GetInstanceMetricData vela leggera: GetInstancePortStates vela leggera: GetInstanceSnapshot vela leggera: GetInstanceSnapshots vela leggera: GetInstanceState vela leggera: GetInstances vela leggera: GetKeyPair vela leggera: GetKeyPairs vela leggera: GetLoadBalancer vela leggera: GetLoadBalancerMetricData vela leggera: GetLoadBalancerTlsCertificates vela leggera: GetLoadBalancerTlsPolicies vela leggera: GetLoadBalancers vela leggera: GetOperation vela leggera: GetOperations vela leggera: GetOperationsForResource vela leggera: GetRegions vela leggera: GetRelationalDatabase vela leggera: GetRelationalDatabaseBlueprints vela leggera: GetRelationalDatabaseBundles vela leggera: GetRelationalDatabaseEvents vela leggera: GetRelationalDatabaseLogEvents vela leggera: GetRelationalDatabaseLogStreams vela leggera: GetRelationalDatabaseMasterUserPassword vela leggera: GetRelationalDatabaseMetricData vela leggera: GetRelationalDatabaseParameters vela leggera: GetRelationalDatabaseSnapshot vela leggera: GetRelationalDatabaseSnapshots vela leggera: GetRelationalDatabases vela leggera: GetSetupHistory vela leggera: GetStaticIp vela leggera: GetStaticIps vela leggera: ImportKeyPair vela leggera: IsVpcPeered vela leggera: OpenInstancePublicPorts vela leggera: PeerVpc vela leggera: PutAlarm vela leggera: PutInstancePublicPorts vela leggera: RebootInstance vela leggera: RebootRelationalDatabase vela leggera: RegisterContainerImage vela leggera: ReleaseStaticIp vela leggera: ResetDistributionCache vela leggera: SendContactMethodVerification vela leggera: SetIpAddressType vela leggera: SetResourceAccessForBucket vela leggera: SetupInstanceHttps LightSail: inizia GUISession vela leggera: StartInstance vela leggera: StartRelationalDatabase LightSail: stop GUISession vela leggera: StopInstance vela leggera: StopRelationalDatabase vela leggera: TestAlarm vela leggera: UnpeerVpc vela leggera: UpdateBucket vela leggera: UpdateBucketBundle vela leggera: UpdateContainerService vela leggera: UpdateDistribution vela leggera: UpdateDistributionBundle vela leggera: UpdateDomainEntry vela leggera: UpdateInstanceMetadataOptions vela leggera: UpdateLoadBalancerAttribute vela leggera: UpdateRelationalDatabase vela leggera: UpdateRelationalDatabaseParameters  | 
| log |  registri: AssociateKmsKey registri: S3 AssociateSourceTo TableIntegration registri: CancelExportTask registri: CancelImportTask registri: CreateDelivery registri: CreateExportTask registri: CreateLogAnomalyDetector registri: CreateLogGroup registri: CreateLogStream registri: DeleteDataProtectionPolicy registri: DeleteDelivery registri: DeleteDeliveryDestination registri: DeleteDeliveryDestinationPolicy registri: DeleteDeliverySource registri: DeleteDestination registri: DeleteIndexPolicy registri: DeleteIntegration registri: DeleteLogAnomalyDetector registri: DeleteLogGroup registri: DeleteLogStream registri: DeleteMetricFilter registri: DeleteQueryDefinition registri: DeleteResourcePolicy registri: DeleteRetentionPolicy registri: DeleteScheduledQuery registri: DeleteSubscriptionFilter registri: DeleteTransformer registri: DescribeAccountPolicies registri: DescribeConfigurationTemplates registri: DescribeDeliveries registri: DescribeDeliveryDestinations registri: DescribeDeliverySources registri: DescribeDestinations registri: DescribeExportTasks registri: DescribeFieldIndexes registri: DescribeImportTaskBatches registri: DescribeImportTasks registri: DescribeIndexPolicies registri: DescribeLogGroups registri: DescribeLogStreams registri: DescribeMetricFilters registri: DescribeQueries registri: DescribeQueryDefinitions registri: DescribeResourcePolicies registri: DescribeSubscriptionFilters registri: DisassociateKmsKey registri: S3 DisassociateSourceFrom TableIntegration registri: GetDataProtectionPolicy registri: GetDelivery registri: GetDeliveryDestination registri: GetDeliveryDestinationPolicy registri: GetDeliverySource registri: GetIntegration registri: GetLogAnomalyDetector registri: GetLogFields registri: GetLogGroupFields registri: GetLogRecord registri: GetQueryResults registri: GetScheduledQuery registri: GetScheduledQueryHistory registri: GetTransformer registri: S3Table IntegrateWith registri: ListAnomalies registri: ListIntegrations registri: ListLogAnomalyDetectors registri: ListLogGroupsForQuery registri: ListScheduledQueries registri: S3 ListSourcesFor TableIntegration registri: ProcessWithPipeline registri: PutDataProtectionPolicy registri: PutDeliveryDestination registri: PutDeliveryDestinationPolicy registri: PutDeliverySource registri: PutDestination registri: PutDestinationPolicy registri: PutIndexPolicy registri: PutIntegration registri: PutLogGroupDeletionProtection registri: PutMetricFilter registri: PutQueryDefinition registri: PutResourcePolicy registri: PutRetentionPolicy registri: PutSubscriptionFilter registri: PutTransformer registri: StartLiveTail registri: StartQuery registri: StopQuery registri: TestMetricFilter registri: TestTransformer registri: UpdateAnomaly registri: UpdateDeliveryConfiguration registri: UpdateLogAnomalyDetector  | 
| lookoutequipment |  attrezzatura di avvistamento: CreateDataset attrezzatura di avvistamento: CreateInferenceScheduler attrezzatura di avvistamento: CreateLabel attrezzatura di avvistamento: CreateLabelGroup attrezzatura di avvistamento: CreateModel attrezzatura di avvistamento: DeleteDataset attrezzatura di avvistamento: DeleteInferenceScheduler attrezzatura di avvistamento: DeleteLabel attrezzatura di avvistamento: DeleteLabelGroup attrezzatura di avvistamento: DeleteModel attrezzatura di avvistamento: DeleteResourcePolicy attrezzatura di avvistamento: DeleteRetrainingScheduler attrezzatura di avvistamento: DescribeDataIngestionJob attrezzatura di avvistamento: DescribeDataset attrezzatura di avvistamento: DescribeInferenceScheduler attrezzatura di avvistamento: DescribeLabelGroup attrezzatura di avvistamento: DescribeModel attrezzatura di avvistamento: DescribeModelVersion attrezzatura di avvistamento: DescribeResourcePolicy attrezzatura di avvistamento: DescribeRetrainingScheduler lookoutequipment:Describelabel attrezzatura di avvistamento: ImportDataset attrezzatura di avvistamento: ImportModelVersion attrezzatura di avvistamento: ListDataIngestionJobs attrezzatura di avvistamento: ListDatasets attrezzatura di avvistamento: ListInferenceEvents attrezzatura di avvistamento: ListInferenceExecutions attrezzatura di avvistamento: ListInferenceSchedulers attrezzatura di avvistamento: ListLabelGroups attrezzatura di avvistamento: ListLabels attrezzatura di avvistamento: ListModelVersions attrezzatura di avvistamento: ListModels attrezzatura di avvistamento: ListRetrainingSchedulers attrezzatura di avvistamento: ListSensorStatistics attrezzatura di avvistamento: PutResourcePolicy attrezzatura di avvistamento: StartDataIngestionJob attrezzatura di avvistamento: StartInferenceScheduler attrezzatura di avvistamento: StartRetrainingScheduler attrezzatura di avvistamento: StopInferenceScheduler attrezzatura di avvistamento: StopRetrainingScheduler attrezzatura di avvistamento: UpdateActiveModelVersion attrezzatura di avvistamento: UpdateInferenceScheduler attrezzatura di avvistamento: UpdateLabelGroup attrezzatura di avvistamento: UpdateModel attrezzatura di avvistamento: UpdateRetrainingScheduler  | 
| lookoutmetrics |  metriche di osservazione: ActivateAnomalyDetector metriche di attenzione: BackTestAnomalyDetector metriche di attenzione: CreateAlert metriche di attenzione: CreateAnomalyDetector metriche di attenzione: CreateMetricSet metriche di attenzione: DeactivateAnomalyDetector metriche di attenzione: DeleteAlert metriche di attenzione: DeleteAnomalyDetector metriche di attenzione: DescribeAlert metriche di attenzione: DescribeAnomalyDetectionExecutions metriche di attenzione: DescribeAnomalyDetector metriche di attenzione: DescribeMetricSet metriche di attenzione: DetectMetricSetConfig metriche di attenzione: GetAnomalyGroup metriche di attenzione: GetDataQualityMetrics metriche di attenzione: GetFeedback metriche di attenzione: GetSampleData metriche di attenzione: ListAlerts metriche di attenzione: ListAnomalyDetectors metriche di attenzione: ListAnomalyGroupRelatedMetrics metriche di attenzione: ListAnomalyGroupSummaries metriche di attenzione: ListAnomalyGroupTimeSeries metriche di attenzione: ListMetricSets metriche di attenzione: PutFeedback metriche di attenzione: UpdateAlert metriche di attenzione: UpdateAnomalyDetector metriche di attenzione: UpdateMetricSet  | 
| lookoutvision |  visione d'osservazione: CreateDataset visione d'osservazione: CreateModel visione d'osservazione: CreateProject visione d'osservazione: DeleteDataset visione d'osservazione: DeleteModel visione d'osservazione: DeleteProject visione d'osservazione: DescribeDataset visione d'osservazione: DescribeModel visione d'osservazione: DescribeModelPackagingJob visione d'osservazione: DescribeProject visione d'osservazione: DetectAnomalies visione d'osservazione: ListDatasetEntries visione d'osservazione: ListModelPackagingJobs visione d'osservazione: ListModels visione d'osservazione: ListProjects visione d'osservazione: StartModel visione d'osservazione: StartModelPackagingJob visione d'osservazione: StopModel visione d'osservazione: UpdateDatasetEntries  | 
| m2 |  m2: CancelBatchJobExecution m2: CreateApplication m2: CreateDataSetExportTask m2: CreateDataSetImportTask m2: CreateDeployment m2: CreateEnvironment m2: DeleteApplication m2: DeleteApplicationFromEnvironment m2: DeleteEnvironment m2: GetApplication m2: GetApplicationVersion m2: GetBatchJobExecution m2: GetDataSetDetails m2: GetDataSetExportTask m2: GetDataSetImportTask m2: GetDeployment m2: GetEnvironment m2: GetSignedBluinsightsUrl m2: ListApplicationVersions m2: ListApplications m2: ListBatchJobDefinitions m2: ListBatchJobExecutions m2: ListBatchJobRestartPoints m2: ListDataSetExportHistory m2: ListDataSetImportHistory m2: ListDataSets m2: ListDeployments m2: ListEngineVersions m2: ListEnvironments m2: StartApplication m2: StartBatchJob m2: StopApplication m2: UpdateApplication m2: UpdateEnvironment  | 
| managedblockchain |  blockchain gestita: CreateAccessor blockchain gestita: CreateMember blockchain gestita: CreateNetwork blockchain gestita: CreateNode blockchain gestita: CreateProposal blockchain gestita: DeleteAccessor blockchain gestita: DeleteMember blockchain gestita: DeleteNode blockchain gestita: GetAccessor blockchain gestita: GetMember blockchain gestita: GetNetwork blockchain gestita: GetNode blockchain gestita: GetProposal blockchain gestita: InvokeRpcPolygonMainnet blockchain gestita: InvokeRpcPolygonMumbaiTestnet blockchain gestita: ListAccessors blockchain gestita: ListInvitations blockchain gestita: ListMembers blockchain gestita: ListNetworks blockchain gestita: ListNodes blockchain gestita: ListProposalVotes blockchain gestita: ListProposals blockchain gestita: RejectInvitation blockchain gestita: UpdateMember blockchain gestita: UpdateNode blockchain gestita: VoteOnProposal  | 
| mediaconnect |  connessione multimediale: AddBridgeOutputs connessione multimediale: AddBridgeSources connessione multimediale: AddFlowMediaStreams connessione multimediale: AddFlowOutputs connessione multimediale: AddFlowSources connessione multimediale: AddFlowVpcInterfaces connessione multimediale: CreateBridge connessione multimediale: CreateFlow connessione multimediale: CreateGateway connessione multimediale: DeleteBridge connessione multimediale: DeleteFlow connessione multimediale: DeleteGateway connessione multimediale: DeleteRouterInput connessione multimediale: DeleteRouterNetworkInterface connessione multimediale: DeleteRouterOutput connessione multimediale: DeregisterGatewayInstance connessione multimediale: DescribeBridge connessione multimediale: DescribeFlow connessione multimediale: DescribeFlowSourceMetadata connessione multimediale: DescribeFlowSourceThumbnail connessione multimediale: DescribeGateway connessione multimediale: DescribeGatewayInstance connessione multimediale: DescribeOffering connessione multimediale: DescribeReservation connessione multimediale: GetRouterInput connessione multimediale: GetRouterInputSourceMetadata connessione multimediale: GetRouterInputThumbnail connessione multimediale: GetRouterNetworkInterface connessione multimediale: GetRouterOutput connessione multimediale: GrantFlowEntitlements connessione multimediale: ListBridges connessione multimediale: ListEntitlements connessione multimediale: ListFlows connessione multimediale: ListGatewayInstances connessione multimediale: ListGateways connessione multimediale: ListOfferings connessione multimediale: ListReservations connessione multimediale: ListRouterInputs connessione multimediale: ListRouterNetworkInterfaces connessione multimediale: ListRouterOutputs connessione multimediale: PurchaseOffering connessione multimediale: RemoveBridgeOutput connessione multimediale: RemoveBridgeSource connessione multimediale: RemoveFlowMediaStream connessione multimediale: RemoveFlowOutput connessione multimediale: RemoveFlowSource connessione multimediale: RemoveFlowVpcInterface connessione multimediale: RestartRouterInput connessione multimediale: RestartRouterOutput connessione multimediale: RevokeFlowEntitlement connessione multimediale: StartFlow connessione multimediale: StartRouterInput connessione multimediale: StartRouterOutput connessione multimediale: StopFlow connessione multimediale: StopRouterInput connessione multimediale: StopRouterOutput connessione multimediale: TakeRouterInput connessione multimediale: UpdateBridge connessione multimediale: UpdateBridgeOutput connessione multimediale: UpdateBridgeSource connessione multimediale: UpdateBridgeState connessione multimediale: UpdateFlow connessione multimediale: UpdateFlowEntitlement connessione multimediale: UpdateFlowMediaStream connessione multimediale: UpdateGatewayInstance  | 
| mediaconvert |  conversione multimediale: AssociateCertificate conversione di file multimediali: CancelJob conversione di file multimediali: CreateJob conversione di file multimediali: CreateJobTemplate conversione di file multimediali: CreatePreset conversione di file multimediali: CreateQueue conversione di file multimediali: CreateResourceShare conversione di file multimediali: DeleteJobTemplate conversione di file multimediali: DeletePolicy conversione di file multimediali: DeletePreset conversione di file multimediali: DeleteQueue conversione di file multimediali: DescribeEndpoints conversione di file multimediali: DisassociateCertificate conversione di file multimediali: GetJob conversione di file multimediali: GetJobTemplate conversione di file multimediali: GetPolicy conversione di file multimediali: GetPreset conversione di file multimediali: GetQueue conversione di file multimediali: ListJobTemplates conversione di file multimediali: ListJobs conversione di file multimediali: ListPresets conversione di file multimediali: ListQueues conversione di file multimediali: ListVersions mediaconvert:Probe conversione di file multimediali: PutPolicy conversione di file multimediali: SearchJobs conversione di file multimediali: UpdateJobTemplate conversione di file multimediali: UpdatePreset conversione di file multimediali: UpdateQueue  | 
| medialive |  media live: AcceptInputDeviceTransfer media in diretta: BatchDelete media in diretta: BatchStart media in diretta: BatchStop media in diretta: BatchUpdateSchedule media in diretta: CancelInputDeviceTransfer media in diretta: ClaimDevice media in diretta: CreateChannel media in diretta: CreateChannelPlacementGroup media in diretta: CreateCloudWatchAlarmTemplate media in diretta: CreateCloudWatchAlarmTemplateGroup media in diretta: CreateCluster media in diretta: CreateEventBridgeRuleTemplate media in diretta: CreateEventBridgeRuleTemplateGroup media in diretta: CreateInput media in diretta: CreateInputSecurityGroup media in diretta: CreateMultiplex media in diretta: CreateMultiplexProgram media in diretta: CreateNetwork media in diretta: CreateNode media in diretta: CreateNodeRegistrationScript media in diretta: CreatePartnerInput media in diretta: CreateSdiSource media in diretta: CreateSignalMap media in diretta: DeleteChannel media in diretta: DeleteChannelPlacementGroup media in diretta: DeleteCloudWatchAlarmTemplate media in diretta: DeleteCloudWatchAlarmTemplateGroup media in diretta: DeleteCluster media in diretta: DeleteEventBridgeRuleTemplate media in diretta: DeleteEventBridgeRuleTemplateGroup media in diretta: DeleteInput media in diretta: DeleteInputSecurityGroup media in diretta: DeleteMultiplex media in diretta: DeleteMultiplexProgram media in diretta: DeleteNetwork media in diretta: DeleteNode media in diretta: DeleteReservation media in diretta: DeleteSchedule media in diretta: DeleteSdiSource media in diretta: DeleteSignalMap media in diretta: DescribeAccountConfiguration media in diretta: DescribeChannel media in diretta: DescribeChannelPlacementGroup media in diretta: DescribeCluster media in diretta: DescribeInput media in diretta: DescribeInputDevice media in diretta: DescribeInputDeviceThumbnail media in diretta: DescribeInputSecurityGroup media in diretta: DescribeMultiplex media in diretta: DescribeMultiplexProgram media in diretta: DescribeNetwork media in diretta: DescribeNode media in diretta: DescribeOffering media in diretta: DescribeReservation media in diretta: DescribeSchedule media in diretta: DescribeSdiSource media in diretta: DescribeThumbnails media in diretta: GetCloudWatchAlarmTemplate media in diretta: GetCloudWatchAlarmTemplateGroup media in diretta: GetEventBridgeRuleTemplate media in diretta: GetEventBridgeRuleTemplateGroup media in diretta: GetSignalMap media in diretta: ListAlerts media in diretta: ListChannelPlacementGroups media in diretta: ListChannels media in diretta: ListCloudWatchAlarmTemplateGroups media in diretta: ListCloudWatchAlarmTemplates media in diretta: ListClusterAlerts media in diretta: ListClusters media in diretta: ListEventBridgeRuleTemplateGroups media in diretta: ListEventBridgeRuleTemplates media in diretta: ListInputDeviceTransfers media in diretta: ListInputDevices media in diretta: ListInputSecurityGroups media in diretta: ListInputs media in diretta: ListMultiplexAlerts media in diretta: ListMultiplexPrograms media in diretta: ListMultiplexes media in diretta: ListNetworks media in diretta: ListNodes media in diretta: ListOfferings media in diretta: ListReservations media in diretta: ListSdiSources media in diretta: ListSignalMaps media in diretta: ListVersions media in diretta: PurchaseOffering media in diretta: RebootInputDevice media in diretta: RejectInputDeviceTransfer media in diretta: RestartChannelPipelines media in diretta: StartChannel media in diretta: StartDeleteMonitorDeployment media in diretta: StartInputDevice media in diretta: StartInputDeviceMaintenanceWindow media in diretta: StartMonitorDeployment media in diretta: StartMultiplex media in diretta: StartUpdateSignalMap media in diretta: StopChannel media in diretta: StopInputDevice media in diretta: StopMultiplex media in diretta: TransferInputDevice media in diretta: UpdateAccountConfiguration media in diretta: UpdateChannel media in diretta: UpdateChannelClass media in diretta: UpdateChannelPlacementGroup media in diretta: UpdateCloudWatchAlarmTemplate media in diretta: UpdateCloudWatchAlarmTemplateGroup media in diretta: UpdateCluster media in diretta: UpdateEventBridgeRuleTemplate media in diretta: UpdateEventBridgeRuleTemplateGroup media in diretta: UpdateInput media in diretta: UpdateInputDevice media in diretta: UpdateInputSecurityGroup media in diretta: UpdateMultiplex media in diretta: UpdateMultiplexProgram media in diretta: UpdateNetwork media in diretta: UpdateNode media in diretta: UpdateNodeState media in diretta: UpdateReservation media in diretta: UpdateSdiSource  | 
| mediastore |  archivio multimediale: CreateContainer mediastore: DeleteContainer mediastore: DeleteContainerPolicy mediastore: DeleteCorsPolicy mediastore: DeleteLifecyclePolicy mediastore: DeleteMetricPolicy mediastore: DescribeContainer mediastore: GetContainerPolicy mediastore: GetCorsPolicy mediastore: GetLifecyclePolicy mediastore: GetMetricPolicy mediastore: ListContainers mediastore: PutContainerPolicy mediastore: PutCorsPolicy mediastore: PutLifecyclePolicy mediastore: PutMetricPolicy mediastore: StartAccessLogging mediastore: StopAccessLogging  | 
| mediatailor |  mediatailor: ConfigureLogsForPlaybackConfiguration mediatailor: CreateChannel mediatailor: CreateLiveSource mediatailor: CreatePrefetchSchedule mediatailor: CreateProgram mediatailor: CreateSourceLocation mediatailor: CreateVodSource mediatailor: DeleteChannel mediatailor: DeleteChannelPolicy mediatailor: DeleteLiveSource mediatailor: DeletePlaybackConfiguration mediatailor: DeletePrefetchSchedule mediatailor: DeleteProgram mediatailor: DeleteSourceLocation mediatailor: DeleteVodSource mediatailor: DescribeChannel mediatailor: DescribeLiveSource mediatailor: DescribeProgram mediatailor: DescribeSourceLocation mediatailor: DescribeVodSource mediatailor: GetChannelPolicy mediatailor: GetChannelSchedule mediatailor: GetPlaybackConfiguration mediatailor: GetPrefetchSchedule mediatailor: ListAlerts mediatailor: ListChannels mediatailor: ListLiveSources mediatailor: ListPlaybackConfigurations mediatailor: ListPrefetchSchedules mediatailor: ListSourceLocations mediatailor: ListVodSources mediatailor: PutChannelPolicy mediatailor: PutPlaybackConfiguration mediatailor: StartChannel mediatailor: StopChannel mediatailor: UpdateChannel mediatailor: UpdateLiveSource mediatailor: UpdateProgram mediatailor: UpdateSourceLocation mediatailor: UpdateVodSource  | 
| db di memoria |  db di memoria: BatchUpdateCluster db di memoria: CopySnapshot db di memoria: CreateAcl db di memoria: CreateCluster db di memoria: CreateMultiRegionCluster db di memoria: CreateParameterGroup db di memoria: CreateSnapshot db di memoria: CreateSubnetGroup db di memoria: CreateUser db di memoria: DeleteAcl db di memoria: DeleteCluster db di memoria: DeleteMultiRegionCluster db di memoria: DeleteParameterGroup db di memoria: DeleteSnapshot db di memoria: DeleteSubnetGroup db di memoria: DeleteUser db di memoria: DescribeAcls db di memoria: DescribeClusters db di memoria: DescribeEngineVersions db di memoria: DescribeEvents db di memoria: DescribeMultiRegionClusters db di memoria: DescribeMultiRegionParameterGroups db di memoria: DescribeMultiRegionParameters db di memoria: DescribeParameterGroups db di memoria: DescribeParameters db di memoria: DescribeReservedNodes db di memoria: DescribeReservedNodesOfferings db di memoria: DescribeServiceUpdates db di memoria: DescribeSnapshots db di memoria: DescribeSubnetGroups db di memoria: DescribeUsers db di memoria: FailoverShard db di memoria: ListAllowedMultiRegionClusterUpdates db di memoria: ListAllowedNodeTypeUpdates db di memoria: PurchaseReservedNodesOffering db di memoria: ResetParameterGroup db di memoria: UpdateAcl db di memoria: UpdateCluster db di memoria: UpdateMultiRegionCluster db di memoria: UpdateParameterGroup db di memoria: UpdateSubnetGroup db di memoria: UpdateUser  | 
| mgh |  mg: AssociateCreatedArtifact mg: AssociateDiscoveredResource mg: AssociateSourceResource mg: CreateHomeRegionControl mg: CreateProgressUpdateStream mg: DeleteHomeRegionControl mg: DeleteProgressUpdateStream mg: DescribeApplicationState mg: DescribeHomeRegionControls mg: DescribeMigrationTask mg: DisassociateCreatedArtifact mg: DisassociateDiscoveredResource mg: DisassociateSourceResource mg: GetHomeRegion mg: ImportMigrationTask mg: ListApplicationStates mg: ListCreatedArtifacts mg: ListDiscoveredResources mg: ListMigrationTaskUpdates mg: ListMigrationTasks mg: ListProgressUpdateStreams mg: ListSourceResources mg: NotifyApplicationState mg: NotifyMigrationTaskState mg: PutResourceAttributes  | 
| mgn |  mgn: ArchiveApplication mgn: ArchiveWave mgn: AssociateApplications mgn: AssociateSourceServers mgn: ChangeServerLifeCycleState mgn: CreateApplication mgn: CreateConnector mgn: CreateLaunchConfigurationTemplate mgn: CreateReplicationConfigurationTemplate mgn: CreateWave mgn: DeleteApplication mgn: DeleteConnector mgn: DeleteJob mgn: DeleteLaunchConfigurationTemplate mgn: DeleteReplicationConfigurationTemplate mgn: DeleteSourceServer mgn: DeleteVcenterClient mgn: DeleteWave mgn: DescribeJobLogItems mgn: DescribeJobs mgn: DescribeLaunchConfigurationTemplates mgn: DescribeReplicationConfigurationTemplates mgn: DescribeVcenterClients mgn: DisassociateApplications mgn: DisassociateSourceServers mgn: DisconnectFromService mgn: FinalizeCutover mgn: GetReplicationConfiguration mgn: InitializeService mgn: ListConnectors mgn: ListExportErrors mgn: ListExports mgn: ListImportErrors mgn: ListImports mgn: ListManagedAccounts mgn: ListSourceServerActions mgn: ListTemplateActions mgn: MarkAsArchived mgn: PauseReplication mgn: PutSourceServerAction mgn: PutTemplateAction mgn: RemoveSourceServerAction mgn: RemoveTemplateAction mgn: ResumeReplication mgn: RetryDataReplication mgn: StartCutover mgn: StartExport mgn: StartImport mgn: StartReplication mgn: StartTest mgn: StopReplication mgn: TerminateTargetInstances mgn: UnarchiveApplication mgn: UnarchiveWave mgn: UpdateApplication mgn: UpdateConnector mgn: UpdateLaunchConfigurationTemplate mgn: UpdateReplicationConfiguration mgn: UpdateReplicationConfigurationTemplate mgn: UpdateSourceServer mgn: UpdateSourceServerReplicationType mgn: UpdateWave  | 
| migrationhub-strategy |  strategia migrationhub: GetAntiPattern migrationhub-strategy: GetApplicationComponentDetails migrationhub-strategy: GetApplicationComponentStrategies migrationhub-strategy: GetAssessment migrationhub-strategy: GetImportFileTask migrationhub-strategy: GetLatestAssessmentId migrationhub-strategy: GetMessage migrationhub-strategy: GetPortfolioPreferences migrationhub-strategy: GetPortfolioSummary migrationhub-strategy: GetRecommendationReportDetails migrationhub-strategy: GetServerDetails migrationhub-strategy: GetServerStrategies migrationhub-strategy: ListAnalyzableServers migrationhub-strategy: ListAntiPatterns migrationhub-strategy: ListApplicationComponents migrationhub-strategy: ListCollectors migrationhub-strategy: ListImportFileTask migrationhub-strategy: ListJarArtifacts migrationhub-strategy: ListServers migrationhub-strategy: PutLogData migrationhub-strategy: PutMetricData migrationhub-strategy: PutPortfolioPreferences migrationhub-strategy: RegisterCollector migrationhub-strategy: SendMessage migrationhub-strategy: StartAssessment migrationhub-strategy: StartImportFileTask migrationhub-strategy: StartRecommendationReportGeneration migrationhub-strategy: StopAssessment migrationhub-strategy: UpdateApplicationComponentConfig migrationhub-strategy: UpdateCollectorConfiguration migrationhub-strategy: UpdateServerConfig  | 
| mobiletargeting |  targeting mobile: CreateApp targeting mobile: CreateCampaign targeting mobile: CreateEmailTemplate targeting mobile: CreateExportJob targeting mobile: CreateImportJob targeting mobile: CreateInAppTemplate targeting mobile: CreateJourney targeting mobile: CreatePushTemplate targeting mobile: CreateRecommenderConfiguration targeting mobile: CreateSegment targeting mobile: CreateSmsTemplate targeting mobile: CreateVoiceTemplate targeting mobile: DeleteAdmChannel targeting mobile: DeleteApnsChannel targeting mobile: DeleteApnsSandboxChannel targeting mobile: DeleteApnsVoipChannel targeting mobile: DeleteApnsVoipSandboxChannel targeting mobile: DeleteApp targeting mobile: DeleteBaiduChannel targeting mobile: DeleteCampaign targeting mobile: DeleteEmailChannel targeting mobile: DeleteEmailTemplate targeting mobile: DeleteEndpoint targeting mobile: DeleteEventStream targeting mobile: DeleteGcmChannel targeting mobile: DeleteInAppTemplate targeting mobile: DeleteJourney targeting mobile: DeletePushTemplate targeting mobile: DeleteRecommenderConfiguration targeting mobile: DeleteSegment targeting mobile: DeleteSmsChannel targeting mobile: DeleteSmsTemplate targeting mobile: DeleteUserEndpoints targeting mobile: DeleteVoiceChannel targeting mobile: DeleteVoiceTemplate targeting mobile: GetAdmChannel targeting mobile: GetApnsChannel targeting mobile: GetApnsSandboxChannel targeting mobile: GetApnsVoipChannel targeting mobile: GetApnsVoipSandboxChannel targeting mobile: GetApp targeting mobile: GetApplicationDateRangeKpi targeting mobile: GetApplicationSettings targeting mobile: GetApps targeting mobile: GetBaiduChannel targeting mobile: GetCampaign targeting mobile: GetCampaignActivities targeting mobile: GetCampaignDateRangeKpi targeting mobile: GetCampaignVersion targeting mobile: GetCampaignVersions targeting mobile: GetCampaigns targeting mobile: GetChannels targeting mobile: GetEmailChannel targeting mobile: GetEmailTemplate targeting mobile: GetEndpoint targeting mobile: GetEventStream targeting mobile: GetExportJob targeting mobile: GetExportJobs targeting mobile: GetGcmChannel targeting mobile: GetImportJob targeting mobile: GetImportJobs targeting mobile: GetInAppMessages targeting mobile: GetInAppTemplate targeting mobile: GetJourney targeting mobile: GetJourneyDateRangeKpi targeting mobile: GetJourneyExecutionActivityMetrics targeting mobile: GetJourneyExecutionMetrics targeting mobile: GetJourneyRunExecutionActivityMetrics targeting mobile: GetJourneyRunExecutionMetrics targeting mobile: GetJourneyRuns targeting mobile: GetPushTemplate targeting mobile: GetRecommenderConfiguration targeting mobile: GetRecommenderConfigurations targeting mobile: GetSegment targeting mobile: GetSegmentExportJobs targeting mobile: GetSegmentImportJobs targeting mobile: GetSegmentVersion targeting mobile: GetSegmentVersions targeting mobile: GetSegments targeting mobile: GetSmsChannel targeting mobile: GetSmsTemplate targeting mobile: GetUserEndpoints targeting mobile: GetVoiceChannel targeting mobile: GetVoiceTemplate targeting mobile: ListJourneys targeting mobile: ListTemplateVersions targeting mobile: ListTemplates targeting mobile: PhoneNumberValidate targeting mobile: PutEventStream targeting mobile: RemoveAttributes targeting mobile: UpdateAdmChannel targeting mobile: UpdateApnsChannel targeting mobile: UpdateApnsSandboxChannel targeting mobile: UpdateApnsVoipChannel targeting mobile: UpdateApnsVoipSandboxChannel targeting mobile: UpdateApplicationSettings targeting mobile: UpdateBaiduChannel targeting mobile: UpdateCampaign targeting mobile: UpdateEmailChannel targeting mobile: UpdateEmailTemplate targeting mobile: UpdateEndpoint targeting mobile: UpdateEndpointsBatch targeting mobile: UpdateGcmChannel targeting mobile: UpdateInAppTemplate targeting mobile: UpdateJourney targeting mobile: UpdateJourneyState targeting mobile: UpdatePushTemplate targeting mobile: UpdateRecommenderConfiguration targeting mobile: UpdateSegment targeting mobile: UpdateSmsChannel targeting mobile: UpdateSmsTemplate targeting mobile: UpdateTemplateActiveVersion targeting mobile: UpdateVoiceChannel targeting mobile: UpdateVoiceTemplate Targeting mobile: verifica OTPMessage  | 
| mq |  mq: CreateBroker mq: CreateConfiguration mq: CreateUser mq: DeleteBroker mq: DeleteConfiguration mq: DeleteUser mq: DescribeBroker mq: DescribeBrokerEngineTypes mq: DescribeBrokerInstanceOptions mq: DescribeConfiguration mq: DescribeConfigurationRevision mq: DescribeUser mq: ListBrokers mq: ListConfigurationRevisions mq: ListConfigurations mq: ListUsers mq:Promote mq: RebootBroker mq: UpdateBroker mq: UpdateConfiguration mq: UpdateUser  | 
| networkmanager |  gestore di rete: AcceptAttachment gestore di rete: AssociateConnectPeer gestore di rete: AssociateCustomerGateway gestore di rete: AssociateLink gestore di rete: AssociateTransitGatewayConnectPeer gestore di rete: CreateConnectAttachment gestore di rete: CreateConnectPeer gestore di rete: CreateConnection gestore di rete: CreateCoreNetwork gestore di rete: CreateDevice gestore di rete: CreateDirectConnectGatewayAttachment gestore di rete: CreateGlobalNetwork gestore di rete: CreateLink gestore di rete: CreateSite gestore di rete: CreateSiteToSiteVpnAttachment gestore di rete: CreateTransitGatewayPeering gestore di rete: CreateTransitGatewayRouteTableAttachment gestore di rete: CreateVpcAttachment gestore di rete: DeleteAttachment gestore di rete: DeleteConnectPeer gestore di rete: DeleteConnection gestore di rete: DeleteCoreNetwork gestore di rete: DeleteCoreNetworkPolicyVersion gestore di rete: DeleteDevice gestore di rete: DeleteGlobalNetwork gestore di rete: DeleteLink gestore di rete: DeletePeering gestore di rete: DeleteResourcePolicy gestore di rete: DeleteSite gestore di rete: DeregisterTransitGateway gestore di rete: DescribeGlobalNetworks gestore di rete: DisassociateConnectPeer gestore di rete: DisassociateCustomerGateway gestore di rete: DisassociateLink gestore di rete: DisassociateTransitGatewayConnectPeer gestore di rete: ExecuteCoreNetworkChangeSet gestore di rete: GetConnectAttachment gestore di rete: GetConnectPeer gestore di rete: GetConnectPeerAssociations gestore di rete: GetConnections gestore di rete: GetCoreNetwork gestore di rete: GetCoreNetworkChangeEvents gestore di rete: GetCoreNetworkChangeSet gestore di rete: GetCoreNetworkPolicy gestore di rete: GetCustomerGatewayAssociations gestore di rete: GetDevices gestore di rete: GetLinkAssociations gestore di rete: GetLinks gestore di rete: GetNetworkResourceCounts gestore di rete: GetNetworkResourceRelationships gestore di rete: GetNetworkResources gestore di rete: GetNetworkRoutes gestore di rete: GetNetworkTelemetry gestore di rete: GetResourcePolicy gestore di rete: GetRouteAnalysis gestore di rete: GetSiteToSiteVpnAttachment gestore di rete: GetSites gestore di rete: GetTransitGatewayConnectPeerAssociations gestore di rete: GetTransitGatewayPeering gestore di rete: GetTransitGatewayRegistrations gestore di rete: GetTransitGatewayRouteTableAttachment gestore di rete: GetVpcAttachment gestore di rete: ListAttachmentRoutingPolicyAssociations gestore di rete: ListAttachments gestore di rete: ListConnectPeers gestore di rete: ListCoreNetworkPolicyVersions gestore di rete: ListCoreNetworkPrefixListAssociations gestore di rete: ListCoreNetworkRoutingInformation gestore di rete: ListCoreNetworks gestore di rete: ListOrganizationServiceAccessStatus gestore di rete: ListPeerings gestore di rete: PutAttachmentRoutingPolicyLabel gestore di rete: PutCoreNetworkPolicy gestore di rete: PutResourcePolicy gestore di rete: RegisterTransitGateway gestore di rete: RejectAttachment gestore di rete: RemoveAttachmentRoutingPolicyLabel gestore di rete: RestoreCoreNetworkPolicyVersion gestore di rete: StartOrganizationServiceAccessUpdate gestore di rete: StartRouteAnalysis gestore di rete: UpdateConnection gestore di rete: UpdateCoreNetwork gestore di rete: UpdateDevice gestore di rete: UpdateDirectConnectGatewayAttachment gestore di rete: UpdateGlobalNetwork gestore di rete: UpdateLink gestore di rete: UpdateNetworkResourceMetadata gestore di rete: UpdateSite gestore di rete: UpdateVpcAttachment  | 
| nimble |  agile: AcceptEulas agile: CreateLaunchProfile agile: CreateStreamingImage agile: CreateStreamingSession agile: CreateStreamingSessionStream agile: CreateStudio agile: CreateStudioComponent agile: DeleteLaunchProfile agile: DeleteLaunchProfileMember agile: DeleteStreamingImage agile: DeleteStreamingSession agile: DeleteStudio agile: DeleteStudioComponent agile: DeleteStudioMember agile: GetEula agile: GetLaunchProfileDetails agile: GetStreamingImage agile: GetStreamingSession agile: GetStreamingSessionBackup agile: GetStreamingSessionStream agile: GetStudio agile: GetStudioComponent agile: GetStudioMember agile: ListEulas agile: ListLaunchProfileMembers agile: ListLaunchProfiles agile: ListStreamingImages agile: ListStreamingSessionBackups agile: ListStreamingSessions agile: ListStudioComponents agile: ListStudioMembers agile: ListStudios agile: PutLaunchProfileMembers agile: PutStudioMembers agile: StartStreamingSession agile: Riparazione StartStudio SSOConfiguration agile: StopStreamingSession agile: UpdateLaunchProfile agile: UpdateLaunchProfileMember agile: UpdateStreamingImage agile: UpdateStudio agile: UpdateStudioComponent  | 
| omics |  fumetti: AbortMultipartReadSetUpload fumetti: AcceptShare fumetti: BatchDeleteReadSet fumetti: CancelAnnotationImportJob fumetti: CancelRun fumetti: CancelVariantImportJob fumetti: CompleteMultipartReadSetUpload fumetti: CreateAnnotationStore fumetti: CreateAnnotationStoreVersion fumetti: CreateMultipartReadSetUpload fumetti: CreateReferenceStore fumetti: CreateRunGroup fumetti: CreateSequenceStore fumetti: CreateShare fumetti: CreateVariantStore fumetti: CreateWorkflow fumetti: CreateWorkflowVersion fumetti: DeleteAnnotationStore fumetti: DeleteAnnotationStoreVersions fumetti: DeleteReference fumetti: DeleteReferenceStore fumetti: DeleteRun fumetti: DeleteRunGroup fumetti: DeleteSequenceStore fumetti: DeleteShare fumetti: DeleteVariantStore fumetti: DeleteWorkflow fumetti: DeleteWorkflowVersion fumetti: GetAnnotationImportJob fumetti: GetAnnotationStore fumetti: GetAnnotationStoreVersion fumetti: GetReadSet fumetti: GetReadSetActivationJob fumetti: GetReadSetExportJob fumetti: GetReadSetImportJob fumetti: GetReadSetMetadata fumetti: GetReference fumetti: GetReferenceImportJob fumetti: GetReferenceMetadata fumetti: GetReferenceStore fumetti: GetRun fumetti: GetRunGroup fumetti: GetRunTask fumetti: GetSequenceStore fumetti: GetShare fumetti: GetVariantImportJob fumetti: GetVariantStore fumetti: GetWorkflow fumetti: GetWorkflowVersion fumetti: ListAnnotationImportJobs fumetti: ListAnnotationStoreVersions fumetti: ListAnnotationStores fumetti: ListMultipartReadSetUploads fumetti: ListReadSetActivationJobs fumetti: ListReadSetExportJobs fumetti: ListReadSetImportJobs fumetti: ListReadSetUploadParts fumetti: ListReadSets fumetti: ListReferenceImportJobs fumetti: ListReferenceStores fumetti: ListReferences fumetti: ListRunGroups fumetti: ListRunTasks fumetti: ListRuns fumetti: ListSequenceStores fumetti: ListShares fumetti: ListVariantImportJobs fumetti: ListVariantStores fumetti: ListWorkflowVersions fumetti: ListWorkflows fumetti: StartAnnotationImportJob fumetti: StartReadSetActivationJob fumetti: StartReadSetExportJob fumetti: StartReadSetImportJob fumetti: StartReferenceImportJob fumetti: StartRun fumetti: StartVariantImportJob fumetti: UpdateAnnotationStore fumetti: UpdateAnnotationStoreVersion fumetti: UpdateRunGroup fumetti: UpdateVariantStore fumetti: UpdateWorkflow fumetti: UpdateWorkflowVersion fumetti: UploadReadSetPart  | 
| opsworks |  Ops funziona: AssignInstance opsworks: AssignVolume opsworks: AssociateElasticIp opsworks: AttachElasticLoadBalancer opsworks: CloneStack opsworks: CreateApp opsworks: CreateDeployment opsworks: CreateInstance opsworks: CreateLayer opsworks: CreateStack opsworks: CreateUserProfile opsworks: DeleteApp opsworks: DeleteInstance opsworks: DeleteLayer opsworks: DeleteStack opsworks: DeleteUserProfile opsworks: DeregisterEcsCluster opsworks: DeregisterElasticIp opsworks: DeregisterInstance opsworks: DeregisterRdsDbInstance opsworks: DeregisterVolume opsworks: DescribeAgentVersions opsworks: DescribeApps opsworks: DescribeCommands opsworks: DescribeDeployments opsworks: DescribeEcsClusters opsworks: DescribeElasticIps opsworks: DescribeElasticLoadBalancers opsworks: DescribeInstances opsworks: DescribeLayers opsworks: DescribeLoadBasedAutoScaling opsworks: DescribeMyUserProfile opsworks: DescribeOperatingSystems opsworks: DescribePermissions opsworks: DescribeRaidArrays opsworks: DescribeRdsDbInstances opsworks: DescribeServiceErrors opsworks: DescribeStackProvisioningParameters opsworks: DescribeStackSummary opsworks: DescribeStacks opsworks: DescribeTimeBasedAutoScaling opsworks: DescribeUserProfiles opsworks: DescribeVolumes opsworks: DetachElasticLoadBalancer opsworks: DisassociateElasticIp opsworks: GetHostnameSuggestion opsworks: GrantAccess opsworks: RebootInstance opsworks: RegisterEcsCluster opsworks: RegisterElasticIp opsworks: RegisterInstance opsworks: RegisterRdsDbInstance opsworks: RegisterVolume opsworks: SetLoadBasedAutoScaling opsworks: SetPermission opsworks: SetTimeBasedAutoScaling opsworks: StartInstance opsworks: StartStack opsworks: StopInstance opsworks: StopStack opsworks: UnassignInstance opsworks: UnassignVolume opsworks: UpdateApp opsworks: UpdateElasticIp opsworks: UpdateInstance opsworks: UpdateLayer opsworks: UpdateMyUserProfile opsworks: UpdateRdsDbInstance opsworks: UpdateStack opsworks: UpdateUserProfile opsworks: UpdateVolume  | 
| opsworks-cm |  opsworks-cm: AssociateNode opsworks-cm: CreateBackup opsworks-cm: CreateServer opsworks-cm: DeleteBackup opsworks-cm: DeleteServer opsworks-cm: DescribeAccountAttributes opsworks-cm: DescribeBackups opsworks-cm: DescribeEvents opsworks-cm: DescribeNodeAssociationStatus opsworks-cm: DescribeServers opsworks-cm: DisassociateNode opsworks-cm: ExportServerEngineAttribute opsworks-cm: RestoreServer opsworks-cm: StartMaintenance opsworks-cm: UpdateServer opsworks-cm: UpdateServerEngineAttributes  | 
| organizations |  organizzazioni: AcceptHandshake organizzazioni: AttachPolicy organizzazioni: CancelHandshake organizzazioni: CloseAccount organizzazioni: CreateAccount organizzazioni: CreateGovCloudAccount organizzazioni: CreateOrganization organizzazioni: CreateOrganizationalUnit organizzazioni: CreatePolicy organizzazioni: DeclineHandshake organizzazioni: DeleteOrganization organizzazioni: DeleteOrganizationalUnit organizzazioni: DeletePolicy organizzazioni: DeleteResourcePolicy organizzazioni: DeregisterDelegatedAdministrator organizzazioni: DescribeAccount organizzazioni: DescribeCreateAccountStatus organizzazioni: DescribeEffectivePolicy organizzazioni: DescribeHandshake organizzazioni: DescribeOrganization organizzazioni: DescribeOrganizationalUnit organizzazioni: DescribePolicy organizzazioni: DescribeResourcePolicy organizzazioni: DescribeResponsibilityTransfer organizzazioni: DetachPolicy organizzazioniAWSService: disabilita l'accesso organizzazioni: DisablePolicyType organizzazioniAWSService: abilita l'accesso organizzazioni: EnableAllFeatures organizzazioni: EnablePolicyType organizzazioni: InviteAccountToOrganization organizzazioni: LeaveOrganization organizzazioni: elenco AWSService AccessForOrganization organizzazioni: ListAccounts organizzazioni: ListAccountsForParent organizzazioni: ListAccountsWithInvalidEffectivePolicy organizzazioni: ListChildren organizzazioni: ListCreateAccountStatus organizzazioni: ListDelegatedAdministrators organizzazioni: ListDelegatedServicesForAccount organizzazioni: ListHandshakesForAccount organizzazioni: ListHandshakesForOrganization organizzazioni: ListInboundResponsibilityTransfers organizzazioni: ListOrganizationalUnitsForParent organizzazioni: ListOutboundResponsibilityTransfers organizzazioni: ListParents organizzazioni: ListPolicies organizzazioni: ListPoliciesForTarget organizzazioni: ListRoots organizzazioni: ListTargetsForPolicy organizzazioni: MoveAccount organizzazioni: PutResourcePolicy organizzazioni: RegisterDelegatedAdministrator organizzazioni: RemoveAccountFromOrganization organizzazioni: TerminateResponsibilityTransfer organizzazioni: UpdateOrganizationalUnit organizzazioni: UpdatePolicy organizzazioni: UpdateResponsibilityTransfer  | 
| outposts |  avamposti: CancelCapacityTask avamposti: CancelOrder avamposti: CreateOrder avamposti: CreateOutpost avamposti: CreatePrivateConnectivityConfig avamposti: CreateSite avamposti: DeleteOutpost avamposti: DeleteSite avamposti: GetCapacityTask avamposti: GetCatalogItem avamposti: GetConnection avamposti: GetOrder avamposti: GetOutpost avamposti: GetOutpostBillingInformation avamposti: GetOutpostInstanceTypes avamposti: GetOutpostSupportedInstanceTypes avamposti: GetPrivateConnectivityConfig avamposti: GetSite avamposti: GetSiteAddress avamposti: ListAssetInstances avamposti: ListAssets avamposti: ListBlockingInstancesForCapacityTask avamposti: ListCapacityTasks avamposti: ListCatalogItems avamposti: ListOrders avamposti: ListOutposts avamposti: ListSites avamposti: StartCapacityTask avamposti: StartConnection avamposti: UpdateOutpost avamposti: UpdateSite avamposti: UpdateSiteAddress avamposti: UpdateSiteRackPhysicalProperties  | 
| panorama |  panorama: CreateApplicationInstance panorama: CreateJobForDevices panorama: CreateNodeFromTemplateJob panorama: CreatePackage panorama: CreatePackageImportJob panorama: DeleteDevice panorama: DeletePackage panorama: DeregisterPackageVersion panorama: DescribeApplicationInstance panorama: DescribeApplicationInstanceDetails panorama: DescribeDevice panorama: DescribeDeviceJob panorama: DescribeNode panorama: DescribeNodeFromTemplateJob panorama: DescribePackage panorama: DescribePackageImportJob panorama: DescribePackageVersion panorama: ListApplicationInstanceDependencies panorama: ListApplicationInstanceNodeInstances panorama: ListApplicationInstances panorama: ListDevices panorama: ListDevicesJobs panorama: ListNodeFromTemplateJobs panorama: ListNodes panorama: ListPackageImportJobs panorama: ListPackages panorama: ProvisionDevice panorama: RegisterPackageVersion panorama: RemoveApplicationInstance panorama: SignalApplicationInstanceNodeInstances panorama: UpdateDeviceMetadata  | 
| pi |  pipì: CreatePerformanceAnalysisReport pipì: DeletePerformanceAnalysisReport pipì: DescribeDimensionKeys pipì: GetDimensionKeyDetails pipì: GetPerformanceAnalysisReport pipì: GetResourceMetadata pipì: GetResourceMetrics pipì: ListAvailableResourceDimensions pipì: ListAvailableResourceMetrics pipì: ListPerformanceAnalysisReports  | 
| pipes |  tubi: CreatePipe tubi: DeletePipe tubi: DescribePipe tubi: ListPipes tubi: StartPipe tubi: StopPipe tubi: UpdatePipe  | 
| polly |  polly: DeleteLexicon polly: DescribeVoices polly: GetLexicon polly: GetSpeechSynthesisTask polly: ListLexicons polly: ListSpeechSynthesisTasks polly: PutLexicon polly: StartSpeechSynthesisTask polly: SynthesizeSpeech  | 
| profile |  profilo: AddProfileKey profilo: BatchGetCalculatedAttributeForProfile profilo: BatchGetProfile profilo: CreateCalculatedAttributeDefinition profilo: CreateDomain profilo: CreateEventStream profilo: CreateProfile profilo: CreateRecommender profilo: CreateSegmentDefinition profilo: CreateSegmentEstimate profilo: CreateSegmentSnapshot profilo: CreateUploadJob profilo: DeleteCalculatedAttributeDefinition profilo: DeleteDomain profilo: DeleteDomainObjectType profilo: DeleteEventStream profilo: DeleteIntegration profilo: DeleteProfile profilo: DeleteProfileKey profilo: DeleteProfileObject profilo: DeleteProfileObjectType profilo: DeleteRecommender profilo: DeleteSegmentDefinition profilo: DeleteWorkflow profilo: DetectProfileObjectType profilo: GetAutoMergingPreview profilo: GetCalculatedAttributeDefinition profilo: GetCalculatedAttributeForProfile profilo: GetDomain profilo: GetDomainObjectType profilo: GetEventStream profilo: GetIdentityResolutionJob profilo: GetIntegration profilo: GetMatches profilo: GetObjectTypeAttributeStatistics profilo: GetProfileObjectType profilo: GetProfileObjectTypeTemplate profilo: GetProfileRecommendations profilo: GetRecommender profilo: GetSegmentDefinition profilo: GetSegmentEstimate profilo: GetSegmentMembership profilo: GetSegmentSnapshot profilo: GetSimilarProfiles profilo: GetUploadJob profilo: GetUploadJobPath profilo: GetWorkflow profilo: GetWorkflowSteps profilo: ListAccountIntegrations profilo: ListCalculatedAttributeDefinitions profilo: ListCalculatedAttributesForProfile profilo: ListDomainLayouts profilo: ListDomainObjectTypes profilo: ListDomains profilo: ListEventStreams profilo: ListIdentityResolutionJobs profilo: ListIntegrations profilo: ListObjectTypeAttributeValues profilo: ListObjectTypeAttributes profilo: ListProfileAttributeValues profilo: ListProfileObjectTypeTemplates profilo: ListProfileObjectTypes profilo: ListProfileObjects profilo: ListRecommenderRecipes profilo: ListRecommenders profilo: ListRuleBasedMatches profilo: ListSegmentDefinitions profilo: ListUploadJobs profilo: ListWorkflows profilo: MergeProfiles profilo: PutDomainObjectType profilo: PutIntegration profilo: PutProfileObject profilo: PutProfileObjectType profilo: SearchProfiles profilo: StartRecommender profilo: StartUploadJob profilo: StopRecommender profilo: StopUploadJob profilo: UpdateCalculatedAttributeDefinition profilo: UpdateDomain profilo: UpdateProfile profilo: UpdateRecommender  | 
| qldb |  qldb: CancelJournalKinesisStream qldb: CreateLedger qldb: DeleteLedger qldb: DescribeJournalKinesisStream qldb: S3Export DescribeJournal qldb: DescribeLedger qldb: A3 ExportJournalTo qldb: GetBlock qldb: GetDigest qldb: GetRevision qldb: ListJournalKinesisStreamsForLedger qldb: S3Exports ListJournal ListJournalqldb:S3 ExportsForLedger qldb: ListLedgers qldb: StreamJournalToKinesis qldb: UpdateLedger qldb: UpdateLedgerPermissionsMode  | 
| ram |  ram: AcceptResourceShareInvitation ram: AssociateResourceShare ram: AssociateResourceSharePermission ram: CreatePermission ram: CreatePermissionVersion ram: CreateResourceShare ram: DeletePermission ram: DeletePermissionVersion ram: DeleteResourceShare ram: DisassociateResourceShare ram: DisassociateResourceSharePermission ram: EnableSharingWithAwsOrganization ram: GetPermission ram: GetResourcePolicies ram: GetResourceShareAssociations ram: GetResourceShareInvitations ram: GetResourceShares ram: ListPendingInvitationResources ram: ListPermissionAssociations ram: ListPermissionVersions ram: ListPermissions ram: ListPrincipals ram: ListReplacePermissionAssociationsWork ram: ListResourceSharePermissions ram: ListResourceTypes ram: ListResources ram: PromotePermissionCreatedFromPolicy ram: PromoteResourceShareCreatedFromPolicy ram: RejectResourceShareInvitation ram: ReplacePermissionAssociations ram: SetDefaultPermissionVersion ram: UpdateResourceShare  | 
| rbin |  pettine: CreateRule rbin: DeleteRule rbin: GetRule rbin: ListRules rbin: LockRule rbin: UnlockRule rbin: UpdateRule  | 
| rds |  rds: AddRoleTo DBCluster rds: AddRoleTo DBInstance rds: AddSourceIdentifierToSubscription rds: ApplyPendingMaintenanceAction RDS: autorizza DBSecurity GroupIngress RDS: Backtrack DBCluster rds: CancelExportTask RDS: copia DBCluster ParameterGroup RDS: copia istantanea DBCluster RDS: Copy DBParameter Group RDS: copia DBSnapshot rds: CopyOptionGroup rds: versione CreateCustom DBEngine rds: crea DBCluster ParameterGroup RDS: Crea gruppo DBParameter RDS: Crea DBProxy RDS: Crea endpoint DBProxy RDS: Crea DBSecurity gruppo RDS: Crea DBSubnet gruppo rds: CreateEventSubscription rds: CreateGlobalCluster rds: CreateOptionGroup rds: DeleteBlueGreenDeployment rds: elimina DBCluster AutomatedBackup RDS: elimina DBCluster ParameterGroup RDS: elimina istantanea DBCluster RDS: elimina DBInstance AutomatedBackup RDS: Elimina gruppo DBParameter RDS: elimina DBProxy RDS: Elimina endpoint DBProxy RDS: Elimina DBSecurity gruppo RDS: elimina DBSnapshot RDS: Elimina gruppo DBSubnet rds: DeleteEventSubscription rds: DeleteGlobalCluster rds: DeleteOptionGroup DBProxyRDS: annulla la registrazione degli obiettivi rds: DescribeAccountAttributes rds: DescribeBlueGreenDeployments rds: DescribeCertificates RDS: descrivi DBCluster AutomatedBackups RDS: Descrivi Backtracks DBCluster RDS: descrizione degli DBCluster endpoint RDS: descrivere DBCluster ParameterGroups RDS: descrivere i parametri DBCluster RDS: Descrivi DBCluster SnapshotAttributes RDS: Descrivi DBCluster le istantanee RDS: Descrivi DBClusters RDS: descrizione DBEngine delle versioni RDS: Descrivi DBInstance AutomatedBackups RDS: descrivere DBInstances RDS: descrizione DBLog dei file RDS: descrivere DBMajor EngineVersions RDS: Descrivi i gruppi DBParameter RDS: Descrivi DBParameters RDS: descrivere DBProxies RDS: Descrivi DBProxy gli endpoint RDS: descrivere DBProxy TargetGroups RDS: Descrivi DBProxy gli obiettivi RDS: Descrivi DBRecommendations RDS: Descrivi i gruppi DBSecurity RDS:Descrivi gli DBSnapshot attributi RDS: Descrivi DBSnapshot TenantDatabases RDS: descrivere DBSnapshots RDS: Descrivi i gruppi DBSubnet rds: DescribeEngineDefaultClusterParameters rds: DescribeEngineDefaultParameters rds: DescribeEventCategories rds: DescribeEventSubscriptions rds: DescribeEvents rds: DescribeExportTasks rds: DescribeGlobalClusters rds: DescribeIntegrations rds: DescribeOptionGroupOptions rds: DescribeOptionGroups rds: Opzioni DescribeOrderable DBInstance rds: DescribePendingMaintenanceActions rds: DescribeReserved DBInstances rds: Offerte DescribeReserved DBInstances rds: DescribeSourceRegions rds: DescribeTenantDatabases rds: Modifiche DescribeValid DBInstance rds: File DownloadComplete DBLog rds: scarica DBLog FilePortion RDS: failover DBCluster rds: FailoverGlobalCluster rds: ModifyActivityStream rds: ModifyCertificates rds: Capacità ModifyCurrent DBCluster DBClusterRDS: Modifica endpoint RDS: modifica DBCluster ParameterGroup RDS: modifica DBCluster SnapshotAttribute RDS: Modifica gruppo DBParameter RDS: modifica DBProxy RDS: modifica DBProxy dell'endpoint RDS: modifica DBProxy TargetGroup RDS: modifica DBRecommendation RDS: modifica DBSnapshot Attributo RDS:Modify DBSnapshot RDS:Modify DBSubnet Group rds: ModifyEventSubscription rds: ModifyGlobalCluster rds: ModifyOptionGroup rds: ModifyTenantDatabase rds: Offerta PurchaseReserved DBInstances RDS: riavvio DBCluster RDS: Registra obiettivi DBProxy rds: RemoveFromGlobalCluster rds: RemoveRoleFrom DBCluster rds: RemoveRoleFrom DBInstance rds: RemoveSourceIdentifierFromSubscription RDS: reset DBCluster ParameterGroup RDS: Reset Group DBParameter RDS: Ripristina da DBCluster S3 RDS: ripristino DBCluster FromSnapshot RDS: ripristino DBCluster ToPointInTime RDS:Ripristina DBInstance da DBSnapshot RDS: Ripristina DBInstance da S3 RDS: ripristino DBInstance ToPointInTime RDS: revoca DBSecurity GroupIngress rds: StartActivityStream RDS: Avvio DBCluster RDS: Avvio DBInstance RDS: Avvio DBInstance AutomatedBackupsReplication rds: StartExportTask rds: StopActivityStream RDS: Stop DBCluster RDS: Stop DBInstance RDS: Stop DBInstance AutomatedBackupsReplication rds: SwitchoverBlueGreenDeployment rds: SwitchoverGlobalCluster rds: SwitchoverReadReplica  | 
| redshift |  spostamento verso il rosso: AcceptReservedNodeExchange spostamento verso il rosso: AddPartner spostamento verso il rosso: AssociateDataShareConsumer spostamento verso il rosso: AuthorizeClusterSecurityGroupIngress spostamento verso il rosso: AuthorizeDataShare spostamento verso il rosso: AuthorizeEndpointAccess spostamento verso il rosso: AuthorizeSnapshotAccess spostamento verso il rosso: BatchDeleteClusterSnapshots spostamento verso il rosso: BatchModifyClusterSnapshots spostamento verso il rosso: CancelQuery spostamento verso il rosso: CancelResize spostamento verso il rosso: CopyClusterSnapshot spostamento verso il rosso: CreateAuthenticationProfile spostamento verso il rosso: CreateCluster spostamento verso il rosso: CreateClusterParameterGroup spostamento verso il rosso: CreateClusterSecurityGroup spostamento verso il rosso: CreateClusterSnapshot spostamento verso il rosso: CreateClusterSubnetGroup spostamento verso il rosso: CreateCustomDomainAssociation spostamento verso il rosso: CreateEndpointAccess spostamento verso il rosso: CreateEventSubscription spostamento verso il rosso: CreateHsmClientCertificate spostamento verso il rosso: CreateHsmConfiguration spostamento verso il rosso: CreateIntegration spostamento verso il rosso: CreateRedshiftIdcApplication spostamento verso il rosso: CreateScheduledAction spostamento verso il rosso: CreateSnapshotCopyGrant spostamento verso il rosso: CreateSnapshotSchedule spostamento verso il rosso: CreateUsageLimit spostamento verso il rosso: DeauthorizeDataShare spostamento verso il rosso: DeleteAuthenticationProfile spostamento verso il rosso: DeleteCluster spostamento verso il rosso: DeleteClusterParameterGroup spostamento verso il rosso: DeleteClusterSecurityGroup spostamento verso il rosso: DeleteClusterSnapshot spostamento verso il rosso: DeleteClusterSubnetGroup spostamento verso il rosso: DeleteCustomDomainAssociation spostamento verso il rosso: DeleteEndpointAccess spostamento verso il rosso: DeleteEventSubscription spostamento verso il rosso: DeleteHsmClientCertificate spostamento verso il rosso: DeleteHsmConfiguration spostamento verso il rosso: DeletePartner spostamento verso il rosso: DeleteRedshiftIdcApplication spostamento verso il rosso: DeleteResourcePolicy spostamento verso il rosso: DeleteScheduledAction spostamento verso il rosso: DeleteSnapshotCopyGrant spostamento verso il rosso: DeleteSnapshotSchedule spostamento verso il rosso: DeleteUsageLimit spostamento verso il rosso: DeregisterNamespace spostamento verso il rosso: DescribeAccountAttributes spostamento verso il rosso: DescribeAuthenticationProfiles spostamento verso il rosso: DescribeClusterDbRevisions spostamento verso il rosso: DescribeClusterParameterGroups spostamento verso il rosso: DescribeClusterParameters spostamento verso il rosso: DescribeClusterSecurityGroups spostamento verso il rosso: DescribeClusterSnapshots spostamento verso il rosso: DescribeClusterSubnetGroups spostamento verso il rosso: DescribeClusterTracks spostamento verso il rosso: DescribeClusterVersions spostamento verso il rosso: DescribeClusters spostamento verso il rosso: DescribeCustomDomainAssociations spostamento verso il rosso: DescribeDataShares spostamento verso il rosso: DescribeDataSharesForConsumer spostamento verso il rosso: DescribeDataSharesForProducer spostamento verso il rosso: DescribeDefaultClusterParameters spostamento verso il rosso: DescribeEndpointAccess spostamento verso il rosso: DescribeEndpointAuthorization spostamento verso il rosso: DescribeEventCategories spostamento verso il rosso: DescribeEventSubscriptions spostamento verso il rosso: DescribeEvents spostamento verso il rosso: DescribeHsmClientCertificates spostamento verso il rosso: DescribeHsmConfigurations spostamento verso il rosso: DescribeInboundIntegrations spostamento verso il rosso: DescribeIntegrations spostamento verso il rosso: DescribeLoggingStatus spostamento verso il rosso: DescribeNodeConfigurationOptions spostamento verso il rosso: DescribeOrderableClusterOptions spostamento verso il rosso: DescribePartners spostamento verso il rosso: DescribeRedshiftIdcApplications spostamento verso il rosso: DescribeReservedNodeExchangeStatus spostamento verso il rosso: DescribeReservedNodeOfferings spostamento verso il rosso: DescribeReservedNodes spostamento verso il rosso: DescribeResize spostamento verso il rosso: DescribeScheduledActions spostamento verso il rosso: DescribeSnapshotCopyGrants spostamento verso il rosso: DescribeSnapshotSchedules spostamento verso il rosso: DescribeStorage spostamento verso il rosso: DescribeTableRestoreStatus spostamento verso il rosso: DescribeUsageLimits spostamento verso il rosso: DisableLogging spostamento verso il rosso: DisableSnapshotCopy spostamento verso il rosso: DisassociateDataShareConsumer spostamento verso il rosso: EnableLogging spostamento verso il rosso: EnableSnapshotCopy spostamento verso il rosso: FailoverPrimaryCompute spostamento verso il rosso: GetClusterCredentials redshift: IAM GetClusterCredentialsWith spostamento verso il rosso: GetIdentityCenterAuthToken spostamento verso il rosso: GetReservedNodeExchangeConfigurationOptions spostamento verso il rosso: GetReservedNodeExchangeOfferings spostamento verso il rosso: GetResourcePolicy spostamento verso il rosso: ListRecommendations spostamento verso il rosso: ModifyAquaConfiguration spostamento verso il rosso: ModifyAuthenticationProfile spostamento verso il rosso: ModifyCluster spostamento verso il rosso: ModifyClusterDbRevision spostamento verso il rosso: ModifyClusterIamRoles spostamento verso il rosso: ModifyClusterMaintenance spostamento verso il rosso: ModifyClusterParameterGroup spostamento verso il rosso: ModifyClusterSnapshot spostamento verso il rosso: ModifyClusterSnapshotSchedule spostamento verso il rosso: ModifyClusterSubnetGroup spostamento verso il rosso: ModifyCustomDomainAssociation spostamento verso il rosso: ModifyEndpointAccess spostamento verso il rosso: ModifyEventSubscription spostamento verso il rosso: ModifyRedshiftIdcApplication spostamento verso il rosso: ModifyScheduledAction spostamento verso il rosso: ModifySnapshotCopyRetentionPeriod spostamento verso il rosso: ModifySnapshotSchedule spostamento verso il rosso: ModifyUsageLimit spostamento verso il rosso: PauseCluster spostamento verso il rosso: PurchaseReservedNodeOffering spostamento verso il rosso: PutResourcePolicy spostamento verso il rosso: RebootCluster spostamento verso il rosso: RegisterNamespace spostamento verso il rosso: RejectDataShare spostamento verso il rosso: ResetClusterParameterGroup spostamento verso il rosso: ResizeCluster spostamento verso il rosso: RestoreFromClusterSnapshot spostamento verso il rosso: RestoreTableFromClusterSnapshot spostamento verso il rosso: ResumeCluster spostamento verso il rosso: RevokeClusterSecurityGroupIngress spostamento verso il rosso: RevokeEndpointAccess spostamento verso il rosso: RevokeSnapshotAccess spostamento verso il rosso: RotateEncryptionKey spostamento verso il rosso: UpdatePartnerStatus  | 
| redshift-data |  dati redshift: BatchExecuteStatement dati redshift: CancelStatement dati redshift: DescribeStatement dati redshift: DescribeTable dati redshift: ExecuteStatement dati redshift: GetStatementResult dati redshift: ListDatabases dati redshift: ListSchemas dati redshift: ListStatements dati redshift: ListTables  | 
| refactor-spaces |  spazi refactorici: CreateApplication spazi di refattore: CreateEnvironment spazi di refattore: CreateRoute spazi di refattore: CreateService spazi di refattore: DeleteApplication spazi di refattore: DeleteEnvironment spazi di refattore: DeleteResourcePolicy spazi di refattore: DeleteRoute spazi di refattore: DeleteService spazi di refattore: GetApplication spazi di refattore: GetEnvironment spazi di refattore: GetResourcePolicy spazi di refattore: GetRoute spazi di refattore: GetService spazi di refattore: ListApplications spazi di refattore: ListEnvironmentVpcs spazi di refattore: ListEnvironments spazi di refattore: ListRoutes spazi di refattore: ListServices spazi di refattore: PutResourcePolicy spazi di refattore: UpdateRoute  | 
| rekognition |  riconoscimento: AssociateFaces riconoscimento: CompareFaces riconoscimento: CopyProjectVersion riconoscimento: CreateCollection riconoscimento: CreateDataset riconoscimento: CreateFaceLivenessSession riconoscimento: CreateProject riconoscimento: CreateProjectVersion riconoscimento: CreateStreamProcessor riconoscimento: CreateUser riconoscimento: DeleteCollection riconoscimento: DeleteDataset riconoscimento: DeleteFaces riconoscimento: DeleteProject riconoscimento: DeleteProjectPolicy riconoscimento: DeleteProjectVersion riconoscimento: DeleteStreamProcessor riconoscimento: DeleteUser riconoscimento: DescribeCollection riconoscimento: DescribeDataset riconoscimento: DescribeProjectVersions riconoscimento: DescribeProjects riconoscimento: DescribeStreamProcessor riconoscimento: DetectCustomLabels riconoscimento: DetectFaces riconoscimento: DetectLabels riconoscimento: DetectModerationLabels riconoscimento: DetectProtectiveEquipment riconoscimento: DetectText riconoscimento: DisassociateFaces riconoscimento: DistributeDatasetEntries riconoscimento: GetCelebrityInfo riconoscimento: GetCelebrityRecognition riconoscimento: GetContentModeration riconoscimento: GetFaceDetection riconoscimento: GetFaceLivenessSessionResults riconoscimento: GetFaceSearch riconoscimento: GetLabelDetection riconoscimento: GetMediaAnalysisJob riconoscimento: GetPersonTracking riconoscimento: GetSegmentDetection riconoscimento: GetTextDetection riconoscimento: IndexFaces riconoscimento: ListCollections riconoscimento: ListDatasetEntries riconoscimento: ListDatasetLabels riconoscimento: ListFaces riconoscimento: ListMediaAnalysisJobs riconoscimento: ListProjectPolicies riconoscimento: ListStreamProcessors riconoscimento: ListUsers riconoscimento: PutProjectPolicy riconoscimento: RecognizeCelebrities riconoscimento: SearchFaces riconoscimento: SearchFacesByImage riconoscimento: SearchUsers riconoscimento: SearchUsersByImage riconoscimento: StartCelebrityRecognition riconoscimento: StartContentModeration riconoscimento: StartFaceDetection riconoscimento: StartFaceLivenessSession riconoscimento: StartFaceSearch riconoscimento: StartLabelDetection riconoscimento: StartMediaAnalysisJob riconoscimento: StartPersonTracking riconoscimento: StartProjectVersion riconoscimento: StartSegmentDetection riconoscimento: StartStreamProcessor riconoscimento: StartTextDetection riconoscimento: StopProjectVersion riconoscimento: StopStreamProcessor riconoscimento: UpdateDatasetEntries riconoscimento: UpdateStreamProcessor  | 
| resiliencehub |  hub di resilienza: AcceptResourceGroupingRecommendations hub di resilienza: AddDraftAppVersionResourceMappings hub di resilienza: BatchUpdateRecommendationStatus hub di resilienza: CreateApp hub di resilienza: CreateAppVersionAppComponent hub di resilienza: CreateAppVersionResource hub di resilienza: CreateRecommendationTemplate hub di resilienza: CreateResiliencyPolicy hub di resilienza: DeleteApp hub di resilienza: DeleteAppAssessment hub di resilienza: DeleteAppInputSource hub di resilienza: DeleteAppVersionAppComponent hub di resilienza: DeleteAppVersionResource hub di resilienza: DeleteRecommendationTemplate hub di resilienza: DeleteResiliencyPolicy hub di resilienza: DescribeApp hub di resilienza: DescribeAppAssessment hub di resilienza: DescribeAppVersion hub di resilienza: DescribeAppVersionAppComponent hub di resilienza: DescribeAppVersionResource hub di resilienza: DescribeAppVersionResourcesResolutionStatus hub di resilienza: DescribeAppVersionTemplate hub di resilienza: DescribeDraftAppVersionResourcesImportStatus hub di resilienza: DescribeMetricsExport hub di resilienza: DescribeResiliencyPolicy hub di resilienza: DescribeResourceGroupingRecommendationTask hub di resilienza: ImportResourcesToDraftAppVersion hub di resilienza: ListAlarmRecommendations hub di resilienza: ListAppAssessmentComplianceDrifts hub di resilienza: ListAppAssessmentResourceDrifts hub di resilienza: ListAppAssessments hub di resilienza: ListAppComponentCompliances hub di resilienza: ListAppComponentRecommendations hub di resilienza: ListAppInputSources hub di resilienza: ListAppVersionAppComponents hub di resilienza: ListAppVersionResourceMappings hub di resilienza: ListAppVersionResources hub di resilienza: ListAppVersions hub di resilienza: ListApps hub di resilienza: ListMetrics hub di resilienza: ListRecommendationTemplates hub di resilienza: ListResiliencyPolicies hub di resilienza: ListResourceGroupingRecommendations hub di resilienza: ListSopRecommendations hub di resilienza: ListSuggestedResiliencyPolicies hub di resilienza: ListTestRecommendations hub di resilienza: ListUnsupportedAppVersionResources hub di resilienza: PublishAppVersion hub di resilienza: PutDraftAppVersionTemplate hub di resilienza: RejectResourceGroupingRecommendations hub di resilienza: RemoveDraftAppVersionResourceMappings hub di resilienza: ResolveAppVersionResources hub di resilienza: StartAppAssessment hub di resilienza: StartResourceGroupingRecommendationTask hub di resilienza: UpdateApp hub di resilienza: UpdateAppVersion hub di resilienza: UpdateAppVersionAppComponent hub di resilienza: UpdateAppVersionResource hub di resilienza: UpdateResiliencyPolicy  | 
| resource-explorer-2 |  resource-explorer-2: AssociateDefaultView esploratore-risorsa-2: BatchGetView esploratore-risorsa-2: CreateIndex esploratore-risorsa-2: CreateResourceExplorerSetup esploratore-risorsa-2: CreateView esploratore-risorsa-2: DeleteIndex esploratore-risorsa-2: DeleteResourceExplorerSetup esploratore-risorsa-2: DeleteView esploratore-risorsa-2: DisassociateDefaultView esploratore-risorsa-2: GetAccountLevelServiceConfiguration esploratore-risorsa-2: GetDefaultView esploratore-risorsa-2: GetIndex esploratore-risorsa-2: GetManagedView esploratore-risorsa-2: GetResourceExplorerSetup esploratore-risorsa-2: GetServiceIndex esploratore-risorsa-2: GetServiceView esploratore-risorsa-2: ListIndexes esploratore-risorsa-2: ListIndexesForMembers esploratore-risorsa-2: ListManagedViews esploratore-risorsa-2: ListServiceIndexes esploratore-risorsa-2: ListServiceViews esploratore-risorsa-2: ListStreamingAccessForServices esploratore-risorsa-2: ListSupportedResourceTypes esploratore-risorsa-2: ListViews resource-explorer-2:Search esploratore-risorsa-2: UpdateIndexType esploratore-risorsa-2: UpdateView  | 
| resource-groups |  gruppi di risorse: CancelTagSyncTask gruppi di risorse: GetAccountSettings gruppi di risorse: GetGroup gruppi di risorse: GetGroupConfiguration gruppi di risorse: GetGroupQuery gruppi di risorse: GetTagSyncTask gruppi di risorse: GroupResources gruppi di risorse: ListGroupResources gruppi di risorse: ListGroupingStatuses gruppi di risorse: ListGroups gruppi di risorse: ListTagSyncTasks gruppi di risorse: PutGroupConfiguration gruppi di risorse: SearchResources gruppi di risorse: StartTagSyncTask gruppi di risorse: UngroupResources gruppi di risorse: UpdateAccountSettings gruppi di risorse: UpdateGroup gruppi di risorse: UpdateGroupQuery  | 
| robomaker |  robomaker: BatchDeleteWorlds robomaker: BatchDescribeSimulationJob robomaker: CancelDeploymentJob robomaker: CancelSimulationJob robomaker: CancelSimulationJobBatch robomaker: CancelWorldExportJob robomaker: CancelWorldGenerationJob robomaker: CreateDeploymentJob robomaker: CreateFleet robomaker: CreateRobot robomaker: CreateRobotApplication robomaker: CreateRobotApplicationVersion robomaker: CreateSimulationApplication robomaker: CreateSimulationApplicationVersion robomaker: CreateSimulationJob robomaker: CreateWorldExportJob robomaker: CreateWorldGenerationJob robomaker: CreateWorldTemplate robomaker: DeleteFleet robomaker: DeleteRobot robomaker: DeleteRobotApplication robomaker: DeleteSimulationApplication robomaker: DeleteWorldTemplate robomaker: DeregisterRobot robomaker: DescribeDeploymentJob robomaker: DescribeFleet robomaker: DescribeRobot robomaker: DescribeRobotApplication robomaker: DescribeSimulationApplication robomaker: DescribeSimulationJob robomaker: DescribeSimulationJobBatch robomaker: DescribeWorld robomaker: DescribeWorldExportJob robomaker: DescribeWorldGenerationJob robomaker: DescribeWorldTemplate robomaker: GetWorldTemplateBody robomaker: ListDeploymentJobs robomaker: ListFleets robomaker: ListRobotApplications robomaker: ListRobots robomaker: ListSimulationApplications robomaker: ListSimulationJobBatches robomaker: ListSimulationJobs robomaker: ListWorldExportJobs robomaker: ListWorldGenerationJobs robomaker: ListWorldTemplates robomaker: ListWorlds robomaker: RegisterRobot robomaker: RestartSimulationJob robomaker: StartSimulationJobBatch robomaker: SyncDeploymentJob robomaker: UpdateRobotApplication robomaker: UpdateSimulationApplication robomaker: UpdateWorldTemplate  | 
| rolesanywhere |  ruoli ovunque: CreateProfile ruoli ovunque: CreateTrustAnchor ruoli ovunque: DeleteAttributeMapping ruoli ovunque: DeleteCrl ruoli ovunque: DeleteProfile ruoli ovunque: DeleteTrustAnchor ruoli ovunque: DisableCrl ruoli ovunque: DisableProfile ruoli ovunque: DisableTrustAnchor ruoli ovunque: EnableCrl ruoli ovunque: EnableProfile ruoli ovunque: EnableTrustAnchor ruoli ovunque: GetCrl ruoli ovunque: GetProfile ruoli ovunque: GetSubject ruoli ovunque: GetTrustAnchor ruoli ovunque: ImportCrl ruoli ovunque: ListCrls ruoli ovunque: ListProfiles ruoli ovunque: ListSubjects ruoli ovunque: ListTrustAnchors ruoli ovunque: PutAttributeMapping ruoli ovunque: PutNotificationSettings ruoli ovunque: ResetNotificationSettings ruoli ovunque: UpdateCrl ruoli ovunque: UpdateProfile ruoli ovunque: UpdateTrustAnchor  | 
| route53 |  percorso 53: ActivateKeySigningKey percorso 53: associa VPCWith HostedZone percorso 53: ChangeCidrCollection percorso 53: ChangeResourceRecordSets percorso 53: CreateCidrCollection percorso 53: CreateHealthCheck percorso 53: CreateHostedZone percorso 53: CreateKeySigningKey percorso 53: CreateQueryLoggingConfig percorso 53: CreateReusableDelegationSet percorso 53: CreateTrafficPolicy percorso 53: CreateTrafficPolicyInstance percorso 53: CreateTrafficPolicyVersion route53: creazione di autorizzazione VPCAssociation percorso 53: DeactivateKeySigningKey percorso 53: DeleteCidrCollection percorso 53: DeleteHealthCheck percorso 53: DeleteHostedZone percorso 53: DeleteKeySigningKey percorso 53: DeleteQueryLoggingConfig percorso 53: DeleteReusableDelegationSet percorso 53: DeleteTrafficPolicy percorso 53: DeleteTrafficPolicyInstance route53: autorizzazione di eliminazione VPCAssociation route53: DNSSEC DisableHostedZone Route 53: dissociarsi VPCFrom HostedZone route 53: DNSSEC EnableHostedZone percorso 53: GetAccountLimit percorso 53: GetChange percorso 53: GetCheckerIpRanges route53:GetDNSSEC percorso 53: GetGeoLocation percorso 53: GetHealthCheck percorso 53: GetHealthCheckCount percorso 53: GetHealthCheckLastFailureReason percorso 53: GetHealthCheckStatus percorso 53: GetHostedZone percorso 53: GetHostedZoneCount percorso 53: GetHostedZoneLimit percorso 53: GetQueryLoggingConfig percorso 53: GetReusableDelegationSet percorso 53: GetReusableDelegationSetLimit percorso 53: GetTrafficPolicy percorso 53: GetTrafficPolicyInstance percorso 53: GetTrafficPolicyInstanceCount percorso 53: ListCidrBlocks percorso 53: ListCidrCollections percorso 53: ListCidrLocations percorso 53: ListGeoLocations percorso 53: ListHealthChecks percorso 53: ListHostedZones percorso 53: ListHostedZonesByName route 53: VPC ListHostedZonesBy percorso 53: ListQueryLoggingConfigs percorso 53: ListResourceRecordSets percorso 53: ListReusableDelegationSets percorso 53: ListTrafficPolicies percorso 53: ListTrafficPolicyInstances percorso 53: ListTrafficPolicyInstancesByHostedZone percorso 53: ListTrafficPolicyInstancesByPolicy percorso 53: ListTrafficPolicyVersions route53: elenca le autorizzazioni VPCAssociation Route 53: test DNSAnswer percorso 53: UpdateHealthCheck percorso 53: UpdateHostedZoneComment percorso 53: UpdateTrafficPolicyComment percorso 53: UpdateTrafficPolicyInstance  | 
| percorso 53 - recovery-control-config |  percorso 53 -: recovery-control-config CreateCluster percorso 53 -: recovery-control-config CreateControlPanel percorso 53 -: recovery-control-config CreateRoutingControl percorso 53 -: recovery-control-config CreateSafetyRule percorso 53 -: recovery-control-config DeleteCluster percorso 53 -: recovery-control-config DeleteControlPanel percorso 53 -: recovery-control-config DeleteRoutingControl percorso 53 -: recovery-control-config DeleteSafetyRule percorso 53 -: recovery-control-config DescribeCluster percorso 53 -: recovery-control-config DescribeControlPanel percorso 53 -: recovery-control-config DescribeRoutingControl percorso 53 -: recovery-control-config DescribeSafetyRule percorso 53 -: recovery-control-config GetResourcePolicy percorso 53 -: 53 recovery-control-config ListAssociatedRoute HealthChecks percorso 53 -: recovery-control-config ListClusters percorso 53 -: recovery-control-config ListControlPanels percorso 53 -: recovery-control-config ListRoutingControls percorso 53 -: recovery-control-config ListSafetyRules percorso 53 -: recovery-control-config UpdateCluster percorso 53 -: recovery-control-config UpdateControlPanel percorso 53 -: recovery-control-config UpdateRoutingControl percorso 53 -: recovery-control-config UpdateSafetyRule  | 
| route53-recovery-readiness |  route53 - predisposizione al ripristino: CreateCell predisposizione al ripristino del route53: CreateCrossAccountAuthorization predisposizione al ripristino del route53: CreateReadinessCheck predisposizione al ripristino del route53: CreateRecoveryGroup predisposizione al ripristino del route53: CreateResourceSet predisposizione al ripristino del route53: DeleteCell predisposizione al ripristino del route53: DeleteCrossAccountAuthorization predisposizione al ripristino del route53: DeleteReadinessCheck predisposizione al ripristino del route53: DeleteRecoveryGroup predisposizione al ripristino del route53: DeleteResourceSet predisposizione al ripristino del route53: GetArchitectureRecommendations predisposizione al ripristino del route53: GetCell predisposizione al ripristino del route53: GetCellReadinessSummary predisposizione al ripristino del route53: GetReadinessCheck predisposizione al ripristino del route53: GetReadinessCheckResourceStatus predisposizione al ripristino del route53: GetReadinessCheckStatus predisposizione al ripristino del route53: GetRecoveryGroup predisposizione al ripristino del route53: GetRecoveryGroupReadinessSummary predisposizione al ripristino del route53: GetResourceSet predisposizione al ripristino del route53: ListCells predisposizione al ripristino del route53: ListCrossAccountAuthorizations predisposizione al ripristino del route53: ListReadinessChecks predisposizione al ripristino del route53: ListRecoveryGroups predisposizione al ripristino del route53: ListResourceSets predisposizione al ripristino del route53: ListRules predisposizione al ripristino del route53: UpdateCell predisposizione al ripristino del route53: UpdateReadinessCheck predisposizione al ripristino del route53: UpdateRecoveryGroup predisposizione al ripristino del route53: UpdateResourceSet  | 
| route53resolver |  resolver route53: AssociateFirewallRuleGroup resolver route53: AssociateResolverEndpointIpAddress resolver route53: AssociateResolverQueryLogConfig resolver route53: AssociateResolverRule resolver route53: CreateFirewallDomainList resolver route53: CreateFirewallRule resolver route53: CreateFirewallRuleGroup resolver route53: CreateResolverEndpoint resolver route53: CreateResolverQueryLogConfig resolver route53: CreateResolverRule resolver route53: DeleteFirewallDomainList resolver route53: DeleteFirewallRule resolver route53: DeleteFirewallRuleGroup resolver route53: DeleteOutpostResolver resolver route53: DeleteResolverEndpoint resolver route53: DeleteResolverQueryLogConfig resolver route53: DeleteResolverRule resolver route53: DisassociateFirewallRuleGroup resolver route53: DisassociateResolverEndpointIpAddress resolver route53: DisassociateResolverQueryLogConfig resolver route53: DisassociateResolverRule resolver route53: GetFirewallConfig resolver route53: GetFirewallDomainList resolver route53: GetFirewallRuleGroup resolver route53: GetFirewallRuleGroupAssociation resolver route53: GetFirewallRuleGroupPolicy resolver route53: GetOutpostResolver resolver route53: GetResolverConfig resolver route53: GetResolverDnssecConfig resolver route53: GetResolverEndpoint resolver route53: GetResolverQueryLogConfig resolver route53: GetResolverQueryLogConfigAssociation resolver route53: GetResolverQueryLogConfigPolicy resolver route53: GetResolverRule resolver route53: GetResolverRuleAssociation resolver route53: GetResolverRulePolicy resolver route53: ImportFirewallDomains resolver route53: ListFirewallConfigs resolver route53: ListFirewallDomainLists resolver route53: ListFirewallDomains resolver route53: ListFirewallRuleGroupAssociations resolver route53: ListFirewallRuleGroups resolver route53: ListFirewallRules resolver route53: ListOutpostResolvers resolver route53: ListResolverConfigs resolver route53: ListResolverDnssecConfigs resolver route53: ListResolverEndpointIpAddresses resolver route53: ListResolverEndpoints resolver route53: ListResolverQueryLogConfigAssociations resolver route53: ListResolverQueryLogConfigs resolver route53: ListResolverRuleAssociations resolver route53: ListResolverRules resolver route53: PutFirewallRuleGroupPolicy resolver route53: PutResolverQueryLogConfigPolicy resolver route53: UpdateFirewallConfig resolver route53: UpdateFirewallDomains resolver route53: UpdateFirewallRule resolver route53: UpdateFirewallRuleGroupAssociation resolver route53: UpdateOutpostResolver resolver route53: UpdateResolverConfig resolver route53: UpdateResolverDnssecConfig resolver route53: UpdateResolverEndpoint resolver route53: UpdateResolverRule  | 
| rum |  tamburo: BatchCreateRumMetricDefinitions rum: BatchDeleteRumMetricDefinitions rum: BatchGetRumMetricDefinitions rum: CreateAppMonitor rum: DeleteAppMonitor rum: DeleteResourcePolicy rum: DeleteRumMetricsDestination rum: GetAppMonitor rum: GetAppMonitorData rum: GetResourcePolicy rum: ListAppMonitors rum: ListRumMetricsDestinations rum: PutResourcePolicy rum: PutRumMetricsDestination rum: UpdateAppMonitor rum: UpdateRumMetricDefinition  | 
| s3 |  s3: AssociateAccessGrantsIdentityCenter s3: CreateAccessGrant s3: CreateAccessGrantsInstance s3: CreateAccessGrantsLocation s3: CreateAccessPoint s3: CreateAccessPointForObjectLambda s3: CreateBucket s3: CreateBucketMetadataTableConfiguration s3: CreateJob s3: CreateMultiRegionAccessPoint s3: DeleteAccessGrant s3: DeleteAccessGrantsInstance s3: DeleteAccessGrantsInstanceResourcePolicy s3: DeleteAccessGrantsLocation s3: DeleteAccessPoint s3: DeleteAccessPointForObjectLambda s3: DeleteAccessPointPolicy s3: DeleteAccessPointPolicyForObjectLambda s3: DeleteBucket s3: DeleteBucketMetadataTableConfiguration s3: DeleteBucketPolicy s3: DeleteBucketWebsite s3: DeleteMultiRegionAccessPoint s3: DeleteStorageLensConfiguration s3: DescribeJob s3: DescribeMultiRegionAccessPointOperation s3: DissociateAccessGrantsIdentityCenter s3: GetAccelerateConfiguration s3: GetAccessGrant s3: GetAccessGrantsInstance s3: GetAccessGrantsInstanceForPrefix s3: GetAccessGrantsInstanceResourcePolicy s3: GetAccessGrantsLocation s3: GetAccessPoint s3: GetAccessPointConfigurationForObjectLambda s3: GetAccessPointForObjectLambda s3: GetAccessPointPolicy s3: GetAccessPointPolicyForObjectLambda s3: GetAccessPointPolicyStatus s3: GetAccessPointPolicyStatusForObjectLambda s3: GetAccountPublicAccessBlock s3: GetAnalyticsConfiguration s3: GetBucketAbac s3: GetBucketAcl s3: NUCLEO GetBucket s3: GetBucketLocation s3: GetBucketLogging s3: GetBucketNotification s3: GetBucketObjectLockConfiguration s3: GetBucketOwnershipControls s3: GetBucketPolicy s3: GetBucketPolicyStatus s3: GetBucketPublicAccessBlock s3: GetBucketRequestPayment s3: GetBucketVersioning s3: GetBucketWebsite s3: GetDataAccess s3: GetEncryptionConfiguration s3: GetIntelligentTieringConfiguration s3: GetInventoryConfiguration s3: GetLifecycleConfiguration s3: GetMetricsConfiguration s3: GetMultiRegionAccessPoint s3: GetMultiRegionAccessPointPolicy s3: GetMultiRegionAccessPointPolicyStatus s3: GetMultiRegionAccessPointRoutes s3: GetReplicationConfiguration s3: GetStorageLensConfiguration s3: GetStorageLensDashboard s3: ListAccessGrants s3: ListAccessGrantsInstances s3: ListAccessGrantsLocations s3: ListAccessPoints s3: ListAccessPointsForObjectLambda s3: ListAllMyBuckets s3: ListBucketMultipartUploads s3: ListCallerAccessGrants s3: ListJobs s3: ListMultiRegionAccessPoints s3: ListStorageLensConfigurations s3: PutAccelerateConfiguration s3: PutAccessGrantsInstanceResourcePolicy s3: PutAccessPointConfigurationForObjectLambda s3: PutAccessPointPolicy s3: PutAccessPointPolicyForObjectLambda s3: PutAccountPublicAccessBlock s3: PutAnalyticsConfiguration s3: PutBucketAbac s3: PutBucketAcl s3: NUCLEO PutBucket s3: PutBucketLogging s3: PutBucketNotification s3: PutBucketObjectLockConfiguration s3: PutBucketOwnershipControls s3: PutBucketPolicy s3: PutBucketPublicAccessBlock s3: PutBucketRequestPayment s3: PutBucketVersioning s3: PutBucketWebsite s3: PutEncryptionConfiguration s3: PutIntelligentTieringConfiguration s3: PutInventoryConfiguration s3: PutLifecycleConfiguration s3: PutMetricsConfiguration s3: PutMultiRegionAccessPointPolicy s3: PutReplicationConfiguration s3: PutStorageLensConfiguration s3: SubmitMultiRegionAccessPointRoutes s3: UpdateAccessGrantsLocation s3: UpdateBucketMetadataJournalTableConfiguration s3: UpdateJobPriority s3: UpdateJobStatus  | 
| s3-outposts |  avamposti s3: CreateEndpoint avamposti s3: DeleteEndpoint avamposti s3: ListEndpoints avamposti s3: S3 ListOutpostsWith avamposti s3: ListSharedEndpoints  | 
| sagemaker-geospatial |  sagemaker geospaziale: DeleteEarthObservationJob sagemaker geospaziale: DeleteVectorEnrichmentJob sagemaker geospaziale: ExportEarthObservationJob sagemaker geospaziale: ExportVectorEnrichmentJob sagemaker geospaziale: GetEarthObservationJob sagemaker geospaziale: GetRasterDataCollection sagemaker geospaziale: GetTile sagemaker geospaziale: GetVectorEnrichmentJob sagemaker geospaziale: ListEarthObservationJobs sagemaker geospaziale: ListRasterDataCollections sagemaker geospaziale: ListVectorEnrichmentJobs sagemaker geospaziale: SearchRasterDataCollection sagemaker geospaziale: StartEarthObservationJob sagemaker geospaziale: StartVectorEnrichmentJob sagemaker geospaziale: StopEarthObservationJob sagemaker geospaziale: StopVectorEnrichmentJob  | 
| savingsplans |  piani di risparmio: CreateSavingsPlan piani di risparmio: DeleteQueuedSavingsPlan piani di risparmio: DescribeSavingsPlanRates piani di risparmio: DescribeSavingsPlans piani di risparmio: DescribeSavingsPlansOfferingRates piani di risparmio: DescribeSavingsPlansOfferings piani di risparmio: ReturnSavingsPlan  | 
| schemas |  schemi: CreateDiscoverer schemi: CreateRegistry schemi: CreateSchema schemi: DeleteDiscoverer schemi: DeleteRegistry schemi: DeleteResourcePolicy schemi: DeleteSchema schemi: DeleteSchemaVersion schemi: DescribeCodeBinding schemi: DescribeDiscoverer schemi: DescribeRegistry schemi: DescribeSchema schemi: ExportSchema schemi: GetCodeBindingSource schemi: GetDiscoveredSchema schemi: GetResourcePolicy schemi: ListDiscoverers schemi: ListRegistries schemi: ListSchemaVersions schemi: ListSchemas schemi: PutCodeBinding schemi: PutResourcePolicy schemi: SearchSchemas schemi: StartDiscoverer schemi: StopDiscoverer schemi: UpdateDiscoverer schemi: UpdateRegistry schemi: UpdateSchema  | 
| sdb |  sdb: CreateDomain sdb: DeleteDomain sdb: DomainMetadata sdb: ListDomains  | 
| secretsmanager |  gestore dei segreti: CancelRotateSecret gestore dei segreti: CreateSecret gestore dei segreti: DeleteResourcePolicy gestore dei segreti: DeleteSecret gestore dei segreti: DescribeSecret gestore dei segreti: GetRandomPassword gestore dei segreti: GetResourcePolicy gestore dei segreti: GetSecretValue gestore dei segreti: ListSecretVersionIds gestore dei segreti: ListSecrets gestore dei segreti: PutResourcePolicy gestore dei segreti: PutSecretValue gestore dei segreti: RemoveRegionsFromReplication gestore dei segreti: ReplicateSecretToRegions gestore dei segreti: RestoreSecret gestore dei segreti: RotateSecret gestore dei segreti: StopReplicationToReplica gestore dei segreti: UpdateSecret gestore dei segreti: ValidateResourcePolicy  | 
| securityhub |  hub di sicurezza: AcceptAdministratorInvitation hub di sicurezza: AcceptInvitation hub di sicurezza: BatchDeleteAutomationRules hub di sicurezza: BatchDisableStandards hub di sicurezza: BatchEnableStandards hub di sicurezza: BatchGetAutomationRules hub di sicurezza: BatchGetConfigurationPolicyAssociations hub di sicurezza: BatchGetSecurityControls hub di sicurezza: BatchGetStandardsControlAssociations hub di sicurezza: BatchImportFindings hub di sicurezza: BatchUpdateAutomationRules hub di sicurezza: BatchUpdateFindings hub di sicurezza: BatchUpdateStandardsControlAssociations hub di sicurezza: V2 ConnectorRegistrations hub di sicurezza: CreateActionTarget hub di sicurezza: V2 CreateAggregator hub di sicurezza: CreateAutomationRule hub di sicurezza: V2 CreateAutomationRule hub di sicurezza: CreateConfigurationPolicy hub di sicurezza: V2 CreateConnector hub di sicurezza: CreateFindingAggregator hub di sicurezza: CreateInsight hub di sicurezza: CreateMembers hub di sicurezza: V2 CreateTicket hub di sicurezza: DeclineInvitations hub di sicurezza: DeleteActionTarget hub di sicurezza: V2 DeleteAggregator hub di sicurezza: V2 DeleteAutomationRule hub di sicurezza: DeleteConfigurationPolicy hub di sicurezza: V2 DeleteConnector hub di sicurezza: DeleteFindingAggregator hub di sicurezza: DeleteInsight hub di sicurezza: DeleteInvitations hub di sicurezza: DeleteMembers hub di sicurezza: DescribeActionTargets hub di sicurezza: DescribeHub hub di sicurezza: DescribeOrganizationConfiguration hub di sicurezza: DescribeProducts hub di sicurezza: V2 DescribeSecurityHub hub di sicurezza: DescribeStandards hub di sicurezza: DisableImportFindingsForProduct hub di sicurezza: DisableOrganizationAdminAccount hub di sicurezza: DisableSecurityHub hub di sicurezza: V2 DisableSecurityHub hub di sicurezza: DisassociateFromAdministratorAccount hub di sicurezza: DisassociateFromMasterAccount hub di sicurezza: DisassociateMembers hub di sicurezza: EnableImportFindingsForProduct hub di sicurezza: EnableOrganizationAdminAccount hub di sicurezza: EnableSecurityHub hub di sicurezza: GetAdministratorAccount hub di sicurezza: V2 GetAggregator hub di sicurezza: V2 GetAutomationRule hub di sicurezza: GetConfigurationPolicy hub di sicurezza: GetConfigurationPolicyAssociation hub di sicurezza: V2 GetConnector hub di sicurezza: GetEnabledStandards hub di sicurezza: GetFindingAggregator hub di sicurezza: GetFindingHistory hub di sicurezza: GetFindings hub di sicurezza: GetInsightResults hub di sicurezza: GetInsights hub di sicurezza: GetInvitationsCount hub di sicurezza: GetMasterAccount hub di sicurezza: GetMembers hub di sicurezza: GetSecurityControlDefinition hub di sicurezza: InviteMembers hub di sicurezza: V2 ListAggregators hub di sicurezza: ListAutomationRules hub di sicurezza: V2 ListAutomationRules hub di sicurezza: ListConfigurationPolicies hub di sicurezza: ListConfigurationPolicyAssociations hub di sicurezza: V2 ListConnectors hub di sicurezza: ListEnabledProductsForImport hub di sicurezza: ListFindingAggregators hub di sicurezza: ListInvitations hub di sicurezza: ListMembers hub di sicurezza: ListOrganizationAdminAccounts hub di sicurezza: ListSecurityControlDefinitions hub di sicurezza: ListStandardsControlAssociations hub di sicurezza: StartConfigurationPolicyAssociation hub di sicurezza: StartConfigurationPolicyDisassociation hub di sicurezza: UpdateActionTarget hub di sicurezza: V2 UpdateAggregator hub di sicurezza: V2 UpdateAutomationRule hub di sicurezza: UpdateConfigurationPolicy hub di sicurezza: V2 UpdateConnector hub di sicurezza: UpdateFindingAggregator hub di sicurezza: UpdateFindings hub di sicurezza: UpdateInsight hub di sicurezza: UpdateOrganizationConfiguration hub di sicurezza: UpdateSecurityControl hub di sicurezza: UpdateSecurityHubConfiguration  | 
| securitylake |  lago di sicurezza: CreateAwsLogSource lago di sicurezza: CreateCustomLogSource lago di sicurezza: CreateDataLakeExceptionSubscription lago di sicurezza: CreateDataLakeOrganizationConfiguration lago di sicurezza: CreateSubscriber lago di sicurezza: CreateSubscriberNotification lago di sicurezza: DeleteAwsLogSource lago di sicurezza: DeleteCustomLogSource lago di sicurezza: DeleteDataLakeExceptionSubscription lago di sicurezza: DeleteDataLakeOrganizationConfiguration lago di sicurezza: DeleteSubscriber lago di sicurezza: DeleteSubscriberNotification lago di sicurezza: DeregisterDataLakeDelegatedAdministrator lago di sicurezza: GetDataLakeExceptionSubscription lago di sicurezza: GetDataLakeOrganizationConfiguration lago di sicurezza: GetDataLakeSources lago di sicurezza: GetSubscriber lago di sicurezza: ListDataLakes lago di sicurezza: ListLogSources lago di sicurezza: ListSubscribers lago di sicurezza: RegisterDataLakeDelegatedAdministrator lago di sicurezza: UpdateDataLakeExceptionSubscription lago di sicurezza: UpdateSubscriber lago di sicurezza: UpdateSubscriberNotification  | 
| serverlessrepo |  repository senza server: CreateApplication repository senza server: CreateApplicationVersion repository senza server: CreateCloudFormationChangeSet repository senza server: CreateCloudFormationTemplate repository senza server: DeleteApplication repository senza server: GetApplication repository senza server: GetApplicationPolicy repository senza server: GetCloudFormationTemplate repository senza server: ListApplicationDependencies repository senza server: ListApplicationVersions repository senza server: ListApplications repository senza server: PutApplicationPolicy repository senza server: UnshareApplication repository senza server: UpdateApplication  | 
| servicecatalog |  catalogo dei servizi: AcceptPortfolioShare catalogo dei servizi: AssociateBudgetWithResource catalogo dei servizi: AssociatePrincipalWithPortfolio catalogo dei servizi: AssociateProductWithPortfolio catalogo dei servizi: AssociateServiceActionWithProvisioningArtifact catalogo dei servizi: BatchAssociateServiceActionWithProvisioningArtifact catalogo dei servizi: BatchDisassociateServiceActionFromProvisioningArtifact catalogo dei servizi: CopyProduct catalogo dei servizi: CreateAttributeGroup catalogo dei servizi: CreateConstraint catalogo dei servizi: CreatePortfolio catalogo dei servizi: CreatePortfolioShare catalogo dei servizi: CreateProduct catalogo dei servizi: CreateProvisionedProductPlan catalogo dei servizi: CreateProvisioningArtifact catalogo dei servizi: CreateServiceAction catalogo dei servizi: DeleteAttributeGroup catalogo dei servizi: DeleteConstraint catalogo dei servizi: DeletePortfolio catalogo dei servizi: DeletePortfolioShare catalogo dei servizi: DeleteProduct catalogo dei servizi: DeleteProvisionedProductPlan catalogo dei servizi: DeleteProvisioningArtifact catalogo dei servizi: DeleteServiceAction catalogo dei servizi: DescribeConstraint catalogo dei servizi: DescribeCopyProductStatus catalogo dei servizi: DescribePortfolio catalogo dei servizi: DescribePortfolioShareStatus catalogo dei servizi: DescribePortfolioShares catalogo dei servizi: DescribeProduct catalogo dei servizi: DescribeProductAsAdmin catalogo dei servizi: DescribeProductView catalogo dei servizi: DescribeProvisionedProduct catalogo dei servizi: DescribeProvisionedProductPlan catalogo dei servizi: DescribeProvisioningArtifact catalogo dei servizi: DescribeProvisioningParameters catalogo dei servizi: DescribeRecord catalogo dei servizi: DescribeServiceAction catalogo dei servizi: DescribeServiceActionExecutionParameters Catalogo dei servizi: disabilita AWSOrganizations l'accesso catalogo dei servizi: DisassociateBudgetFromResource catalogo dei servizi: DisassociatePrincipalFromPortfolio catalogo dei servizi: DisassociateProductFromPortfolio catalogo dei servizi: DisassociateServiceActionFromProvisioningArtifact Catalogo dei servizi: abilita AWSOrganizations l'accesso catalogo dei servizi: ExecuteProvisionedProductPlan catalogo dei servizi: ExecuteProvisionedProductServiceAction Catalogo dei servizi: GET AWSOrganizations AccessStatus catalogo dei servizi: GetProvisionedProductOutputs catalogo dei servizi: ImportAsProvisionedProduct catalogo dei servizi: ListAcceptedPortfolioShares catalogo dei servizi: ListAttributeGroups catalogo dei servizi: ListBudgetsForResource catalogo dei servizi: ListConstraintsForPortfolio catalogo dei servizi: ListLaunchPaths catalogo dei servizi: ListOrganizationPortfolioAccess catalogo dei servizi: ListPortfolioAccess catalogo dei servizi: ListPortfolios catalogo dei servizi: ListPortfoliosForProduct catalogo dei servizi: ListPrincipalsForPortfolio catalogo dei servizi: ListProvisionedProductPlans catalogo dei servizi: ListProvisioningArtifacts catalogo dei servizi: ListProvisioningArtifactsForServiceAction catalogo dei servizi: ListRecordHistory catalogo dei servizi: ListServiceActions catalogo dei servizi: ListServiceActionsForProvisioningArtifact catalogo dei servizi: ListStackInstancesForProvisionedProduct catalogo dei servizi: NotifyProvisionProductEngineWorkflowResult catalogo dei servizi: NotifyTerminateProvisionedProductEngineWorkflowResult catalogo dei servizi: NotifyUpdateProvisionedProductEngineWorkflowResult catalogo dei servizi: ProvisionProduct catalogo dei servizi: RejectPortfolioShare catalogo dei servizi: ScanProvisionedProducts catalogo dei servizi: SearchProducts catalogo dei servizi: SearchProductsAsAdmin catalogo dei servizi: SearchProvisionedProducts catalogo dei servizi: TerminateProvisionedProduct catalogo dei servizi: UpdateConstraint catalogo dei servizi: UpdatePortfolio catalogo dei servizi: UpdatePortfolioShare catalogo dei servizi: UpdateProduct catalogo dei servizi: UpdateProvisionedProduct catalogo dei servizi: UpdateProvisionedProductProperties catalogo dei servizi: UpdateProvisioningArtifact catalogo dei servizi: UpdateServiceAction  | 
| servicediscovery |  individuazione dei servizi: CreateHttpNamespace individuazione del servizio: CreatePrivateDnsNamespace individuazione del servizio: CreatePublicDnsNamespace individuazione del servizio: CreateService individuazione del servizio: DeleteNamespace individuazione del servizio: DeleteService individuazione del servizio: DeleteServiceAttributes individuazione del servizio: DeregisterInstance individuazione del servizio: GetInstance individuazione del servizio: GetInstancesHealthStatus individuazione del servizio: GetNamespace individuazione del servizio: GetOperation individuazione del servizio: GetService individuazione del servizio: ListInstances individuazione del servizio: ListNamespaces individuazione del servizio: ListOperations individuazione del servizio: ListServices individuazione del servizio: RegisterInstance individuazione del servizio: UpdateHttpNamespace individuazione del servizio: UpdateInstanceCustomHealthStatus individuazione del servizio: UpdatePrivateDnsNamespace individuazione del servizio: UpdatePublicDnsNamespace individuazione del servizio: UpdateService individuazione del servizio: UpdateServiceAttributes  | 
| servicequotas |  quote di servizio: AssociateServiceQuotaTemplate quote di servizio: CreateSupportCase quote di servizio: DeleteServiceQuotaIncreaseRequestFromTemplate quote di servizio: DisassociateServiceQuotaTemplate Quote di servizio: ottieni AWSDefault ServiceQuota quote di servizio: GetAssociationForServiceQuotaTemplate quote di servizio: GetAutoManagementConfiguration quote di servizio: GetQuotaUtilizationReport quote di servizio: GetRequestedServiceQuotaChange quote di servizio: GetServiceQuota quote di servizio: GetServiceQuotaIncreaseRequestFromTemplate Quote di servizio: elenco AWSDefault ServiceQuotas quote di servizio: ListRequestedServiceQuotaChangeHistory quote di servizio: ListRequestedServiceQuotaChangeHistoryByQuota quote di servizio: ListServiceQuotaIncreaseRequestsInTemplate quote di servizio: ListServiceQuotas quote di servizio: ListServices quote di servizio: PutServiceQuotaIncreaseRequestIntoTemplate quote di servizio: RequestServiceQuotaIncrease quote di servizio: StartAutoManagement quote di servizio: StartQuotaUtilizationReport quote di servizio: StopAutoManagement quote di servizio: UpdateAutoManagement  | 
| ses |  usi: BatchGetMetricData usa: CloneReceiptRuleSet usa: CreateAddonInstance usa: CreateAddonSubscription usa: CreateAddressList usa: CreateAddressListImportJob usa: CreateArchive usa: CreateConfigurationSet usa: CreateConfigurationSetEventDestination usa: CreateConfigurationSetTrackingOptions usa: CreateContact usa: CreateContactList usa: CreateCustomVerificationEmailTemplate usa: CreateDedicatedIpPool usa: CreateDeliverabilityTestReport usa: CreateEmailIdentity usa: CreateEmailIdentityPolicy usa: CreateEmailTemplate usa: CreateImportJob usa: CreateIngressPoint usa: CreateMultiRegionEndpoint usa: CreateReceiptFilter usa: CreateReceiptRule usa: CreateReceiptRuleSet usa: CreateRelay usa: CreateRuleSet usa: CreateTemplate usa: CreateTenant usa: CreateTenantResourceAssociation usa: CreateTrafficPolicy usa: DeleteAddonInstance usa: DeleteAddonSubscription usa: DeleteAddressList usa: DeleteArchive usa: DeleteConfigurationSet usa: DeleteConfigurationSetEventDestination usa: DeleteConfigurationSetTrackingOptions usa: DeleteContact usa: DeleteContactList usa: DeleteCustomVerificationEmailTemplate usa: DeleteDedicatedIpPool usa: DeleteEmailIdentity usa: DeleteEmailIdentityPolicy usa: DeleteEmailTemplate usa: DeleteIdentity usa: DeleteIdentityPolicy usa: DeleteIngressPoint usa: DeleteMultiRegionEndpoint usa: DeleteReceiptFilter usa: DeleteReceiptRule usa: DeleteReceiptRuleSet usa: DeleteRelay usa: DeleteRuleSet usa: DeleteSuppressedDestination usa: DeleteTemplate usa: DeleteTenant usa: DeleteTenantResourceAssociation usa: DeleteTrafficPolicy usa: DeleteVerifiedEmailAddress usa: DeregisterMemberFromAddressList usa: DescribeActiveReceiptRuleSet usa: DescribeConfigurationSet usa: DescribeReceiptRule usa: DescribeReceiptRuleSet usa: GetAccount usa: GetAccountSendingEnabled usa: GetAddonInstance usa: GetAddonSubscription usa: GetAddressList usa: GetArchive usa: GetArchiveExport usa: GetArchiveMessage usa: GetArchiveMessageContent usa: GetArchiveSearch usa: GetArchiveSearchResults usa: GetBlacklistReports usa: GetConfigurationSet usa: GetConfigurationSetEventDestinations usa: GetContact usa: GetContactList usa: GetCustomVerificationEmailTemplate usa: GetDedicatedIp usa: GetDedicatedIpPool usa: GetDedicatedIps usa: GetDeliverabilityDashboardOptions usa: GetDeliverabilityTestReport usa: GetDomainDeliverabilityCampaign usa: GetDomainStatisticsReport usa: GetEmailAddressInsights usa: GetEmailIdentity usa: GetEmailIdentityPolicies usa: GetEmailTemplate usa: GetIdentityDkimAttributes usa: GetIdentityMailFromDomainAttributes usa: GetIdentityNotificationAttributes usa: GetIdentityPolicies usa: GetIdentityVerificationAttributes usa: GetImportJob usa: GetIngressPoint usa: GetMemberOfAddressList usa: GetMessageInsights usa: GetMultiRegionEndpoint usa: GetRelay usa: GetRuleSet usa: GetSendQuota usa: GetSendStatistics usa: GetSuppressedDestination usa: GetTemplate usa: GetTenant usa: GetTrafficPolicy usa: ListAddonInstances usa: ListAddonSubscriptions usa: ListAddressListImportJobs usa: ListAddressLists usa: ListArchiveExports usa: ListArchiveSearches usa: ListArchives usa: ListConfigurationSets usa: ListContactLists usa: ListContacts usa: ListCustomVerificationEmailTemplates usa: ListDedicatedIpPools usa: ListDeliverabilityTestReports usa: ListDomainDeliverabilityCampaigns usa: ListEmailIdentities usa: ListEmailTemplates usa: ListExportJobs usa: ListIdentities usa: ListIdentityPolicies usa: ListImportJobs usa: ListIngressPoints usa: ListMembersOfAddressList usa: ListMultiRegionEndpoints usa: ListReceiptFilters usa: ListReceiptRuleSets usa: ListRecommendations usa: ListRelays usa: ListReputationEntities usa: ListResourceTenants usa: ListRuleSets usa: ListSuppressedDestinations usa: ListTemplates usa: ListTenantResources usa: ListTenants usa: ListTrafficPolicies usa: ListVerifiedEmailAddresses usa: PutAccountDedicatedIpWarmupAttributes usa: PutAccountDetails usa: PutAccountSendingAttributes usa: PutAccountSuppressionAttributes usa: PutAccountVdmAttributes usa: PutConfigurationSetArchivingOptions usa: PutConfigurationSetDeliveryOptions usa: PutConfigurationSetReputationOptions usa: PutConfigurationSetSendingOptions usa: PutConfigurationSetSuppressionOptions usa: PutConfigurationSetTrackingOptions usa: PutConfigurationSetVdmOptions usa: PutDedicatedIpInPool usa: PutDedicatedIpPoolScalingAttributes usa: PutDedicatedIpWarmupAttributes usa: PutDeliverabilityDashboardOption usa: PutEmailIdentityConfigurationSetAttributes usa: PutEmailIdentityDkimAttributes usa: PutEmailIdentityDkimSigningAttributes usa: PutEmailIdentityFeedbackAttributes usa: PutEmailIdentityMailFromAttributes usa: PutIdentityPolicy usa: PutSuppressedDestination usa: RegisterMemberToAddressList usa: ReorderReceiptRuleSet usa: SendBounce usa: SendCustomVerificationEmail usa: SetActiveReceiptRuleSet usa: SetIdentityDkimEnabled usa: SetIdentityFeedbackForwardingEnabled usa: SetIdentityHeadersInNotificationsEnabled usa: SetIdentityMailFromDomain usa: SetIdentityNotificationTopic usa: SetReceiptRulePosition usa: StartArchiveExport usa: StartArchiveSearch usa: StopArchiveExport usa: StopArchiveSearch usa: TestRenderEmailTemplate usa: TestRenderTemplate usa: UpdateAccountSendingEnabled usa: UpdateArchive usa: UpdateConfigurationSetEventDestination usa: UpdateConfigurationSetReputationMetricsEnabled usa: UpdateConfigurationSetSendingEnabled usa: UpdateConfigurationSetTrackingOptions usa: UpdateContact usa: UpdateContactList usa: UpdateCustomVerificationEmailTemplate usa: UpdateEmailIdentityPolicy usa: UpdateEmailTemplate usa: UpdateIngressPoint usa: UpdateReceiptRule usa: UpdateRelay usa: UpdateRuleSet usa: UpdateTemplate usa: UpdateTrafficPolicy usa: VerifyDomainDkim usa: VerifyDomainIdentity usa: VerifyEmailAddress usa: VerifyEmailIdentity  | 
| shield |  scudo: Associate DRTLog Bucket scudo: AssociateHealthCheck scudo: AssociateProactiveEngagementDetails scudo: CreateProtection scudo: CreateProtectionGroup scudo: CreateSubscription scudo: DeleteProtection scudo: DeleteProtectionGroup scudo: DeleteSubscription scudo: DescribeAttack scudo: DescribeAttackStatistics scudo: descrivi DRTAccess scudo: DescribeEmergencyContactSettings scudo: DescribeProtection scudo: DescribeProtectionGroup scudo: DescribeSubscription scudo: DisableApplicationLayerAutomaticResponse scudo: DisableProactiveEngagement scudo: dissociate DRTLog Bucket Scudo: dissocia DRTRole scudo: DisassociateHealthCheck scudo: EnableApplicationLayerAutomaticResponse scudo: EnableProactiveEngagement scudo: GetSubscriptionState scudo: ListAttacks scudo: ListProtectionGroups scudo: ListProtections scudo: ListResourcesInProtectionGroup scudo: UpdateApplicationLayerAutomaticResponse scudo: UpdateEmergencyContactSettings scudo: UpdateProtectionGroup scudo: UpdateSubscription  | 
| signer |  firmatario: AddProfilePermission firmatario: CancelSigningProfile firmatario: DescribeSigningJob firmatario: GetSigningPlatform firmatario: GetSigningProfile firmatario: ListProfilePermissions firmatario: ListSigningJobs firmatario: ListSigningPlatforms firmatario: ListSigningProfiles firmatario: PutSigningProfile firmatario: RemoveProfilePermission firmatario: RevokeSignature firmatario: RevokeSigningProfile firmatario: SignPayload firmatario: StartSigningJob  | 
| simspaceweaver |  simspaceweaver: CreateSnapshot simspaceweaver: DeleteApp simspaceweaver: DeleteSimulation simspaceweaver: DescribeApp simspaceweaver: DescribeSimulation simspaceweaver: ListApps simspaceweaver: ListSimulations simspaceweaver: StartApp simspaceweaver: StartClock simspaceweaver: StartSimulation simspaceweaver: StopApp simspaceweaver: StopClock simspaceweaver: StopSimulation  | 
| sms |  sms: CreateApp sms: CreateReplicationJob sms: DeleteApp sms: DeleteAppLaunchConfiguration sms: DeleteAppReplicationConfiguration sms: DeleteAppValidationConfiguration sms: DeleteReplicationJob sms: DeleteServerCatalog sms: DisassociateConnector sms: GenerateChangeSet sms: GenerateTemplate sms: GetApp sms: GetAppLaunchConfiguration sms: GetAppReplicationConfiguration sms: GetAppValidationConfiguration sms: GetAppValidationOutput sms: GetConnectors sms: GetReplicationJobs sms: GetReplicationRuns sms: GetServers sms: ImportAppCatalog sms: ImportServerCatalog sms: LaunchApp sms: ListApps sms: NotifyAppValidationOutput sms: PutAppLaunchConfiguration sms: PutAppReplicationConfiguration sms: PutAppValidationConfiguration sms: StartAppReplication sms: StartOnDemandAppReplication sms: StartOnDemandReplicationRun sms: StopAppReplication sms: TerminateApp sms: UpdateApp sms: UpdateReplicationJob  | 
| sms-voice |  sms vocale: AssociateProtectConfiguration messaggio vocale via sms: CreateConfigurationSet messaggio vocale via sms: CreateConfigurationSetEventDestination messaggio vocale via sms: CreateEventDestination messaggio vocale via sms: CreateOptOutList messaggio vocale via sms: CreatePool messaggio vocale via sms: CreateProtectConfiguration messaggio vocale via sms: CreateRegistration messaggio vocale via sms: CreateRegistrationAssociation messaggio vocale via sms: CreateRegistrationAttachment messaggio vocale via sms: CreateRegistrationVersion messaggio vocale via sms: CreateVerifiedDestinationNumber messaggio vocale via sms: DeleteAccountDefaultProtectConfiguration messaggio vocale via sms: DeleteConfigurationSet messaggio vocale via sms: DeleteConfigurationSetEventDestination messaggio vocale via sms: DeleteDefaultMessageType messaggio vocale via sms: DeleteDefaultSenderId messaggio vocale via sms: DeleteEventDestination messaggio vocale via sms: DeleteKeyword messaggio vocale via sms: DeleteMediaMessageSpendLimitOverride messaggio vocale via sms: DeleteOptOutList messaggio vocale via sms: DeleteOptedOutNumber messaggio vocale via sms: DeletePool messaggio vocale via sms: DeleteProtectConfiguration messaggio vocale via sms: DeleteProtectConfigurationRuleSetNumberOverride messaggio vocale via sms: DeleteRegistration messaggio vocale via sms: DeleteRegistrationAttachment messaggio vocale via sms: DeleteResourcePolicy messaggio vocale via sms: DeleteTextMessageSpendLimitOverride messaggio vocale via sms: DeleteVerifiedDestinationNumber messaggio vocale via sms: DeleteVoiceMessageSpendLimitOverride messaggio vocale via sms: DescribeAccountAttributes messaggio vocale via sms: DescribeAccountLimits messaggio vocale via sms: DescribeConfigurationSets messaggio vocale via sms: DescribeKeywords messaggio vocale via sms: DescribeOptOutLists messaggio vocale via sms: DescribeOptedOutNumbers messaggio vocale via sms: DescribePhoneNumbers messaggio vocale via sms: DescribePools messaggio vocale via sms: DescribeProtectConfigurations messaggio vocale via sms: DescribeRegistrationAttachments messaggio vocale via sms: DescribeRegistrationFieldDefinitions messaggio vocale via sms: DescribeRegistrationFieldValues messaggio vocale via sms: DescribeRegistrationSectionDefinitions messaggio vocale via sms: DescribeRegistrationTypeDefinitions messaggio vocale via sms: DescribeRegistrationVersions messaggio vocale via sms: DescribeRegistrations messaggio vocale via sms: DescribeSenderIds messaggio vocale via sms: DescribeSpendLimits messaggio vocale via sms: DescribeVerifiedDestinationNumbers messaggio vocale via sms: DisassociateOriginationIdentity messaggio vocale via sms: DisassociateProtectConfiguration messaggio vocale via sms: DiscardRegistrationVersion messaggio vocale via sms: GetConfigurationSetEventDestinations messaggio vocale via sms: GetProtectConfigurationCountryRuleSet messaggio vocale via sms: GetResourcePolicy messaggio vocale via sms: ListConfigurationSets messaggio vocale via sms: ListPoolOriginationIdentities messaggio vocale via sms: ListProtectConfigurationRuleSetNumberOverrides messaggio vocale via sms: ListRegistrationAssociations messaggio vocale via sms: PutKeyword messaggio vocale via sms: PutOptedOutNumber messaggio vocale via sms: PutProtectConfigurationRuleSetNumberOverride messaggio vocale via sms: PutResourcePolicy messaggio vocale via sms: ReleasePhoneNumber messaggio vocale via sms: ReleaseSenderId messaggio vocale via sms: RequestPhoneNumber messaggio vocale via sms: RequestSenderId messaggio vocale via sms: SendDestinationNumberVerificationCode messaggio vocale via sms: SetAccountDefaultProtectConfiguration messaggio vocale via sms: SetDefaultMessageFeedbackEnabled messaggio vocale via sms: SetDefaultMessageType messaggio vocale via sms: SetDefaultSenderId messaggio vocale via sms: SetMediaMessageSpendLimitOverride messaggio vocale via sms: SetTextMessageSpendLimitOverride messaggio vocale via sms: SetVoiceMessageSpendLimitOverride messaggio vocale via sms: SubmitRegistrationVersion messaggio vocale via sms: UpdateConfigurationSetEventDestination messaggio vocale via sms: UpdateEventDestination messaggio vocale via sms: UpdatePhoneNumber messaggio vocale via sms: UpdatePool messaggio vocale via sms: UpdateProtectConfiguration messaggio vocale via sms: UpdateProtectConfigurationCountryRuleSet messaggio vocale via sms: UpdateSenderId  | 
| snowball |  palla di neve: CancelCluster palla di neve: CancelJob palla di neve: CreateAddress palla di neve: CreateCluster palla di neve: CreateJob palla di neve: CreateLongTermPricing palla di neve: CreateReturnShippingLabel palla di neve: DescribeAddress palla di neve: DescribeAddresses palla di neve: DescribeCluster palla di neve: DescribeJob palla di neve: DescribeReturnShippingLabel palla di neve: GetJobManifest palla di neve: GetJobUnlockCode palla di neve: GetSnowballUsage palla di neve: GetSoftwareUpdates palla di neve: ListClusterJobs palla di neve: ListClusters palla di neve: ListCompatibleImages palla di neve: ListJobs palla di neve: ListLongTermPricing palla di neve: ListPickupLocations palla di neve: ListServiceVersions palla di neve: UpdateCluster palla di neve: UpdateJob palla di neve: UpdateJobShipmentState palla di neve: UpdateLongTermPricing  | 
| sqs |  seghe: AddPermission seggioloni: CancelMessageMoveTask seggioloni: CreateQueue seggioloni: DeleteQueue seggioloni: PurgeQueue seggioloni: RemovePermission seggioloni: SetQueueAttributes  | 
| ssm |  ssm: AssociateOpsItemRelatedItem ssm: CancelCommand ssm: CancelMaintenanceWindowExecution ssm: CreateActivation ssm: CreateAssociation ssm: CreateAssociationBatch ssm: CreateDocument ssm: CreateMaintenanceWindow ssm: CreateOpsItem ssm: CreateOpsMetadata ssm: CreatePatchBaseline ssm: CreateResourceDataSync ssm: DeleteActivation ssm: DeleteAssociation ssm: DeleteDocument ssm: DeleteInventory ssm: DeleteMaintenanceWindow ssm: DeleteOpsItem ssm: DeleteOpsMetadata ssm: DeleteParameter ssm: DeleteParameters ssm: DeletePatchBaseline ssm: DeleteResourceDataSync ssm: DeleteResourcePolicy ssm: DeregisterManagedInstance ssm: DeregisterPatchBaselineForPatchGroup ssm: DeregisterTargetFromMaintenanceWindow ssm: DeregisterTaskFromMaintenanceWindow ssm: DescribeActivations ssm: DescribeAssociation ssm: DescribeAssociationExecutionTargets ssm: DescribeAssociationExecutions ssm: DescribeAutomationExecutions ssm: DescribeAutomationStepExecutions ssm: DescribeAvailablePatches ssm: DescribeDocument ssm: DescribeDocumentParameters ssm: DescribeDocumentPermission ssm: DescribeEffectiveInstanceAssociations ssm: DescribeEffectivePatchesForPatchBaseline ssm: DescribeInstanceAssociationsStatus ssm: DescribeInstanceInformation ssm: DescribeInstancePatchStates ssm: DescribeInstancePatchStatesForPatchGroup ssm: DescribeInstancePatches ssm: DescribeInstanceProperties ssm: DescribeInventoryDeletions ssm: DescribeMaintenanceWindowExecutionTaskInvocations ssm: DescribeMaintenanceWindowExecutionTasks ssm: DescribeMaintenanceWindowExecutions ssm: DescribeMaintenanceWindowSchedule ssm: DescribeMaintenanceWindowTargets ssm: DescribeMaintenanceWindowTasks ssm: DescribeMaintenanceWindows ssm: DescribeMaintenanceWindowsForTarget ssm: DescribeOpsItems ssm: DescribeParameters ssm: DescribePatchBaselines ssm: DescribePatchGroupState ssm: DescribePatchGroups ssm: DescribePatchProperties ssm: DescribeSessions ssm: DisassociateOpsItemRelatedItem ssm: GetAccessToken ssm: GetAutomationExecution ssm: GetCalendarState ssm: GetCommandInvocation ssm: GetConnectionStatus ssm: GetDefaultPatchBaseline ssm: GetDeployablePatchSnapshotForInstance ssm: GetDocument ssm: GetExecutionPreview ssm: GetInventory ssm: GetInventorySchema ssm: GetMaintenanceWindow ssm: GetMaintenanceWindowExecution ssm: GetMaintenanceWindowExecutionTask ssm: GetMaintenanceWindowExecutionTaskInvocation ssm: GetMaintenanceWindowTask ssm: GetOpsItem ssm: GetOpsMetadata ssm: GetOpsSummary ssm: GetParameter ssm: GetParameterHistory ssm: GetParameters ssm: GetParametersByPath ssm: GetPatchBaseline ssm: GetPatchBaselineForPatchGroup ssm: GetResourcePolicies ssm: GetServiceSetting ssm: LabelParameterVersion ssm: ListAssociationVersions ssm: ListAssociations ssm: ListCommandInvocations ssm: ListCommands ssm: ListComplianceItems ssm: ListComplianceSummaries ssm: ListDocumentMetadataHistory ssm: ListDocumentVersions ssm: ListDocuments ssm: ListInstanceAssociations ssm: ListInventoryEntries sms: ListNodes sms: ListNodesSummary sms: ListOpsItemEvents sms: ListOpsItemRelatedItems sms: ListOpsMetadata sms: ListResourceComplianceSummaries sms: ListResourceDataSync sms: ModifyDocumentPermission sms: PutComplianceItems sms: PutInventory sms: PutParameter sms: PutResourcePolicy sms: RegisterDefaultPatchBaseline sms: RegisterManagedInstance sms: RegisterPatchBaselineForPatchGroup sms: RegisterTargetWithMaintenanceWindow sms: RegisterTaskWithMaintenanceWindow sms: ResetServiceSetting sms: ResumeSession sms: SendAutomationSignal sms: SendCommand sms: StartAssociationsOnce sms: StartAutomationExecution sms: StartChangeRequestExecution sms: StartSession sms: StopAutomationExecution sms: TerminateSession sms: UnlabelParameterVersion sms: UpdateAssociation sms: UpdateAssociationStatus sms: UpdateDocument sms: UpdateDocumentDefaultVersion sms: UpdateDocumentMetadata sms: UpdateInstanceInformation sms: UpdateMaintenanceWindow sms: UpdateMaintenanceWindowTarget sms: UpdateMaintenanceWindowTask sms: UpdateManagedInstanceRole sms: UpdateOpsItem sms: UpdateOpsMetadata sms: UpdatePatchBaseline sms: UpdateResourceDataSync sms: UpdateServiceSetting  | 
| ssm-incidents |  incidenti ssm: BatchGetIncidentFindings incidenti ssm: CreateReplicationSet incidenti ssm: CreateResponsePlan incidenti ssm: CreateTimelineEvent incidenti ssm: DeleteIncidentRecord incidenti ssm: DeleteReplicationSet incidenti ssm: DeleteResourcePolicy incidenti ssm: DeleteResponsePlan incidenti ssm: DeleteTimelineEvent incidenti ssm: GetIncidentRecord incidenti ssm: GetReplicationSet incidenti ssm: GetResourcePolicies incidenti ssm: GetResponsePlan incidenti ssm: GetTimelineEvent incidenti ssm: ListIncidentFindings incidenti ssm: ListIncidentRecords incidenti ssm: ListRelatedItems incidenti ssm: ListReplicationSets incidenti ssm: ListResponsePlans incidenti ssm: ListTimelineEvents incidenti ssm: PutResourcePolicy incidenti ssm: StartIncident incidenti ssm: UpdateDeletionProtection incidenti ssm: UpdateIncidentRecord incidenti ssm: UpdateRelatedItems incidenti ssm: UpdateReplicationSet incidenti ssm: UpdateResponsePlan incidenti ssm: UpdateTimelineEvent  | 
| ssm-sap |  ssm-sap: BackupDatabase ssm-sap: DeleteResourcePermission ssm-sap: DeregisterApplication ssm-sap: GetApplication ssm-sap: GetComponent ssm-sap: GetConfigurationCheckOperation ssm-sap: GetDatabase ssm-sap: GetOperation ssm-sap: GetResourcePermission ssm-sap: ListApplications ssm-sap: ListComponents ssm-sap: ListConfigurationCheckDefinitions ssm-sap: ListConfigurationCheckOperations ssm-sap: ListDatabases ssm-sap: ListOperationEvents ssm-sap: ListOperations ssm-sap: ListSubCheckResults ssm-sap: ListSubCheckRuleResults ssm-sap: PutResourcePermission ssm-sap: RegisterApplication ssm-sap: RestoreDatabase ssm-sap: StartApplication ssm-sap: StartApplicationRefresh ssm-sap: StartConfigurationChecks ssm-sap: StopApplication ssm-sap: UpdateApplicationSettings Ssm-sap:Aggiorna impostazioni HANABackup  | 
| states |  stati: CreateActivity stati: CreateStateMachine stati: CreateStateMachineAlias stati: DeleteActivity stati: DeleteStateMachine stati: DeleteStateMachineAlias stati: DeleteStateMachineVersion stati: DescribeActivity stati: DescribeExecution stati: DescribeMapRun stati: DescribeStateMachine stati: DescribeStateMachineAlias stati: DescribeStateMachineForExecution stati: GetExecutionHistory stati: ListActivities stati: ListExecutions stati: ListMapRuns stati: ListStateMachineAliases stati: ListStateMachineVersions stati: ListStateMachines stati: SendTaskFailure stati: SendTaskHeartbeat stati: SendTaskSuccess stati: StartExecution stati: StopExecution stati: UpdateMapRun stati: UpdateStateMachine stati: UpdateStateMachineAlias stati: ValidateStateMachineDefinition  | 
| sts |  set: AssumeRole st: AssumeRoleWith SAML st: AssumeRoleWithWebIdentity set: DecodeAuthorizationMessage set: GetAccessKeyInfo set: GetCallerIdentity set: GetFederationToken set: GetSessionToken set: GetWebIdentityToken  | 
| swf |  swf: DeleteActivityType file swf: DeleteWorkflowType file swf: DeprecateActivityType file swf: DeprecateDomain file swf: DeprecateWorkflowType file swf: DescribeActivityType file swf: DescribeDomain file swf: DescribeWorkflowType file swf: ListActivityTypes file swf: ListDomains file swf: ListWorkflowTypes file swf: RegisterActivityType file swf: RegisterDomain file swf: RegisterWorkflowType file swf: UndeprecateActivityType file swf: UndeprecateDomain file swf: UndeprecateWorkflowType  | 
| synthetics |  sintetici: AssociateResource sintetici: CreateCanary sintetici: CreateGroup sintetici: DeleteCanary sintetici: DeleteGroup sintetici: DescribeCanaries sintetici: DescribeCanariesLastRun sintetici: DescribeRuntimeVersions sintetici: DisassociateResource sintetici: GetCanary sintetici: GetCanaryRuns sintetici: GetGroup sintetici: ListAssociatedGroups sintetici: ListGroupResources sintetici: ListGroups sintetici: StartCanary sintetici: StartCanaryDryRun sintetici: StopCanary sintetici: UpdateCanary  | 
| tag |  etichetta: DescribeReportCreation etichetta: GetComplianceSummary etichetta: GetResources etichetta: StartReportCreation  | 
| textract |  estratto: AnalyzeDocument estratto: AnalyzeExpense textract:AnalyzeID estratto: CreateAdapter estratto: CreateAdapterVersion estratto: DeleteAdapter estratto: DeleteAdapterVersion estratto: DetectDocumentText estratto: GetAdapter estratto: GetAdapterVersion estratto: GetDocumentAnalysis estratto: GetDocumentTextDetection estratto: GetExpenseAnalysis estratto: GetLendingAnalysis estratto: GetLendingAnalysisSummary estratto: ListAdapterVersions estratto: ListAdapters estratto: StartDocumentAnalysis estratto: StartDocumentTextDetection estratto: StartExpenseAnalysis estratto: StartLendingAnalysis estratto: UpdateAdapter  | 
| timestream |  flusso temporale: CancelQuery flusso temporale: CreateDatabase flusso temporale: CreateScheduledQuery flusso temporale: CreateTable flusso temporale: DeleteDatabase flusso temporale: DeleteScheduledQuery flusso temporale: DeleteTable flusso temporale: DescribeAccountSettings flusso temporale: DescribeDatabase flusso temporale: DescribeScheduledQuery flusso temporale: DescribeTable flusso temporale: ExecuteScheduledQuery flusso temporale: ListBatchLoadTasks flusso temporale: ListDatabases flusso temporale: ListScheduledQueries flusso temporale: ListTables flusso temporale: PrepareQuery flusso temporale: UpdateAccountSettings flusso temporale: UpdateDatabase flusso temporale: UpdateScheduledQuery flusso temporale: UpdateTable  | 
| tnb |  tb: CancelSolNetworkOperation tnb: CreateSolFunctionPackage tnb: CreateSolNetworkInstance tnb: CreateSolNetworkPackage tnb: DeleteSolFunctionPackage tnb: DeleteSolNetworkInstance tnb: DeleteSolNetworkPackage tnb: GetSolFunctionInstance tnb: GetSolFunctionPackage tnb: GetSolFunctionPackageContent tnb: GetSolFunctionPackageDescriptor tnb: GetSolNetworkInstance tnb: GetSolNetworkOperation tnb: GetSolNetworkPackage tnb: GetSolNetworkPackageContent tnb: GetSolNetworkPackageDescriptor tnb: InstantiateSolNetworkInstance tnb: ListSolFunctionInstances tnb: ListSolFunctionPackages tnb: ListSolNetworkInstances tnb: ListSolNetworkOperations tnb: ListSolNetworkPackages tnb: PutSolFunctionPackageContent tnb: PutSolNetworkPackageContent tnb: TerminateSolNetworkInstance tnb: UpdateSolFunctionPackage tnb: UpdateSolNetworkInstance tnb: UpdateSolNetworkPackage tnb: ValidateSolFunctionPackageContent tnb: ValidateSolNetworkPackageContent  | 
| transcribe |  trascrivere: CreateCallAnalyticsCategory trascrivere: CreateLanguageModel trascrivere: CreateMedicalVocabulary trascrivere: CreateVocabulary trascrivere: CreateVocabularyFilter trascrivere: DeleteCallAnalyticsCategory trascrivere: DeleteCallAnalyticsJob trascrivere: DeleteLanguageModel trascrivere: DeleteMedicalScribeJob trascrivere: DeleteMedicalTranscriptionJob trascrivere: DeleteMedicalVocabulary trascrivere: DeleteTranscriptionJob trascrivere: DeleteVocabulary trascrivere: DeleteVocabularyFilter trascrivere: DescribeLanguageModel trascrivere: GetCallAnalyticsCategory trascrivere: GetCallAnalyticsJob trascrivere: GetMedicalScribeJob trascrivere: GetMedicalTranscriptionJob trascrivere: GetMedicalVocabulary trascrivere: GetTranscriptionJob trascrivere: GetVocabulary trascrivere: GetVocabularyFilter trascrivere: ListCallAnalyticsCategories trascrivere: ListCallAnalyticsJobs trascrivere: ListLanguageModels trascrivere: ListMedicalScribeJobs trascrivere: ListMedicalTranscriptionJobs trascrivere: ListMedicalVocabularies trascrivere: ListTranscriptionJobs trascrivere: ListVocabularies trascrivere: ListVocabularyFilters trascrivere: StartCallAnalyticsJob trascrivere: StartCallAnalyticsStreamTranscription trascrivere: StartCallAnalyticsStreamTranscriptionWebSocket trascrivere: StartMedicalScribeJob trascrivere: StartMedicalStreamTranscription trascrivere: StartMedicalStreamTranscriptionWebSocket trascrivere: StartMedicalTranscriptionJob trascrivere: StartStreamTranscription trascrivere: StartStreamTranscriptionWebSocket trascrivere: StartTranscriptionJob trascrivere: UpdateCallAnalyticsCategory trascrivere: UpdateMedicalVocabulary trascrivere: UpdateVocabulary trascrivere: UpdateVocabularyFilter  | 
| transfer |  trasferimento: CreateAccess trasferimento: CreateAgreement trasferimento: CreateConnector trasferimento: CreateProfile trasferimento: CreateServer trasferimento: CreateUser trasferimento: CreateWebApp trasferimento: CreateWorkflow trasferimento: DeleteAccess trasferimento: DeleteAgreement trasferimento: DeleteCertificate trasferimento: DeleteConnector trasferimento: DeleteHostKey trasferimento: DeleteProfile trasferimento: DeleteServer trasferimento: DeleteSshPublicKey trasferimento: DeleteUser trasferimento: DeleteWebApp trasferimento: DeleteWebAppCustomization trasferimento: DeleteWorkflow trasferimento: DescribeAccess trasferimento: DescribeAgreement trasferimento: DescribeCertificate trasferimento: DescribeConnector trasferimento: DescribeExecution trasferimento: DescribeHostKey trasferimento: DescribeProfile trasferimento: DescribeSecurityPolicy trasferimento: DescribeServer trasferimento: DescribeUser trasferimento: DescribeWebApp trasferimento: DescribeWebAppCustomization trasferimento: DescribeWorkflow trasferimento: ImportCertificate trasferimento: ImportHostKey trasferimento: ImportSshPublicKey trasferimento: ListAccesses trasferimento: ListCertificates trasferimento: ListConnectors trasferimento: ListExecutions trasferimento: ListFileTransferResults trasferimento: ListHostKeys trasferimento: ListProfiles trasferimento: ListSecurityPolicies trasferimento: ListServers trasferimento: ListUsers trasferimento: ListWebApps trasferimento: ListWorkflows trasferimento: SendWorkflowStepState trasferimento: StartDirectoryListing trasferimento: StartFileTransfer trasferimento: StartRemoteDelete trasferimento: StartRemoteMove trasferimento: StartServer trasferimento: StopServer trasferimento: TestConnection trasferimento: TestIdentityProvider trasferimento: UpdateAccess trasferimento: UpdateAgreement trasferimento: UpdateCertificate trasferimento: UpdateConnector trasferimento: UpdateHostKey trasferimento: UpdateProfile trasferimento: UpdateServer trasferimento: UpdateUser trasferimento: UpdateWebApp trasferimento: UpdateWebAppCustomization  | 
| translate |  tradurre: CreateParallelData tradurre: DeleteParallelData tradurre: DeleteTerminology tradurre: DescribeTextTranslationJob tradurre: GetParallelData tradurre: GetTerminology tradurre: ImportTerminology tradurre: ListLanguages tradurre: ListParallelData tradurre: ListTerminologies tradurre: ListTextTranslationJobs tradurre: StartTextTranslationJob tradurre: StopTextTranslationJob tradurre: TranslateDocument tradurre: TranslateText tradurre: UpdateParallelData  | 
| voiceid |  voiceid: AssociateFraudster identificatore vocale: CreateDomain identificatore vocale: CreateWatchlist identificatore vocale: DeleteDomain identificatore vocale: DeleteFraudster identificatore vocale: DeleteSpeaker identificatore vocale: DeleteWatchlist identificatore vocale: DescribeDomain identificatore vocale: DescribeFraudster identificatore vocale: DescribeFraudsterRegistrationJob identificatore vocale: DescribeSpeaker identificatore vocale: DescribeSpeakerEnrollmentJob identificatore vocale: DescribeWatchlist identificatore vocale: DisassociateFraudster identificatore vocale: EvaluateSession identificatore vocale: ListDomains identificatore vocale: ListFraudsterRegistrationJobs identificatore vocale: ListFraudsters identificatore vocale: ListSpeakerEnrollmentJobs identificatore vocale: ListSpeakers identificatore vocale: ListWatchlists identificatore vocale: OptOutSpeaker identificatore vocale: StartFraudsterRegistrationJob identificatore vocale: StartSpeakerEnrollmentJob identificatore vocale: UpdateDomain identificatore vocale: UpdateWatchlist  | 
| vpc-lattice |  reticolo vpc: CreateAccessLogSubscription reticolo vpc: CreateListener reticolo vpc: CreateResourceConfiguration reticolo vpc: CreateResourceGateway reticolo vpc: CreateRule reticolo vpc: CreateService reticolo vpc: CreateServiceNetwork reticolo vpc: CreateServiceNetworkResourceAssociation reticolo vpc: CreateServiceNetworkServiceAssociation reticolo vpc: CreateServiceNetworkVpcAssociation reticolo vpc: CreateTargetGroup reticolo vpc: DeleteAccessLogSubscription reticolo vpc: DeleteAuthPolicy reticolo vpc: DeleteDomainVerification reticolo vpc: DeleteListener reticolo vpc: DeleteResourceConfiguration reticolo vpc: DeleteResourceEndpointAssociation reticolo vpc: DeleteResourceGateway reticolo vpc: DeleteResourcePolicy reticolo vpc: DeleteRule reticolo vpc: DeleteService reticolo vpc: DeleteServiceNetwork reticolo vpc: DeleteServiceNetworkResourceAssociation reticolo vpc: DeleteServiceNetworkServiceAssociation reticolo vpc: DeleteServiceNetworkVpcAssociation reticolo vpc: DeleteTargetGroup reticolo vpc: DeregisterTargets reticolo vpc: GetAccessLogSubscription reticolo vpc: GetAuthPolicy reticolo vpc: GetDomainVerification reticolo vpc: GetListener reticolo vpc: GetResourceConfiguration reticolo vpc: GetResourceGateway reticolo vpc: GetResourcePolicy reticolo vpc: GetRule reticolo vpc: GetService reticolo vpc: GetServiceNetwork reticolo vpc: GetServiceNetworkResourceAssociation reticolo vpc: GetServiceNetworkServiceAssociation reticolo vpc: GetServiceNetworkVpcAssociation reticolo vpc: GetTargetGroup reticolo vpc: ListAccessLogSubscriptions reticolo vpc: ListDomainVerifications reticolo vpc: ListListeners reticolo vpc: ListResourceConfigurations reticolo vpc: ListResourceEndpointAssociations reticolo vpc: ListResourceGateways reticolo vpc: ListRules reticolo vpc: ListServiceNetworkResourceAssociations reticolo vpc: ListServiceNetworkServiceAssociations reticolo vpc: ListServiceNetworkVpcAssociations reticolo vpc: ListServiceNetworkVpcEndpointAssociations reticolo vpc: ListServiceNetworks reticolo vpc: ListServices reticolo vpc: ListTargetGroups reticolo vpc: ListTargets reticolo vpc: PutAuthPolicy reticolo vpc: PutResourcePolicy reticolo vpc: RegisterTargets reticolo vpc: StartDomainVerification reticolo vpc: UpdateAccessLogSubscription reticolo vpc: UpdateListener reticolo vpc: UpdateResourceConfiguration reticolo vpc: UpdateResourceGateway reticolo vpc: UpdateRule reticolo vpc: UpdateService reticolo vpc: UpdateServiceNetwork reticolo vpc: UpdateServiceNetworkVpcAssociation reticolo vpc: UpdateTargetGroup  | 
| wafv2 |  wafv2: ACL AssociateWeb wafv2: CheckCapacity WAFv2: crea APIKey WAFv2: Crea IPSet wafv2: CreateRegexPatternSet wafv2: CreateRuleGroup wafv2: ACL CreateWeb WAFv2: Elimina APIKey wafv2: DeleteFirewallManagerRuleGroups WAFv2: Elimina IPSet wafv2: DeleteLoggingConfiguration wafv2: DeletePermissionPolicy wafv2: DeleteRegexPatternSet wafv2: DeleteRuleGroup wafv2: ACL DeleteWeb wafv2: DescribeAllManagedProducts wafv2: DescribeManagedProductsByVendor wafv2: DescribeManagedRuleGroup wafv2: ACL DisassociateWeb wafv2: GenerateMobileSdkReleaseUrl wafv2: GetDecrypted APIKey WAFv2: ottieni IPSet wafv2: GetLoggingConfiguration wafv2: GetManagedRuleSet wafv2: GetMobileSdkRelease wafv2: GetRateBasedStatementManagedKeys wafv2: GetRegexPatternSet wafv2: GetRuleGroup wafv2: GetSampledRequests wafv2: Risorsa GetWeb ACLFor WAFv2: Elenco APIKeys wafv2: ListAvailableManagedRuleGroupVersions wafv2: ListAvailableManagedRuleGroups WAFv2: elenco IPSets wafv2: ListLoggingConfigurations wafv2: ListManagedRuleSets wafv2: ListMobileSdkReleases wafv2: ListRegexPatternSets wafv2: ACL ListResourcesForWeb wafv2: ListRuleGroups wafv2: ListWeb ACLs wafv2: PutLoggingConfiguration wafv2: PutManagedRuleSetVersions WAFv2: aggiornamento IPSet wafv2: UpdateManagedRuleSetVersionExpiryDate wafv2: UpdateRegexPatternSet wafv2: UpdateRuleGroup wafv2: ACL UpdateWeb  | 
| wellarchitected |  ben architettato: AssociateLenses ben architettato: AssociateProfiles ben architettato: CreateLensShare ben architettato: CreateLensVersion ben architettato: CreateMilestone ben architettato: CreateProfile ben architettato: CreateProfileShare ben architettato: CreateReviewTemplate ben architettato: CreateWorkload ben architettato: CreateWorkloadShare ben architettato: DeleteLens ben architettato: DeleteLensShare ben architettato: DeleteProfile ben architettato: DeleteProfileShare ben architettato: DeleteReviewTemplate ben architettato: DeleteTemplateShare ben architettato: DeleteWorkload ben architettato: DeleteWorkloadShare ben architettato: DisassociateLenses ben architettato: DisassociateProfiles ben architettato: ExportLens ben architettato: GetAnswer ben architettato: GetConsolidatedReport ben architettato: GetGlobalSettings ben architettato: GetLens ben architettato: GetLensReview ben architettato: GetLensReviewReport ben architettato: GetLensVersionDifference ben architettato: GetMilestone ben architettato: GetProfile ben architettato: GetProfileTemplate ben architettato: GetReviewTemplate ben architettato: GetReviewTemplateAnswer ben architettato: GetReviewTemplateLensReview ben architettato: GetWorkload ben architettato: ImportLens ben architettato: ListAnswers ben architettato: ListCheckDetails ben architettato: ListCheckSummaries ben architettato: ListLensReviewImprovements ben architettato: ListLensReviews ben architettato: ListLensShares ben architettato: ListLenses ben architettato: ListMilestones ben architettato: ListNotifications ben architettato: ListProfileNotifications ben architettato: ListProfileShares ben architettato: ListProfiles ben architettato: ListReviewTemplateAnswers ben architettato: ListReviewTemplates ben architettato: ListShareInvitations ben architettato: ListTemplateShares ben architettato: ListWorkloadShares ben architettato: ListWorkloads ben architettato: UpdateAnswer ben architettato: UpdateGlobalSettings ben architettato: UpdateIntegration ben architettato: UpdateLensReview ben architettato: UpdateProfile ben architettato: UpdateReviewTemplate ben architettato: UpdateReviewTemplateLensReview ben architettato: UpdateShareInvitation ben architettato: UpdateWorkload ben architettato: UpdateWorkloadShare ben architettato: UpgradeLensReview ben architettato: UpgradeProfileVersion ben architettato: UpgradeReviewTemplateLensReview  | 
| wisdom |  saggezza: CreateAssistant saggezza: CreateAssistantAssociation saggezza: CreateContent saggezza: CreateKnowledgeBase saggezza: CreateQuickResponse saggezza: CreateSession saggezza: DeleteAssistant saggezza: DeleteAssistantAssociation saggezza: DeleteContent saggezza: DeleteImportJob saggezza: DeleteKnowledgeBase saggezza: DeleteQuickResponse saggezza: GetAssistant saggezza: GetAssistantAssociation saggezza: GetContent saggezza: GetContentAssociation saggezza: GetContentSummary saggezza: GetImportJob saggezza: GetKnowledgeBase saggezza: GetRecommendations saggezza: GetSession saggezza: ListAssistantAssociations saggezza: ListAssistants saggezza: ListContentAssociations saggezza: ListContents saggezza: ListImportJobs saggezza: ListKnowledgeBases saggezza: ListQuickResponses saggezza: NotifyRecommendationsReceived saggezza: QueryAssistant saggezza: RemoveKnowledgeBaseTemplateUri saggezza: SearchContent saggezza: SearchQuickResponses saggezza: SearchSessions saggezza: StartContentUpload saggezza: StartImportJob saggezza: UpdateContent saggezza: UpdateKnowledgeBaseTemplateUri saggezza: UpdateQuickResponse saggezza: UpdateSession  | 
| worklink |  collegamento di lavoro: AssociateDomain collegamento di lavoro: AssociateWebsiteAuthorizationProvider collegamento di lavoro: AssociateWebsiteCertificateAuthority collegamento di lavoro: CreateFleet collegamento di lavoro: DeleteFleet collegamento di lavoro: DescribeAuditStreamConfiguration collegamento di lavoro: DescribeCompanyNetworkConfiguration collegamento di lavoro: DescribeDevice collegamento di lavoro: DescribeDevicePolicyConfiguration collegamento di lavoro: DescribeDomain collegamento di lavoro: DescribeFleetMetadata collegamento di lavoro: DescribeIdentityProviderConfiguration collegamento di lavoro: DescribeWebsiteCertificateAuthority collegamento di lavoro: DisassociateDomain collegamento di lavoro: DisassociateWebsiteAuthorizationProvider collegamento di lavoro: DisassociateWebsiteCertificateAuthority collegamento di lavoro: ListDevices collegamento di lavoro: ListDomains collegamento di lavoro: ListFleets collegamento di lavoro: ListWebsiteAuthorizationProviders collegamento di lavoro: ListWebsiteCertificateAuthorities collegamento di lavoro: RestoreDomainAccess collegamento di lavoro: RevokeDomainAccess collegamento di lavoro: SignOutUser collegamento di lavoro: UpdateAuditStreamConfiguration collegamento di lavoro: UpdateCompanyNetworkConfiguration collegamento di lavoro: UpdateDevicePolicyConfiguration collegamento di lavoro: UpdateDomainMetadata collegamento di lavoro: UpdateFleetMetadata collegamento di lavoro: UpdateIdentityProviderConfiguration  | 
| workspace |  spazi di lavoro: AcceptAccountLinkInvitation spazi di lavoro: AssociateConnectionAlias spazi di lavoro: AssociateIpGroups spazi di lavoro: AssociateWorkspaceApplication spazi di lavoro: CopyWorkspaceImage spazi di lavoro: CreateAccountLinkInvitation spazi di lavoro: CreateConnectClientAddIn spazi di lavoro: CreateConnectionAlias spazi di lavoro: CreateIpGroup spazi di lavoro: CreateStandbyWorkspaces spazi di lavoro: CreateUpdatedWorkspaceImage spazi di lavoro: CreateWorkspaceBundle spazi di lavoro: CreateWorkspaceImage spazi di lavoro: CreateWorkspaces spazi di lavoro: CreateWorkspacesPool spazi di lavoro: DeleteAccountLinkInvitation spazi di lavoro: DeleteClientBranding spazi di lavoro: DeleteConnectClientAddIn spazi di lavoro: DeleteConnectionAlias spazi di lavoro: DeleteIpGroup spazi di lavoro: DeleteWorkspaceBundle spazi di lavoro: DeleteWorkspaceImage spazi di lavoro: DeployWorkspaceApplications spazi di lavoro: DeregisterWorkspaceDirectory spazi di lavoro: DescribeAccount spazi di lavoro: DescribeAccountModifications spazi di lavoro: DescribeApplicationAssociations spazi di lavoro: DescribeApplications spazi di lavoro: DescribeBundleAssociations spazi di lavoro: DescribeClientBranding spazi di lavoro: DescribeClientProperties spazi di lavoro: DescribeConnectClientAddIns spazi di lavoro: DescribeConnectionAliasPermissions spazi di lavoro: DescribeConnectionAliases spazi di lavoro: DescribeCustomWorkspaceImageImport spazi di lavoro: DescribeImageAssociations spazi di lavoro: DescribeIpGroups spazi di lavoro: DescribeWorkspaceAssociations spazi di lavoro: DescribeWorkspaceBundles spazi di lavoro: DescribeWorkspaceDirectories spazi di lavoro: DescribeWorkspaceImagePermissions spazi di lavoro: DescribeWorkspaceSnapshots spazi di lavoro: DescribeWorkspaces spazi di lavoro: DescribeWorkspacesConnectionStatus spazi di lavoro: DescribeWorkspacesPoolSessions spazi di lavoro: DescribeWorkspacesPools spazi di lavoro: DisassociateConnectionAlias spazi di lavoro: DisassociateIpGroups spazi di lavoro: DisassociateWorkspaceApplication spazi di lavoro: GetAccountLink spazi di lavoro: ImportClientBranding spazi di lavoro: ImportWorkspaceImage spazi di lavoro: ListAccountLinks spazi di lavoro: ListAvailableManagementCidrRanges spazi di lavoro: MigrateWorkspace spazi di lavoro: ModifyAccount spazi di lavoro: ModifyCertificateBasedAuthProperties spazi di lavoro: ModifyClientProperties spazi di lavoro: ModifyEndpointEncryptionMode spazi di lavoro: ModifySamlProperties spazi di lavoro: ModifySelfservicePermissions spazi di lavoro: ModifyStreamingProperties spazi di lavoro: ModifyWorkspaceAccessProperties spazi di lavoro: ModifyWorkspaceCreationProperties spazi di lavoro: ModifyWorkspaceProperties spazi di lavoro: ModifyWorkspaceState spazi di lavoro: RebootWorkspaces spazi di lavoro: RebuildWorkspaces spazi di lavoro: RegisterWorkspaceDirectory spazi di lavoro: RejectAccountLinkInvitation spazi di lavoro: RestoreWorkspace spazi di lavoro: StartWorkspaces spazi di lavoro: StartWorkspacesPool spazi di lavoro: StopWorkspaces spazi di lavoro: StopWorkspacesPool spazi di lavoro: TerminateWorkspaces spazi di lavoro: TerminateWorkspacesPool spazi di lavoro: TerminateWorkspacesPoolSession spazi di lavoro: UpdateConnectClientAddIn spazi di lavoro: UpdateConnectionAliasPermission spazi di lavoro: UpdateWorkspaceBundle spazi di lavoro: UpdateWorkspaceImagePermission spazi di lavoro: UpdateWorkspacesPool  | 
| xray |  radiografia: CreateGroup radiografia: CreateSamplingRule radiografia: DeleteGroup radiografia: DeleteResourcePolicy radiografia: DeleteSamplingRule radiografia: GetEncryptionConfig radiografia: GetGroup radiografia: GetGroups radiografia: GetInsight radiografia: GetInsightEvents radiografia: GetInsightImpactGraph radiografia: GetInsightSummaries radiografia: GetSamplingRules radiografia: ListResourcePolicies radiografia: PutEncryptionConfig radiografia: PutResourcePolicy radiografia: UpdateGroup radiografia: UpdateSamplingRule  | 

# Riepiloghi delle policy
<a name="access_policies_understand"></a>

La console IAM include tabelle di *riepilogo di policy* che descrivono il livello di accesso, le risorse e le condizioni concesse o rifiutate per ciascun servizio in una policy. Le policy sono riassunte in tre tabelle: [riepilogo della policy](access_policies_understand-policy-summary.md), [riepilogo del servizio](access_policies_understand-service-summary.md) e [riepilogo dell'operazione](access_policies_understand-action-summary.md). La tabella di *riepilogo della policy* include un elenco di servizi. Scegli un servizio per visualizzare il *riepilogo del servizio*. Questa tabella include un elenco delle operazioni e le autorizzazioni associate per il servizio scelto. È possibile scegliere un'operazione dalla tabella per visualizzare il *riepilogo dell'operazione*. Questa tabella include un elenco di risorse e condizioni per l'operazione scelta. 

![\[Immagine del diagramma dei riepiloghi delle policy che mostra le 3 tabelle e le loro relazioni\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policy_summaries-diagram.png)


Puoi visualizzare i riepiloghi delle policy nella pagina **Users (Utenti)** o **Roles (Ruoli)** per tutte le policy (gestite e inline) collegate a tale utente. e visualizzare i riepiloghi nella pagina **Policies (Policy)** per tutte le policy gestite. Le politiche AWS gestite includono politiche AWS gestite, politiche gestite delle funzioni lavorative e politiche gestite dai clienti. Puoi visualizzare riepiloghi per queste policy nella pagina **Policies (Policy)**, indipendentemente dal fatto che siano collegate a un utente o a un'altra identità IAM.

Puoi utilizzare le informazioni nei riepiloghi delle policy per comprendere le autorizzazioni che vengono concesse o negate dalla policy. I riepiloghi delle policy facilitano la [risoluzione dei problemi](troubleshoot_policies.md) e consentono di correggere policy che non forniscono le autorizzazioni previste.

**Topics**
+ [

# Riepilogo della policy (elenco di servizi)
](access_policies_understand-policy-summary.md)
+ [

# Livelli di accesso nei riepiloghi delle policy
](access_policies_understand-policy-summary-access-level-summaries.md)
+ [

# Riepilogo del servizio (elenco di operazioni)
](access_policies_understand-service-summary.md)
+ [

# Riepilogo delle operazioni (elenco di risorse)
](access_policies_understand-action-summary.md)
+ [

# Esempi di riepiloghi di policy
](access_policies_policy-summary-examples.md)

# Riepilogo della policy (elenco di servizi)
<a name="access_policies_understand-policy-summary"></a>

Le policy sono riassunte in tre tabelle: riepilogo della policy, [riepilogo del servizio](access_policies_understand-service-summary.md) e [riepilogo dell'operazione](access_policies_understand-action-summary.md). La tabella *riepilogo della policy* include un elenco di servizi e riepiloghi delle autorizzazioni definite dalla policy scelta. 

![\[Immagine del diagramma dei riepiloghi delle policy che mostra le 3 tabelle e le loro relazioni\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policy_summaries-pol-sum.png)


La tabella di riepilogo della policy è raggruppata in una o più sezioni: **Uncategorized services (Servizi non categorizzati)**, **Explicit deny (Rifiuto esplicito)** e **Allow (Permetti)**. Se la policy include un servizio che IAM non riconosce, il servizio viene incluso nella sezione **Servizi non categorizzati** della tabella. Se IAM riconosce il servizio, viene incluso nelle sezioni **Rifiuto esplicito** o **Permetti** della tabella, a seconda dell'effetto della policy (`Deny` o `Allow`).

## Comprendere gli elementi del riepilogo di una policy
<a name="understanding-elements-policy-summary"></a>

Nell'esempio seguente di pagina dei dettagli di una policy, la **SummaryAllElements**policy è una policy gestita (policy gestita dal cliente) allegata direttamente all'utente. Questa policy è espansa per visualizzare il riepilogo della policy. 

![\[Immagine della finestra di dialogo di riepilogo della policy\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-user-page-dialog.png)


Nell'immagine precedente, il riepilogo della policy è visibile all'interno della pagina **Policy**:

1. La scheda **Autorizzazioni** include le autorizzazioni definite nella policy.

1. Se la policy non concede le autorizzazioni a tutte le operazioni, risorse e condizioni definite per il servizio nella policy, viene visualizzato un banner di avviso o errore nella parte superiore della pagina. Il riepilogo della policy include i dettagli sul problema. Per ulteriori informazioni su come i riepiloghi della policy aiutano a capire e risolvere i problemi delle autorizzazioni che la policy concede, consultare [La policy non concede le autorizzazioni previste](troubleshoot_policies.md#policy-summary-not-grant-permissions).

1. Utilizza i pulsanti **Riepilogo** e **JSON** per passare tra il riepilogo della policy e il documento della policy JSON.

1.  Utilizza la casella **Cerca** per ridurre l'elenco dei servizi e trovare un servizio specifico.

1. La visualizzazione estesa mostra dettagli aggiuntivi della **SummaryAllElements**politica.

La seguente immagine della tabella di riepilogo della politica mostra la **SummaryAllElements**politica estesa nella pagina dei dettagli della politica.

![\[Immagine della finestra di dialogo di riepilogo della policy\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-table-dialog.png)


Nell'immagine precedente, il riepilogo della policy è visibile all'interno della pagina **Policy**:

1. Per i servizi riconosciuti, IAM li organizza in base al fatto che la policy permetta o rifiuti esplicitamente l'utilizzo del servizio. In questo esempio, la policy include una `Deny` dichiarazione per il servizio Amazon S3 e `Allow` dichiarazioni per i servizi di fatturazione e Amazon EC2. CodeDeploy

1. **Servizio**: questa colonna riporta i servizi definiti all'interno della policy e fornisce i dettagli per ciascun servizio. Ogni nome di servizio nella tabella di riepilogo della policy è un collegamento alla tabella di *riepilogo del servizio* illustrata in [Riepilogo del servizio (elenco di operazioni)](access_policies_understand-service-summary.md). In questo esempio, vengono definite le autorizzazioni per i servizi Amazon S3, Billing CodeDeploy e Amazon EC2.

1. **Livello di accesso**: questa colonna indica se le operazioni di ciascun livello di accesso (`List`, `Read`, `Write`, `Permission Management` e `Tagging`) dispongono dell'autorizzazione `Full` o `Limited` definita nella policy. Per ulteriori informazioni ed esempi del riepilogo del livello di accesso, consultare [Livelli di accesso nei riepiloghi delle policy](access_policies_understand-policy-summary-access-level-summaries.md).
   + **Accesso completo**: questa voce indica che il servizio ha accesso a tutte le operazioni entro tutti e quattro i livelli di accesso disponibili per il servizio.
   + <a name="full-vs-limited-access-summary"></a>Se la voce non include **Full access (Accesso completo)**, il servizio ha accesso ad alcune ma non tutte le operazioni per il servizio. L'accesso viene quindi definito dalle seguenti descrizioni per ciascuna delle classificazioni a livello di accesso (`List`, `Read`, `Write`, `Permission Management` e `Tagging`):

     **Full (Completo)**: la policy consente l'accesso a tutte le operazioni all'interno di ciascuna classificazione del livello di accesso elencata. In questo esempio, la policy consente l'accesso a tutte le operazioni `Read` di fatturazione.

     **Limited (Limitato)**: la policy consente l'accesso a una o più operazioni all'interno di ciascuna classificazione del livello di accesso elencata, ma non a tutte. In questo esempio, la policy consente l'accesso ad alcune operazioni `Write` di fatturazione.

1. **Risorsa**: questa colonna mostra le risorse che la policy specifica per ogni servizio. 
   + **Multiple**: la policy include più di una ma non tutte le risorse all'interno del servizio. In questo esempio, l'accesso viene rifiutato esplicitamente a più di una risorsa Amazon S3.
   + **Tutte le risorse**: la policy è definita per tutte le risorse all'interno del servizio. In questo esempio, la policy permette di eseguire le operazioni elencate per tutte le risorse di fatturazione.
   + Testo della risorsa: la policy include una risorsa all'interno del servizio. In questo esempio, le azioni elencate sono consentite solo sulla risorsa. `DeploymentGroupName` CodeDeploy A seconda delle informazioni che il servizio fornisce a IAM, è possibile che venga visualizzato un ARN o il tipo di risorsa definita.
**Nota**  
Questa colonna può includere una risorsa da un altro servizio. Se l'istruzione di policy che include la risorsa non include entrambe le operazioni e risorse dallo stesso servizio, la policy include le risorse non corrispondenti. IAM non visualizza avvisi per le risorse non corrispondenti al momento della creazione di una policy o della visualizzazione di una policy nel riepilogo della policy. Se questa colonna include una risorsa non corrispondente, è necessario verificare se ci sono errori nella policy. Per verificare meglio le policy, eseguire sempre un test tramite il [simulatore di policy](access_policies_testing-policies.md).

1. **Condizioni richiesta**: questa colonna indica se i servizi o le operazioni associati alla risorsa sono soggetti a condizioni.
   + **Nessuna**: la policy non include condizioni per il servizio. In questo esempio non vengono applicate condizioni alle operazioni rifiutate nel servizio Amazon S3.
   + Testo della condizione: la policy include una condizione per il servizio. In questo esempio, le operazioni di Fatturazione elencate sono consentite solo se l'indirizzo IP di origine corrisponde a `203.0.113.0/24`.
   + **Multiple**: la policy include più di una condizione per il servizio. Per visualizzare tutte le condizioni multiple per la policy, seleziona **JSON** per visualizzare il documento della policy.

1. **Mostra servizi rimanenti**: attiva/disattiva questo pulsante per espandere la tabella e includere i servizi che non sono definiti dalla policy. Questi servizi vengono *rifiutati implicitamente* (o rifiutati per impostazione predefinita) all'interno della policy. Tuttavia, un'istruzione in un'altra policy potrebbe permettere o rifiutare esplicitamente l'utilizzo del servizio. Il riepilogo della policy fornisce un elenco delle autorizzazioni di una singola policy. Per informazioni su come il AWS servizio decide se consentire o rifiutare una determinata richiesta, consulta[Logica di valutazione delle policy](reference_policies_evaluation-logic.md).

Quando una policy o un elemento all'interno della policy non concede autorizzazioni, IAM vengono forniti ulteriori avvisi e informazioni nel riepilogo della policy. La seguente tabella di riepilogo delle politiche mostra la versione estesa **dei servizi Mostra i servizi rimanenti** nella pagina dei dettagli della **SummaryAllElements**politica con i possibili avvisi.

![\[Immagine della finestra di dialogo di riepilogo della policy\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-table-showremaining-dialog.png)


Nell'immagine precedente, è possibile visualizzare tutti i servizi che includono operazioni, risorse o condizioni definite senza autorizzazioni.

1. **Avvisi risorse**: per i servizi che non forniscono autorizzazioni per tutte le operazioni o risorse incluse, viene visualizzato uno dei seguenti avvisi nella colonna **Risorsa** della tabella:
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/console-alert-icon.console.png) No resources are defined (Nessuna risorsa definita)** : indica che il servizio ha definito le operazioni, ma nessuna risorsa supportata è inclusa nella policy.
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/console-alert-icon.console.png) One or more actions do not have an applicable resource (Una o più operazioni non hanno una risorsa applicabile)** : indica che il servizio ha definito le operazioni, ma che alcune di esse non hanno una risorsa supportata.
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/console-alert-icon.console.png) One or more resources do not have an applicable action (Una o più risorse non hanno un'operazione applicabile)** : indica che il servizio ha definito le risorse, ma che alcune di esse non hanno un'operazione di supporto.

   Se un servizio include sia operazioni senza una risorsa applicabile sia risorse con una risorsa applicabile, viene visualizzato solo l'avviso **Una o più risorse non hanno un'operazione applicabile**. Questo perché quando si visualizza il riepilogo del servizio per il servizio, le risorse che non si applicano a nessuna operazione non vengono visualizzate. Per l'operazione `ListAllMyBuckets`, questa policy include l'ultimo avvertimento perché l'operazione non supporta le autorizzazioni a livello di risorsa e non supporta la chiave di condizione `s3:x-amz-acl`. Se si risolve il problema della risorsa o della condizione, il problema rimanente appare in un avviso dettagliato.

1. **Avvisi di condizione richiesta**: per i servizi che non forniscono autorizzazioni per tutte le condizioni incluse, viene visualizzato uno dei seguenti avvisi nella colonna **Condizione richiesta** della tabella:
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/console-alert-icon.console.png) One or more actions do not have an applicable condition (Una o più operazioni non hanno una condizione applicabile)** : indica che il servizio ha definito le operazioni, ma che alcune di esse non hanno una condizione supportata.
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/console-alert-icon.console.png) One or more conditions do not have an applicable action (Una o più condizioni non hanno un'operazione applicabile)** : indica che il servizio ha definito le condizioni, ma che alcune di esse non hanno un'operazione di supporto.

1. **Multiple \$1 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/console-alert-icon.console.png) One or more actions do not have an applicable resource (Multiple \$1 Una o più operazioni non hanno una risorsa applicabile).** : l'istruzione `Deny` per Amazon S3 include più di una risorsa. Include anche più di un'operazione e alcune operazioni supportano le risorse, altre no. Per visualizzare questa policy, consulta [Documento di policy JSON **SummaryAllElements**](#policy-summary-example-json). In questo caso, la policy include tutte le operazioni Amazon S3 e vengono rifiutate solo le operazioni che possono essere eseguite per un oggetto bucket o un bucket.

1. **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/console-alert-icon.console.png) Nessuna risorsa definita**: il servizio ha definito le operazioni, ma nella policy non sono incluse risorse supportate e pertanto il servizio non fornisce autorizzazioni. In questo caso, la politica include CodeCommit azioni ma non CodeCommit risorse.

1. **DeploymentGroupName \$1 string like \$1 All, region \$1 string like \$1 us-west-2 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/console-alert-icon.console.png) \$1 Una o più azioni non hanno una risorsa applicabile.** : il servizio dispone di una operazione definita e di almeno un'altra operazione senza una risorsa di supporto.

1. **Nessuna \$1 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/console-alert-icon.console.png) Una o più condizioni non hanno un'operazione applicabile.** : il servizio dispone almeno di una chiave di condizione che non ha un'operazione di supporto.

## Documento di policy JSON **SummaryAllElements**
<a name="policy-summary-example-json"></a>

La **SummaryAllElements**policy non è pensata per essere utilizzata dall'utente per definire le autorizzazioni nel proprio account. Al contrario, è inclusa per dimostrare gli errori e gli avvisi che possono verificarsi durante la visualizzazione di una policy di riepilogo.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "billing:Get*",
                "payments:List*",
                "payments:Update*",
                "account:Get*",
                "account:List*",
                "cur:GetUsage*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "203.0.113.0/24"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "s3:*"
            ],
            "Resource": [
                "arn:aws:s3:::customer",
                "arn:aws:s3:::customer/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetConsoleScreenshots"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "codedploy:*",
                "codecommit:*"
            ],
            "Resource": [
                "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*",
                "arn:aws:codebuild:us-east-1:123456789012:project/my-demo-project"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetObject",
                "s3:DeletObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:autoscling:us-east-2:123456789012:autoscalgrp"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": [
                        "public-read"
                    ],
                    "s3:prefix": [
                        "custom",
                        "other"
                    ]
                }
            }
        }
    ]
}
```

------

# Visualizzazione dei riepiloghi delle policy
<a name="access_policies_view-policy-summary"></a>

È possibile visualizzare il riepilogo della policy per qualsiasi policy collegata a un utente o a un ruolo IAM. Per le policy gestite, è possibile visualizzare i riepiloghi della policy nella pagina **Policy**. Se la policy non include un riepilogo, consultare [Riepilogo della policy mancante](troubleshoot_policies.md#missing-policy-summary) per scoprire perché.

## Visualizzazione dei riepiloghi delle policy dalla pagina **Policy**
<a name="viewing-policy-summaries-from-the-policies-page"></a>

È possibile visualizzare il riepilogo della policy per le policy gestite nella pagina **Policies (Policy)**.

**Per visualizzare il riepilogo della policy dalla pagina **Policies (Policy)****

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, scegli **Policy**.

1. Nell'elenco delle policy, selezionare il nome della policy che si desidera modificare.

1. Nella pagina **Dettagli della policy** per la policy, visualizza la scheda **Autorizzazioni** per consultare il riepilogo della policy.

## Visualizzazione di un riepilogo per una policy collegata a un utente
<a name="viewing-policy-summaries-for-policies-attached-to-users"></a>

È possibile visualizzare il riepilogo della policy per qualsiasi policy collegata a un utente IAM.

**Per visualizzare il riepilogo per una policy collegata a un utente**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Selezionare **Users (Utenti)** dal riquadro di navigazione.

1. Nell'elenco di utenti, selezionare il nome dell'utente la cui policy si desidera visualizzare.

1. Nella pagina **Summary (Riepilogo)** per l'utente, visualizzare la scheda **Permissions (Autorizzazioni)** per visualizzare l'elenco di policy collegate all'utente direttamente o da un gruppo.

1. Nella tabella di policy per l'utente, espandere la riga della policy che si desidera visualizzare.

## Visualizzazione di un riepilogo per una policy collegata a un ruolo
<a name="viewing-policy-summaries-for-policies-attached-to-roles"></a>

È possibile visualizzare il riepilogo della policy per qualsiasi policy collegata a un ruolo.

**Per visualizzare il riepilogo per una policy collegata a un ruolo**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione, seleziona **Ruoli**.

1. Nell'elenco di ruoli, selezionare il nome del ruolo la cui policy si desidera visualizzare.

1. Nella pagina **Summary (Riepilogo)** per il ruolo, visualizzare la scheda **Permissions (Autorizzazioni)** per visualizzare l'elenco di policy collegate al ruolo.

1. Nella tabella di policy per il ruolo, espandere la riga della policy che si desidera visualizzare.

## Modifica delle policy per correggere gli avvisi
<a name="edit-policy-summary"></a>

Durante la visualizzazione di un riepilogo della policy, è possibile che venga rilevato un errore o che la policy non fornisca le autorizzazioni previste. Non è possibile modificare direttamente un riepilogo della policy. Tuttavia, è possibile modificare una policy gestita dal cliente utilizzando l'editor visivo della policy, che rileva molti degli stessi errori e avvisi segnalati dal riepilogo della policy. È quindi possibile visualizzare le modifiche nel riepilogo della policy per verificare se sono stati risolti tutti i problemi. Per ulteriori informazioni su come modificare una policy inline, consultare [Modificare le policy IAM](access_policies_manage-edit.md). Non è possibile modificare le politiche AWS gestite.

È possibile modificare una policy per il riepilogo della policy con l'opzione **Visivo**

**Per modificare una policy per il riepilogo della policy tramite l'opzione **Visivo****

1. Aprire il riepilogo della policy come spiegato nelle procedure precedenti.

1. Scegli **Modifica**.

   Se nella pagina **Users (Utenti)** si sceglie di modificare una policy gestita dal cliente collegata a tale utente, si viene reindirizzati alla pagina **Policies (Policy)**. È possibile modificare le policy gestite dai clienti solo nella pagina **Policies (Policy)**.

1. Seleziona l'opzione **Visivo** per visualizzare la rappresentazione visiva modificabile della policy. IAM potrebbe modificare la struttura della policy per ottimizzarla per l'editor visivo e facilitare così la ricerca e la risoluzione di eventuali problemi. Gli avvisi e i messaggi di errore nella pagina possono agevolare la risoluzione di eventuali problemi della policy. Per ulteriori informazioni sul modo in cui IAM modifica la struttura delle policy, consulta [Modifica della struttura delle policy](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Modifica la policy e seleziona **Successivo** per visualizzare le modifiche riflesse nel riepilogo della policy. Se sono presenti ancora problemi, selezionare **Previous (Precedente)** per tornare alla schermata di modifica.

1. Per salvare le modifiche, scegliere **Salva modifiche**.

È possibile modificare una policy per il riepilogo della policy con l'opzione **JSON**

**Per modificare una policy per il riepilogo della policy tramite l'opzione **JSON****

1. Aprire il riepilogo della policy come spiegato nelle procedure precedenti.

1. Utilizza i pulsanti **Riepilogo** e **JSON** per confrontare il riepilogo della policy e il documento della policy JSON. È possibile utilizzare queste informazioni per determinare quali righe del documento di policy modificare.

1. Scegli **Modifica** e quindi seleziona l'opzione **JSON** per modificare il documento della policy JSON.
**Nota**  
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'opzione dell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

   Se nella pagina **Users (Utenti)** si sceglie di modificare una policy gestita dal cliente collegata a tale utente, si viene reindirizzati alla pagina **Policies (Policy)**. È possibile modificare le policy gestite dai clienti solo nella pagina **Policies (Policy)**.

1. Modifica la policy. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la [convalida delle policy](access_policies_policy-validator.md), quindi scegli **Next** (Successivo). Se sono presenti ancora problemi, selezionare **Previous (Precedente)** per tornare alla schermata di modifica.

1. Per salvare le modifiche, scegliere **Salva modifiche**.

# Livelli di accesso nei riepiloghi delle policy
<a name="access_policies_understand-policy-summary-access-level-summaries"></a>

## AWS riepilogo del livello di accesso
<a name="access_policies_access-level-summaries"></a>

I riepiloghi delle policy includono un riepilogo del livello di accesso che descrive le autorizzazioni operative definite per ciascun servizio menzionato nella policy. Per informazioni sui riepiloghi delle policy, consultare [Riepiloghi delle policy](access_policies_understand.md). I riepiloghi dei livelli di accesso indicano se per le operazioni di ciascun livello di accesso (`List`, `Read`, `Tagging`, `Write`, and `Permissions management`) sono definite autorizzazioni `Full` o `Limited` nella policy. Per visualizzare la classificazione del livello di accesso assegnata a ciascuna azione in un servizio, vedere [Azioni, risorse e chiavi di condizione per AWS i servizi](reference_policies_actions-resources-contextkeys.html).

L'esempio seguente descrive l'accesso fornito da una policy per i servizi in questione. Per esempi di documenti completi della policy JSON e i relativi riepiloghi, consultare [Esempi di riepiloghi di policy](access_policies_policy-summary-examples.md).


****  

| Servizio | Livello di accesso | Questa policy fornisce quanto segue | 
| --- | --- | --- | 
| IAM | Accesso completo ad  | Accedi a tutte le operazioni all'interno del servizio IAM. | 
| CloudWatch | Completo: elenco | Accesso a tutte CloudWatch le azioni nel livello di List accesso, ma nessun accesso alle azioni con classificazione a livello di Permissions management accesso o. Read Write | 
| Data Pipeline | Limitato: elenco, lettura | Accesso ad almeno una ma non a tutte AWS Data Pipeline le azioni nel livello di Read accesso List e, ma non alle Permissions management azioni Write o. | 
| EC2 | Completo: elenco, lettura Limitato: scrittura | Accesso a tutte le operazioni List e Read di Amazon EC2 e accesso ad almeno una, ma non a tutte le operazioni Write di Amazon EC2, ma nessun accesso alle operazioni con la classificazione a livello di accesso Permissions management. | 
| S3 | Limitato: lettura, scrittura, gestione autorizzazioni | Accesso ad almeno una, ma non a tutte le operazioni Amazon S3, Read, Write e Permissions management. | 
| codedploy | (vuoto) | Accesso sconosciuto, perché IAM non riconosce questo servizio. | 
| Gateway API | Nessuno | Nessun accesso è definito nella policy. | 
| CodeBuild | ![\[a white exclamation point on an orange triangle background\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/console-alert-icon.console.png) Non viene definita nessuna operazione. | Nessun accesso, perché non sono definite operazioni per il servizio. Per ulteriori informazioni su questo problema e sulla sua risoluzione, consultare [La policy non concede le autorizzazioni previste](troubleshoot_policies.md#policy-summary-not-grant-permissions). | 

Come spiegato in precedenza, **Accesso completo** indica che la policy concede l'accesso a tutte le operazioni all'interno del servizio. Le policy che forniscono accesso ad alcune ma non a tutte le operazioni all'interno di un servizio sono ulteriormente raggruppate in base alla classificazione del livello di accesso. Tale differenza viene indicata da uno dei seguenti raggruppamenti a livello di accesso:
+ **Full (Completo)**: la policy consente l'accesso a tutte le operazioni all'interno della classificazione specificata per il livello di accesso.
+ **Limited (Limitato)**: la policy consente l'accesso a una o più operazioni all'interno della classificazione specificata per il livello di accesso, ma non a tutte.
+ **None (Nessuno)**: la policy non fornisce alcun accesso.
+ (vuoto): IAM non riconosce questo servizio. Se il nome del servizio include un errore ortografico, la policy non concederà l'accesso al servizio. Se il nome è corretto, il servizio potrebbe non supportare i riepiloghi della policy o potrebbe essere in anteprima. In questo caso, la policy potrebbe fornire l'accesso, ma questo non può essere visualizzato nel riepilogo della policy. Per richiedere il riepilogo della policy per un servizio disponibile a livello generale, consultare [Il servizio non supporta i riepiloghi delle policy IAM](troubleshoot_policies.md#unsupported-services-actions).

I riepiloghi dei livelli di accesso che includono un accesso limitato (parziale) alle azioni sono raggruppati utilizzando le classificazioni dei livelli di AWS accesso`List`,, `Read``Tagging`, `Write` o. `Permissions management`

## AWS livelli di accesso
<a name="access_policies_access-level"></a>

AWS definisce le seguenti classificazioni dei livelli di accesso per le azioni in un servizio:
+ **List (Elenco)**: autorizzazione a elencare le risorse all'interno del servizio per determinare l'esistenza di un oggetto. Le operazioni con questo livello di accesso possono elencare gli oggetti, ma consentono di visualizzare i contenuti di una risorsa. Ad esempio, l'operazione Amazon S3 `ListBucket` ha un livello di accesso di tipo **Elenco**. 
+ **Read (Lettura)**: autorizzazione a leggere ma non a modificare i contenuti e gli attributi delle risorse del servizio. Ad esempio, le operazioni di Amazon S3 `GetObject` e `GetBucketLocation` hanno un livello di accesso **Lettura**.
+ **Tagging**: autorizzazione per eseguire operazioni che modificano solo lo stato di tag delle risorse. Ad esempio, le operazioni IAM `TagRole` e `UntagRole` dispongono del livello di accesso **Tagging**, in quanto consentono solo l'aggiunta e la rimozione di tag da un ruolo. Tuttavia, l'operazione `CreateRole` consente il tagging di una risorsa del ruolo al momento della creazione di tale ruolo. Poiché l'operazione non aggiunge solo un tag, dispone del livello di accesso `Write`.
+ **Write (Scrittura)**: autorizzazione a creare, eliminare o modificare le risorse del servizio. Ad esempio, le operazioni Amazon S3 `CreateBucket`, `DeleteBucket` e `PutObject` hanno il livello di accesso **Scrittura**. Le operazioni `Write` potrebbero anche consentire la modifica di un tag della risorsa. Tuttavia, un'operazione che consente solo modifiche ai tag dispone del livello di accesso `Tagging`.
+ **Gestione delle autorizzazioni: la gestione delle** autorizzazioni si riferisce alle azioni che controllano l'accesso interno Servizi AWS, incluse le autorizzazioni di identità IAM e non IAM, ma esclude i controlli di accesso a livello di rete come i gruppi di sicurezza. Ad esempio, la maggior parte delle AWS Organizations azioni IAM e delle azioni, nonché le azioni `PutBucketPolicy` Amazon S3, `DeleteBucketPolicy` hanno il livello di accesso alla **gestione delle autorizzazioni**.
**Suggerimento**  
Per migliorare la sicurezza Account AWS, limita o monitora regolarmente le politiche che includono la classificazione dei livelli di accesso alla **gestione delle autorizzazioni**.

Per visualizzare la classificazione del livello di accesso per tutte le azioni di un servizio, consulta [Azioni, risorse e chiavi di condizione per AWS i servizi](reference_policies_actions-resources-contextkeys.html).

# Riepilogo del servizio (elenco di operazioni)
<a name="access_policies_understand-service-summary"></a>

Le policy sono riassunte in tre tabelle: riepilogo della policy, [riepilogo del servizio](access_policies_understand-policy-summary.md) e [riepilogo dell'operazione](access_policies_understand-action-summary.md). La tabella *riepilogo del servizio* include un elenco di operazioni e riepiloghi delle autorizzazioni definite dalla policy per il servizio selezionato.

![\[Immagine del diagramma dei riepiloghi delle policy che mostra le 3 tabelle e le loro relazioni\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policy_summaries-svc-sum.png)


È possibile visualizzare un riepilogo di servizio per ogni servizio elencato nel riepilogo della policy che concede autorizzazioni. La tabella è raggruppata in **Uncategorized actions (Operazioni non categorizzate)**, **Uncategorized resource types (Tipi di risorse non categorizzate)** e sezioni di livello di accesso. Se la policy include un'operazione che IAM non riconosce, l'operazione sarà inclusa nella sezione **Operazioni non categorizzate** della tabella. Se IAM riconosce l’operazione, essa è inclusa in una delle sezioni della tabella dei livelli di accesso (**Elenco**, **Lettura**, **Scrittura** e **Gestione autorizzazioni**). Per visualizzare la classificazione del livello di accesso assegnata a ciascuna azione in un servizio, vedere [Azioni, risorse e chiavi di condizione per AWS i servizi](reference_policies_actions-resources-contextkeys.html).

## Informazioni sugli elementi del riepilogo di un servizio
<a name="understanding-elements-service-summary"></a>

L'esempio seguente è il riepilogo del servizio per le operazioni Amazon S3 consentite dal riepilogo della policy. Le operazioni per questo servizio sono raggruppate per livello di accesso. Ad esempio, sono definite 35 operazioni di **lettura** rispetto alle 52 operazioni di **lettura** totali disponibili per il servizio.

![\[Immagine della finestra di dialogo di riepilogo del servizio\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-action-dialog.png)


La pagina del riepilogo del servizio per una policy gestita include le seguenti informazioni:

1. Se la policy non concede le autorizzazioni a tutte le operazioni, risorse e condizioni definite per il servizio nella policy, quindi un banner di avviso viene visualizzato nella parte superiore della pagina. Il riepilogo del servizio include i dettagli sul problema. Per ulteriori informazioni su come i riepiloghi della policy aiutano a capire e risolvere i problemi delle autorizzazioni che la policy concede, consultare [La policy non concede le autorizzazioni previste](troubleshoot_policies.md#policy-summary-not-grant-permissions).

1. Seleziona **JSON** per visualizzare ulteriori dettagli sulla policy. È possibile eseguire questa operazione per visualizzare tutte le condizioni applicate alle operazioni. (Se si sta visualizzando il riepilogo del servizio per una policy inline collegata direttamente a un utente, è necessario chiudere la finestra del dialogo del riepilogo del servizio e tornare al riepilogo della policy per accedere al documento della policy JSON.)

1. Per visualizzare il riepilogo per una risorsa operazione, digita le parole chiave nella casella **Cerca** per ridurre l'elenco delle operazioni disponibili.

1. Accanto alla freccia **Servizi** viene visualizzato il nome del servizio (in questo caso **S3**). Il riepilogo del servizio per questo servizio include l'elenco delle operazioni consentite o negate definite nella policy. Se il servizio viene visualizzato in **(Negazione esplicita)** nella scheda **Autorizzazioni**, le operazioni elencate nella tabella di riepilogo del servizio vengono negate esplicitamente. Se il servizio viene visualizzato in **Consenti** nella scheda **Autorizzazioni**, le operazioni elencate nella tabella di riepilogo del servizio vengono consentite. 

1. **Operazione**: questa colonna elenca le operazioni definite nella policy e fornisce le risorse e le condizioni per ciascuna operazione. Se la policy concede o nega le autorizzazioni all'operazione, il nome dell'operazione si collega alla tabella *[riepilogo dell'operazione](access_policies_understand-action-summary.md)*. La tabella raggruppa queste operazioni in almeno una o fino a cinque sezioni, a seconda del livello di accesso che la policy consente o nega. Le sezioni sono **Elenco**, **Lettura**, **Scrittura**, **Gestione autorizzazioni**e **Tagging**. Il conteggio indica il numero di operazioni riconosciute che forniscono le autorizzazioni per ogni livello di accesso. Il totale è il numero di operazioni note per il servizio. In questo esempio, 35 operazioni forniscono le autorizzazioni su un totale di 52 operazioni di **lettura** Amazon S3 note. Per visualizzare la classificazione del livello di accesso assegnata a ciascuna azione in un servizio, vedere [Azioni, risorse e chiavi di condizione per AWS i servizi](reference_policies_actions-resources-contextkeys.html).

1. **Mostra operazioni rimanenti**: attiva/disattiva questo pulsante per espandere o nascondere la tabella e includere le operazioni che sono note ma non forniscono le autorizzazioni per questo servizio. L'attivazione o la disattivazione del pulsante visualizza inoltre avvisi per gli elementi che non forniscono le autorizzazioni.

1. **Risorsa**: questa colonna mostra le risorse che la policy definisce per il servizio. IAM non verifica se la risorsa si applica a ciascuna operazione. In questo esempio, le operazioni nel servizio Amazon S3 sono consentite solo nella risorsa del bucket Amazon S3 `developer_bucket`. A seconda delle informazioni che il servizio fornisce a IAM, è possibile che venga visualizzato un ARN come `arn:aws:s3:::developer_bucket/*`, oppure il tipo di risorsa definita, come `BucketName = developer_bucket`.
**Nota**  
Questa colonna può includere una risorsa da un altro servizio. Se l'istruzione di policy che include la risorsa non include entrambe le operazioni e risorse dallo stesso servizio, la policy include le risorse non corrispondenti. IAM non avvisa riguardo alle risorse non corrispondenti al momento della creazione di una policy oppure quando si visualizza una policy nel riepilogo del servizio. IAM inoltre non indica se l'operazione è valida per le risorse, solo se il servizio corrisponde. Se questa colonna include una risorsa non corrispondente, è necessario verificare se ci sono errori nella policy. Per verificare meglio le policy, eseguire sempre un test tramite il [simulatore di policy](access_policies_testing-policies.md).

1. **Condizioni richiesta**: questa colonna mostra se le operazioni che sono associate alla risorsa sono soggette a condizioni. Per ulteriori informazioni su queste condizioni, seleziona **JSON** per visualizzare il documento della policy JSON.

1. **Nessun accesso**: questa policy include un'operazione che non fornisce autorizzazioni. 

1. **Avviso risorsa**: per operazioni con risorse che non forniscono autorizzazioni complete, viene visualizzato uno dei seguenti avvisi:
   + **Questa operazione non supporta le autorizzazioni a livello di risorsa. Richiede un carattere jolly (\$1) per la risorsa.** : indica che la policy include le autorizzazioni a livello di risorsa, ma deve includere `"Resource": ["*"]` per fornire le autorizzazioni per questa operazione.
   + **This action does not have an applicable resource (Questa operazione non ha una risorsa applicabile)** : indica che l'operazione è inclusa nella policy senza una risorsa supportata.
   + **This action does not have an applicable resource and condition (Questa operazione non ha una risorsa e una condizione applicabili)** : indica che l'operazione è inclusa nella policy senza una risorsa supportata e senza una condizione supportata. In questo caso, sussiste anche una condizione inclusa nella policy per questo servizio, ma non ci sono condizioni che si applicano a questa operazione.

1. Le operazioni che forniscono le autorizzazioni includono un collegamento al riepilogo dell'operazione.

# Visualizzazione dei riepiloghi dei servizi
<a name="access_policies_view-service-summary"></a>

È possibile visualizzare un riepilogo di servizio per ogni servizio elencato nel riepilogo della policy che concede autorizzazioni. 

## Visualizzazione dei riepiloghi dei servizi dalla pagina **Policy**
<a name="viewing-service-summaries-from-the-policies-page"></a>

È possibile visualizzare il riepilogo dei servizi per le policy gestite nella pagina **Policy**.

**Per visualizzare il riepilogo del servizio per una policy gestita**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, scegli **Policy**.

1. Nell'elenco delle policy, selezionare il nome della policy che si desidera modificare.

1. Nella pagina **Dettagli della policy** per la policy, visualizza la scheda **Autorizzazioni** per consultare il riepilogo della policy.

1. Nell'elenco dei servizi del riepilogo della policy, selezionare il nome del servizio che si desidera modificare.

## Visualizzazione di un riepilogo del servizio per una policy collegata a un utente
<a name="viewing-service-summaries-for-policies-attached-to-users"></a>

Puoi visualizzare i riepiloghi dei servizi per qualsiasi policy collegata a un utente IAM.

**Per visualizzare il riepilogo del servizio per una policy collegata a un utente**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione, seleziona **Utenti**.

1. Nell'elenco di utenti, selezionare il nome dell'utente la cui policy si desidera visualizzare.

1. Nella pagina **Summary (Riepilogo)** per l'utente, visualizzare la scheda **Permissions (Autorizzazioni)** per visualizzare l'elenco di policy collegate all'utente direttamente o da un gruppo.

1. Nella tabella di policy per l'utente, scegli il nome della policy che si desidera visualizzare.

   Se nella pagina **Utenti** si sceglie di visualizzare il riepilogo dei servizi per una policy collegata a tale utente, si viene reindirizzati alla pagina **Policy**. È possibile visualizzare i riepiloghi dei servizi solo nella pagina **Policy**.

1. Scegli **Riepilogo**. Nell'elenco dei servizi del riepilogo della policy, selezionare il nome del servizio che si desidera modificare.
**Nota**  
Se la policy selezionata è una policy inline collegata direttamente all'utente, appare la tabella di riepilogo del servizio. Se la policy è una policy inline collegata da un gruppo, si passa al documento della policy JSON per quel gruppo. Se la policy è una policy gestita, si viene reindirizzati al riepilogo del servizio per quella policy nella pagina **Policies (Policy)**.

## Visualizzazione di un riepilogo del servizio per una policy collegata a un ruolo
<a name="viewing-service-summaries-for-policies-attached-to-roles"></a>

È possibile visualizzare il riepilogo della policy per qualsiasi policy collegata a un ruolo.

**Per visualizzare il riepilogo del servizio per una policy collegata a un ruolo**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Selezionare **Roles (Ruoli)** dal riquadro di navigazione.

1. Nell'elenco di ruoli, selezionare il nome del ruolo la cui policy si desidera visualizzare.

1. Nella pagina **Summary (Riepilogo)** per il ruolo, visualizzare la scheda **Permissions (Autorizzazioni)** per visualizzare l'elenco di policy collegate al ruolo.

1. Nella tabella di policy per il ruolo, scegli il nome della policy che si desidera visualizzare.

   Se nella pagina **Ruoli** si sceglie di visualizzare il riepilogo dei servizi per una policy collegata a tale utente, si viene reindirizzati alla pagina **Policy**. È possibile visualizzare i riepiloghi dei servizi solo nella pagina **Policy**.

1. Nell'elenco dei servizi del riepilogo della policy, selezionare il nome del servizio che si desidera modificare.

# Riepilogo delle operazioni (elenco di risorse)
<a name="access_policies_understand-action-summary"></a>

Le policy sono riassunte in tre tabelle: riepilogo della policy, [riepilogo del servizio](access_policies_understand-policy-summary.md) e [riepilogo dell'operazione](access_policies_understand-service-summary.md). La tabella del *riepilogo dell'operazione* include un elenco di risorse e le condizioni associate che si applicano a un'operazione prescelta. 

![\[Immagine del diagramma dei riepiloghi delle policy che mostra le 3 tabelle e le loro relazioni.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policy_summaries-action-sum.png)


Per visualizzare un riepilogo dell'operazione per ciascuna operazione che consente le autorizzazioni, selezionare il collegamento nel riepilogo dei servizi. La tabella di riepilogo dell'operazione include dettagli sulla risorsa, compresi la **Region (Regione)** e l'**Account**. È possibile anche visualizzare le condizioni applicabili a ogni risorsa. Questo illustra le condizioni che si applicano ad alcune risorse ma non altre.

## Informazioni sugli elementi del riepilogo di un'operazione
<a name="understanding-elements-action-summary"></a>

L'esempio seguente è il riepilogo dell'operazione (di scrittura) `PutObject` dal riepilogo del servizio Amazon S3 (consulta [Riepilogo del servizio (elenco di operazioni)](access_policies_understand-service-summary.md)). Per questa operazione, la policy definisce più condizioni su una singola risorsa.



![\[Immagine della finestra di dialogo di riepilogo dell'operazione\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-resource-dialog.png)


La pagina di riepilogo dell'operazione include le informazioni riportate di seguito:

1. Seleziona **JSON** per visualizzare ulteriori dettagli sulla policy, ad esempio le condizioni multiple applicate alle operazioni. Se stai visualizzando il riepilogo del servizio per una policy in linea collegata direttamente a un utente, la procedura potrebbe differire. Per accedere al documento di policy JSON in questo caso, è necessario chiudere la finestra del dialogo di riepilogo delle operazioni e tornare al riepilogo della policy.)

1. Per visualizzare il riepilogo per una risorsa specifica, digita le parole chiave nella casella **Cerca** per ridurre l'elenco delle risorse disponibili.

1. Accanto alla freccia indietro **delle azioni** viene visualizzato il nome del servizio e dell'azione nel formato `action name action in service` (in questo caso **PutObject l'azione in S3**). Il riepilogo dell'operazione per questo servizio include l'elenco delle risorse definite nella policy.

1. **Risorsa**: questa colonna elenca le risorse che la policy definisce per il servizio scelto. In questo esempio, l'**PutObject**azione è consentita su tutti i percorsi degli oggetti, ma solo sulla risorsa bucket `developer_bucket` Amazon S3. A seconda delle informazioni che il servizio fornisce a IAM, è possibile che venga visualizzato un ARN come `arn:aws:s3:::developer_bucket/*`, oppure il tipo di risorsa definita, come `BucketName = developer_bucket, ObjectPath = All`.

1. **Regione**: questa colonna mostra la regione in cui la risorsa viene definita. Le risorse possono essere definite per tutte le regioni o per una singola regione. Non possono esistere in più di una regione specifica.
   + **Tutte le regioni**: le operazioni associate alla risorsa si applicano a tutte le regioni. In questo esempio, l'operazione appartiene a un servizio globale, Amazon S3. Le operazioni che appartengono a servizi globali si applicano a tutte le regioni.
   + Testo regione: le operazioni associate alla risorsa si applicano a una regione. Ad esempio, una policy può specificare la regione `us-east-2` per una risorsa.

1. **Account**: questa colonna indica se i servizi o le operazioni associati alla risorsa si applicano a un determinato account. Le risorse possono esistere in tutti gli account o in un singolo account. Non possono esistere in più di un determinato account.
   + **Tutti gli account**: le operazioni associate alla risorsa si applicano a tutti gli account. In questo esempio, l'operazione appartiene a un servizio globale, Amazon S3. Le operazioni che appartengono a servizi globali si applicano a tutti gli account.
   + **Questo account**: le operazioni associate alla risorsa si applicano solo all'account corrente.
   + Numero di account: le operazioni associate alla risorsa si applicano a un account (uno al quale non è stato effettuato l'accesso). Ad esempio, se una policy specifica l'account`123456789012` per una risorsa, quindi il numero di account viene visualizzato nel riepilogo della policy.

1. **Condizione richiesta**: questa colonna mostra se le operazioni associate alla risorsa sono soggette a condizioni. Questo esempio include la condizione `s3:x-amz-acl = public-read`. Per ulteriori informazioni su queste condizioni, seleziona **JSON** per visualizzare il documento della policy JSON.

# Visualizzazione dei riepiloghi delle azioni
<a name="access_policies_view-action-summary"></a>

È possibile visualizzare un riepilogo delle azioni per ogni azione riportata nel riepilogo della policy che concede le autorizzazioni. 

## Visualizzazione dei riepiloghi delle azioni dalla pagina **Policy**
<a name="viewing-action-summaries-from-the-policies-page"></a>

È possibile visualizzare il riepilogo delle azioni per le policy gestite.

**Per visualizzare il riepilogo delle operazioni per una policy gestita**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, scegli **Policy**.

1. Nell'elenco delle policy, selezionare il nome della policy che si desidera modificare.

1. Nella pagina **Dettagli della policy** per la policy, visualizza la scheda **Autorizzazioni** per consultare il riepilogo della policy.

1. Nell'elenco dei servizi del riepilogo della policy, selezionare il nome del servizio che si desidera modificare.

1. Nell'elenco delle operazioni del riepilogo del servizio, selezionare il nome dell'operazione che si desidera visualizzare.

## Visualizzazione dei riepiloghi delle azioni per una policy collegata a un utente
<a name="viewing-action-summaries-for-policies-attached-to-users"></a>

È possibile visualizzare il riepilogo delle azioni per qualsiasi policy collegata a un utente.

**Per visualizzare il riepilogo dell'operazione per una policy collegata a un utente**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Selezionare **Users (Utenti)** dal riquadro di navigazione.

1. Nell'elenco di utenti, selezionare il nome dell'utente la cui policy si desidera visualizzare.

1. Nella pagina **Summary (Riepilogo)** per l'utente, visualizzare la scheda **Permissions (Autorizzazioni)** per visualizzare l'elenco di policy collegate all'utente direttamente o da un gruppo.

1. Nella tabella di policy per l'utente, scegli il nome della policy che si desidera visualizzare.

   Se nella pagina **Utenti** si sceglie di visualizzare il riepilogo dei servizi per una policy collegata a tale utente, si viene reindirizzati alla pagina **Policy**. È possibile visualizzare i riepiloghi dei servizi solo nella pagina **Policy**.

1. Nell'elenco dei servizi del riepilogo della policy, selezionare il nome del servizio che si desidera modificare.
**Nota**  
Se la policy selezionata è una policy inline collegata direttamente all'utente, appare la tabella di riepilogo del servizio. Se la policy è una policy inline collegata da un gruppo, si passa al documento della policy JSON per quel gruppo. Se la policy è una policy gestita, si viene reindirizzati al riepilogo del servizio per quella policy nella pagina **Policies (Policy)**.

1. Nell'elenco delle operazioni del riepilogo del servizio, selezionare il nome dell'operazione che si desidera visualizzare.

## Visualizzazione dei riepiloghi delle azioni per una policy collegata a un ruolo
<a name="viewing-action-summaries-for-policies-attached-to-roles"></a>

È possibile visualizzare il riepilogo delle azioni per qualsiasi policy collegata a un ruolo.

**Per visualizzare il riepilogo dell'operazione per una policy collegata a un ruolo**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione, seleziona **Ruoli**.

1. Nell'elenco di ruoli, selezionare il nome del ruolo la cui policy si desidera visualizzare.

1. Nella pagina **Summary (Riepilogo)** per il ruolo, visualizzare la scheda **Permissions (Autorizzazioni)** per visualizzare l'elenco di policy collegate al ruolo.

1. Nella tabella di policy per il ruolo, scegli il nome della policy che si desidera visualizzare.

   Se nella pagina **Ruoli** si sceglie di visualizzare il riepilogo dei servizi per una policy collegata a tale utente, si viene reindirizzati alla pagina **Policy**. È possibile visualizzare i riepiloghi dei servizi solo nella pagina **Policy**.

1. Nell'elenco dei servizi del riepilogo della policy, selezionare il nome del servizio che si desidera modificare.

1. Nell'elenco delle operazioni del riepilogo del servizio, selezionare il nome dell'operazione che si desidera visualizzare.

# Esempi di riepiloghi di policy
<a name="access_policies_policy-summary-examples"></a>

Gli esempi seguenti includono le policy JSON con i relativi [riepiloghi di policy](access_policies_understand-policy-summary.md), i [riepiloghi dei servizi](access_policies_understand-service-summary.md) e i [riepiloghi delle operazioni](access_policies_understand-action-summary.md), per aiutarti a comprendere le autorizzazioni concesse tramite una policy.

## Politica 1: DenyCustomerBucket
<a name="example1"></a>

Questa policy illustra un permesso e un rifiuto per lo stesso servizio.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccess",
            "Effect": "Allow",
            "Action": ["s3:*"],
            "Resource": ["*"]
        },
        {
            "Sid": "DenyCustomerBucket",
            "Action": ["s3:*"],
            "Effect": "Deny",
            "Resource": ["arn:aws:s3:::customer", "arn:aws:s3:::customer/*" ]
        }
    ]
}
```

------

***DenyCustomerBucket**Riepilogo della politica:*

![\[Immagine della finestra di dialogo di riepilogo della policy\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-example1-dialog.png)


*DenyCustomerBucket Riepilogo del servizio **S3 (negazione esplicita)**:*

![\[Immagine della finestra di dialogo di riepilogo del servizio\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-action-example1-dialog.png)


***GetObject (Leggi) Riepilogo** delle azioni:*

![\[Immagine della finestra di dialogo di riepilogo dell'operazione\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-resource-example1-dialog.png)


## Politica 2: DynamoDbRowCognito ID
<a name="policy_example2"></a>

Questa policy consente l'accesso a livello di riga ad Amazon DynamoDB in base all'ID Amazon Cognito dell'utente.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem"
            ],
            "Resource": [
                "arn:aws:dynamodb:us-west-1:123456789012:table/myDynamoTable"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:LeadingKeys": [
                        "${cognito-identity.amazonaws.com:sub}"
                    ]
                }
            }
        }
    ]
}
```

------

*DynamoDbRowCognitoRiepilogo della politica **ID**:*

![\[Immagine della finestra di dialogo di riepilogo della policy\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-example2-dialog.png)


***DynamoDbRowCognitoRiepilogo del servizio ID DynamoDB (Allow)**:*

![\[Immagine della finestra di dialogo di riepilogo del servizio\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-action-example2-dialog.png)


***GetItem (Elenco) Riepilogo delle** azioni:*

![\[Immagine della finestra di dialogo di riepilogo dell'operazione\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-resource-example2-dialog.png)


## Politica 3: MultipleResourceCondition
<a name="policy_example3"></a>

Questa policy include più risorse e condizioni.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": ["arn:aws:s3:::Apple_bucket/*"],
            "Condition": {"StringEquals": {"s3:x-amz-acl": ["public-read"]}}
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": ["arn:aws:s3:::Orange_bucket/*"],
            "Condition": {"StringEquals": {
                "s3:x-amz-acl": ["custom"],
                "s3:x-amz-grant-full-control": ["1234"]
            }}
        }
    ]
}
```

------

***MultipleResourceCondition**Riepilogo della politica:*

![\[Immagine della finestra di dialogo di riepilogo della policy\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-example3-dialog.png)


*MultipleResourceCondition Riepilogo del servizio **S3 (Consenti)**:*

![\[Immagine della finestra di dialogo di riepilogo del servizio\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-action-example3-dialog.png)


***PutObject (Scrivi)** Riepilogo delle azioni:*

![\[Immagine della finestra di dialogo di riepilogo dell'operazione\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-resource-example3-dialog.png)


## Politica 4: EC2 \$1probleshoot
<a name="policy_example4"></a>

La policy seguente permette agli utenti di ottenere uno screenshot di un'istanza Amazon EC2 in esecuzione, che può essere utile per la risoluzione dei problemi di EC2. Questa policy permette inoltre di visualizzare le informazioni sugli elementi nel bucket degli sviluppatori di Amazon S3. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetConsoleScreenshot"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::developer"
            ]
        }
    ]
}
```

------

***EC2\$1Riepilogo** della politica di risoluzione dei problemi:*

![\[Immagine della finestra di dialogo di riepilogo della policy\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-example4-dialog.png)


***EC2\$1Risolvi i problemi relativi al riepilogo del servizio S3** (Consenti):*

![\[Immagine della finestra di dialogo di riepilogo del servizio\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-action-example4-dialog.png)


***ListBucket (Elenco) Riepilogo delle** azioni:*

![\[Immagine della finestra di dialogo di riepilogo dell'operazione\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-resource-example4-dialog.png)


## Politica 5: CodeBuild \$1 CodeCommit \$1 CodeDeploy
<a name="example6"></a>

Questa politica fornisce l'accesso a CodeDeploy risorse e specifiche CodeBuild. CodeCommit Poiché queste risorse sono specifiche di ogni servizio, vengono visualizzate solo con il servizio corrispondente. Se includi una risorsa che non corrisponde ad alcun servizio nell'elemento `Action`, la risorsa viene visualizzata in tutti i riepiloghi delle operazioni.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Stmt1487980617000",
            "Effect": "Allow",
            "Action": [
                "codebuild:*",
                "codecommit:*",
                "codedeploy:*"
            ],
            "Resource": [
                "arn:aws:codebuild:us-east-2:123456789012:project/my-demo-project",
                "arn:aws:codecommit:us-east-2:123456789012:MyDemoRepo",
                "arn:aws:codedeploy:us-east-2:123456789012:application:WordPress_App",
                "arn:aws:codedeploy:us-east-2:123456789012:instance/AssetTag*"
            ]
        }
    ]
}
```

------

***CodeBuild\$1 CodeCommit \$1** Riepilogo CodeDeploy della politica:*

![\[Immagine della finestra di dialogo di riepilogo della policy\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-example6-dialog.png)


***CodeBuild\$1 CodeCommit \$1 CodeDeploy CodeBuild (Consenti)** Riepilogo del servizio:*

![\[Immagine della finestra di dialogo di riepilogo del servizio\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-action-example6-dialog.png)


***CodeBuild\$1 CodeCommit \$1 CodeDeploy StartBuild (Scrivi)** Riepilogo delle azioni:*

![\[Immagine della finestra di dialogo di riepilogo dell'operazione\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/policies-summary-resource-example6-dialog.png)


# Autorizzazioni necessarie per accedere alle risorse IAM
<a name="access_permissions-required"></a>

Le *risorse* sono oggetti all'interno di un servizio. Le risorse IAM includono gruppi, utenti, ruoli e policy. Se hai effettuato l'accesso con Utente root dell'account AWS credenziali, non hai restrizioni sull'amministrazione delle credenziali IAM o delle risorse IAM. Tuttavia, agli utenti IAM devono essere esplicitamente concesse le autorizzazioni appropriate per amministrare credenziali o risorse IAM. A tale scopo, è possibile collegare all'utente una policy basata su identità.

**Nota**  
In tutta la AWS documentazione, quando facciamo riferimento a una policy IAM senza menzionare nessuna delle categorie specifiche, intendiamo una policy basata sull'identità e gestita dal cliente. Per ulteriori informazioni sulle categorie di policy, consultare [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md).

## Autorizzazioni per amministrare le identità IAM
<a name="access_permissions-required-identities"></a>

Le autorizzazioni necessarie per amministrare gruppi, utenti, ruoli e credenziali IAM in genere corrispondono alle operazioni API per l'attività. Ad esempio, per creare utenti IAM, è necessario disporre dell'autorizzazione `iam:CreateUser` che corrisponde al comando API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html). Per consentire a un utente IAM di creare altri utenti IAM, è possibile collegare una policy AM come la seguente all'utente specificato: 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:CreateUser",
    "Resource": "*"
  }
}
```

------

In una policy, il valore dell'elemento `Resource` dipende dall'operazione e da quali risorse possono essere interessate dall'operazione. Nell'esempio precedente, la policy consente a un utente di creare qualsiasi utente (`*` è un carattere jolly che corrisponde a tutte le stringhe). Per contro, una policy che consente agli utenti di modificare solo le proprie chiavi di accesso (operazioni API [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)) in genere include un elemento `Resource`. In questo caso l'ARN include una variabile (`${aws:username}`) che viene risolta nel nome dell'utente corrente, come nell'esempio seguente: 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListUsersForConsole",
            "Effect": "Allow",
            "Action": "iam:ListUsers",
            "Resource": "arn:aws:iam::*:*"
        },
        {
            "Sid": "ViewAndUpdateAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:UpdateAccessKey",
                "iam:CreateAccessKey",
                "iam:ListAccessKeys"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

Nell'esempio precedente, `${aws:username}` è una variabile che viene risulta nel nome utente dell'utente corrente. Per ulteriori informazioni sulle variabili di policy, consultare [Elementi delle policy IAM: variabili e tag](reference_policies_variables.md). 

L'utilizzo di un carattere jolly (`*`) nel nome dell'operazione spesso facilita la concessione delle autorizzazioni per tutte le operazioni correlate a un'attività specifica. Ad esempio, per consentire agli utenti di eseguire qualsiasi operazione IAM, puoi utilizzare `iam:*` per l'operazione. Per consentire agli utenti di eseguire qualsiasi operazione correlata solo alle chiavi di accesso, puoi utilizzare `iam:*AccessKey*` nell'elemento `Action` di un'istruzione della policy. In questo modo l’utente ottiene l’autorizzazione per eseguire le operazioni [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html). (Se in futuro verrà aggiunta a IAM un'azione con "AccessKey" nel nome, l'utilizzo di `iam:*AccessKey*` for the `Action` element darà anche all'utente l'autorizzazione per quella nuova azione.) L'esempio seguente mostra una politica che consente agli utenti di eseguire tutte le azioni relative alle proprie chiavi di accesso (sostituirle `account-id` con il proprio Account AWS ID): 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "iam:*AccessKey*",
        "Resource": "arn:aws:iam::111122223333:user/${aws:username}"
    }
}
```

------

Alcune attività, ad esempio l'eliminazione di un gruppo, coinvolgono più operazioni: devi prima rimuovere gli utenti dal gruppo, quindi scollegare o eliminare le policy del gruppo e quindi effettivamente eliminare il gruppo. Se desideri che un utente sia in grado di eliminare un gruppo, devi concedere all'utente le autorizzazioni necessarie per eseguire tutte le operazioni correlate. 

## Autorizzazioni per lavorare in Console di gestione AWS
<a name="Credentials-Permissions-overview-console"></a>

Negli esempi precedenti vengono illustrate le politiche che consentono a un utente di eseguire le azioni con [AWS CLI](https://aws.amazon.com/cli/)o il. [AWS SDKs](https://aws.amazon.com/tools/) 

Quando gli utenti utilizzano la console, questa emette richieste a IAM per elencare i gruppi, gli utenti, i ruoli e le policy e per ottenere le policy associate a un gruppo, un utente o un ruolo. La console invia inoltre richieste per ottenere Account AWS informazioni e informazioni sul principale. Il principale è l'utente che effettua le richieste nella console. 

In generale, per eseguire un'operazione, è solo necessario che l'operazione corrispondente sia inclusa in una policy. Per creare un utente, è necessaria l'autorizzazione per chiamare l'operazione `CreateUser`. Spesso, quando utilizzi la console per eseguire un'operazione, devi disporre delle autorizzazioni per mostrare, elencare, ottenere o altrimenti visualizzare le risorse nella console. Ciò è necessario per poter navigare nella console allo scopo di eseguire l'operazione specificata. Ad esempio, se l'utente Jorge desidera utilizzare la console per modificare le proprie chiavi di accesso, passa alla console IAM e sceglie **Utenti**. Questa operazione determina l'esecuzione di una richiesta [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html) da parte della console. Se Jorge non dispone dell'autorizzazione per l'operazione `iam:ListUsers`, alla console viene negato l'accesso quando cerca di elencare gli utenti. Di conseguenza, Jorge non può accedere al proprio nome e alle proprie chiavi di accesso, anche se dispone delle autorizzazioni per le operazioni [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html).

Se desideri concedere agli utenti le autorizzazioni per amministrare gruppi, utenti, ruoli, politiche e credenziali con Console di gestione AWS, devi includere le autorizzazioni per le azioni eseguite dalla console. Per alcuni esempi di policy che è possibile utilizzare per concedere a un utente tali autorizzazioni, consultare [Esempi di policy per amministrare le risorse IAM](id_credentials_delegate-permissions_examples.md). 

## Concedi le autorizzazioni per tutti gli account AWS
<a name="UserPermissionsAcrossAccounts"></a>

È possibile concedere direttamente agli utenti IAM dell'account l'accesso alle risorse. Se gli utenti di un altro account devono accedere alle risorse, è possibile creare un ruolo IAM ovvero un'entità che include le autorizzazioni, ma che non è associato a un utente specifico. Gli utenti di altri account possono utilizzare il ruolo e accedere alle risorse in base alle autorizzazioni assegnate al ruolo. Per ulteriori informazioni, consulta [Accesso per un utente IAM in un altro Account AWS di tua proprietà](id_roles_common-scenarios_aws-accounts.md).

**Nota**  
Alcuni servizi supportano le policy basate sulle risorse, come descritto in [Policy basate sulle identità e policy basate su risorse](access_policies_identity-vs-resource.md) (ad esempio Amazon S3, Amazon SNS e Amazon SQS). Per tali servizi, un'alternativa all'utilizzo dei ruoli consiste nel collegare una policy alla risorsa (bucket, argomento o coda) che si desidera condividere. La politica basata sulle risorse può specificare l' AWS account che dispone delle autorizzazioni per accedere alla risorsa.

## Autorizzazioni per consentire a un servizio di accedere a un altro servizio
<a name="UserPermissionsAcrossAWS_ARCHIVE"></a>

Molti AWS servizi accedono ad altri servizi. AWS Ad esempio, diversi servizi AWS , tra cui Amazon EMR, Elastic Load Balancing e Amazon EC2 Auto Scaling, gestiscono le istanze Amazon EC2. Altri AWS servizi utilizzano bucket Amazon S3, argomenti Amazon SNS, code Amazon SQS e così via.

Lo scenario per gestire le autorizzazioni in questi casi varia a seconda del servizio. Di seguito sono elencati alcuni esempi di come gestire le autorizzazioni per differenti servizi: 
+ In Amazon EC2 Auto Scaling, gli utenti devono disporre dell'autorizzazione per utilizzare Auto Scaling, ma non hanno bisogno dell'autorizzazione esplicita per gestire le istanze Amazon EC2. 
+ In effetti AWS Data Pipeline, un ruolo IAM determina cosa può fare una pipeline; gli utenti hanno bisogno dell'autorizzazione per assumere il ruolo. Per maggiori dettagli, consulta [Concessione di autorizzazioni per le pipeline con IAM](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) nella *Guida per gli sviluppatori di AWS Data Pipeline *. 

Per dettagli su come configurare correttamente le autorizzazioni in modo che un AWS servizio sia in grado di svolgere le attività previste, consulta la documentazione del servizio che stai chiamando. Per informazioni su come creare un ruolo per un servizio, consultare [Creare un ruolo per delegare le autorizzazioni a un servizio AWS](id_roles_create_for-service.md).

**Configurazione di un servizio con un ruolo IAM in modo che funzioni per tuo conto**  
Quando desideri configurare un AWS servizio in modo che funzioni per tuo conto, in genere fornisci l'ARN per un ruolo IAM che definisce ciò che il servizio è autorizzato a fare. AWS verifica di disporre delle autorizzazioni necessarie per trasferire un ruolo a un servizio. Per ulteriori informazioni, consulta [Concedere a un utente le autorizzazioni per passare un ruolo a un servizio AWS](id_roles_use_passrole.md).

## Operazioni necessarie
<a name="access_permissions-required-dependent-actions"></a>

Le operazioni sono le azioni che puoi effettuare su una risorsa, come la visualizzazione, la creazione, la modifica e l'eliminazione di tale risorsa. Le azioni sono definite da ciascun AWS servizio.

Per consentire a qualcuno di eseguire un'operazione, è necessario includere le operazioni necessarie in una policy da applicare all'identità chiamante o alla risorsa interessata. In generale, per fornire le autorizzazioni necessarie per eseguire un'operazione, devi includere tale operazione nella policy. Ad esempio, per creare un utente, è necessario aggiungere l' CreateUser azione alla politica.

In alcuni casi, potrebbe essere necessario includere nella policy ulteriori azioni correlate per eseguire una determinata operazione. Ad esempio, per fornire a qualcuno l'autorizzazione per creare una directory in AWS Directory Service utilizzando l'operazione `ds:CreateDirectory`, devi includere le seguenti operazioni nella relativa policy:
+ `ds:CreateDirectory`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcs`
+ `ec2:CreateSecurityGroup`
+ `ec2:CreateNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:AuthorizeSecurityGroupIngress`
+ `ec2:AuthorizeSecurityGroupEgress`

Quando crei o modifichi una policy utilizzando l'editor grafico, ricevi avvisi e richieste che ti aiutano a selezionare tutte le operazioni necessarie per la policy.

Per ulteriori informazioni sulle autorizzazioni necessarie per creare una directory in AWS Directory Service, vedi [Esempio 2: Consentire a un utente di creare una directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/IAM_Auth_Access_IdentityBased.html#IAMPolicyExamples_DS_create_directory).

# Esempi di policy per amministrare le risorse IAM
<a name="id_credentials_delegate-permissions_examples"></a>

Di seguito sono riportati gli esempi delle policy IAM che consentono agli utenti di eseguire attività associate alla gestione di utenti, gruppi e credenziali IAM. Queste includono le policy che consentono agli utenti di gestire le proprie password, le chiavi di accesso e i dispositivi per la multi-factor authentication (MFA).

Per esempi di policy che consentono agli utenti di eseguire attività con altri AWS servizi, come Amazon S3, Amazon EC2 e DynamoDB, consulta. [Esempi di policy basate su identità IAM](access_policies_examples.md) 

**Topics**
+ [

## Consentire a un utente di elencare i gruppi, gli utenti e le policy dell'account e altro per scopi di report.
](#iampolicy-example-userlistall)
+ [

## Consentire a un utente di gestire l'appartenenza del gruppo
](#iampolicy-example-usermanagegroups)
+ [

## Consentire a un utente di gestire gli utenti IAM
](#creds-policies-users)
+ [

## Consentire agli utenti di impostare una policy per la password dell'account
](#creds-policies-set-password-policy)
+ [

## Consentire agli utenti di generare e recuperare i report delle credenziali IAM
](#iampolicy-generate-credential-report)
+ [

## Consentire tutte le operazioni IAM (accesso amministratore)
](#creds-policies-all-iam)

## Consentire a un utente di elencare i gruppi, gli utenti e le policy dell'account e altro per scopi di report.
<a name="iampolicy-example-userlistall"></a>

La policy seguente consente all'utente di chiamare qualsiasi operazione IAM che inizi con la stringa `Get` o `List` e generare i report. Per visualizzare la policy di esempio, consulta [IAM: consente l'accesso in sola lettura alla console IAM](reference_policies_examples_iam_read-only-console.md). 

## Consentire a un utente di gestire l'appartenenza del gruppo
<a name="iampolicy-example-usermanagegroups"></a>

La seguente politica consente all'utente di aggiornare l'appartenenza al gruppo chiamato. *MarketingGroup* Per visualizzare la policy di esempio, consulta [IAM: consente di gestire l'appartenenza di un gruppo a livello di programmazione e nella console](reference_policies_examples_iam_manage-group-membership.md). 

## Consentire a un utente di gestire gli utenti IAM
<a name="creds-policies-users"></a>

La policy seguente consente a un utente di eseguire tutte le attività associate alla gestione degli utenti IAM ma non di eseguire le operazioni su altre entità, come ad esempio la creazione di gruppi o policy. Le operazioni consentite includono le seguenti: 
+ Creazione dell'utente (l'operazione [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html)). 
+ Eliminazione dell'utente. Questa operazione richiede le autorizzazioni per eseguire tutte le seguenti operazioni: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html) e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html). 
+ Elencare gli utenti nell’account e nei gruppi (le operazioni [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html) e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html)). 
+ Elencare e rimuovere le policy per l’utente (le operazioni [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html) e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)) 
+ Rinominare o modificare il percorso per l'utente (l'operazione [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html)). L'elemento `Resource` deve includere un ARN che copre sia il percorso di origine sia il percorso di destinazione. Per ulteriori informazioni sui percorsi, consultare la pagina [Nomi descrittivi e percorsi](reference_identifiers.md#identifiers-friendly-names).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowUsersToPerformUserActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListPolicies",
                "iam:GetPolicy",
                "iam:UpdateUser",
                "iam:AttachUserPolicy",
                "iam:ListEntitiesForPolicy",
                "iam:DeleteUserPolicy",
                "iam:DeleteUser",
                "iam:ListUserPolicies",
                "iam:CreateUser",
                "iam:RemoveUserFromGroup",
                "iam:AddUserToGroup",
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:PutUserPolicy",
                "iam:ListAttachedUserPolicies",
                "iam:ListUsers",
                "iam:GetUser",
                "iam:DetachUserPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccount*",
                "iam:ListAccount*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Un numero di autorizzazioni incluse nella policy precedente consente all'utente di eseguire attività nella Console di gestione AWS. Gli utenti che eseguono attività relative agli utenti solo tramite l'[AWS CLI](https://aws.amazon.com/cli/)API di query HTTP IAM o la IAM potrebbero non aver bisogno di determinate autorizzazioni. [AWS SDKs](https://aws.amazon.com/tools/) Ad esempio, se gli utenti conoscono già l'ARN delle policy per distaccarsi da un utente, non hanno bisogno dell'autorizzazione `iam:ListAttachedUserPolicies`. L'elenco esatto delle autorizzazioni che un utente richiede, dipende dalle attività che l'utente deve eseguire durante la gestione di altri utenti. 

I seguenti permessi nella policy consentono l'accesso alle attività dell'utente tramite la Console di gestione AWS:
+ `iam:GetAccount*`
+ `iam:ListAccount*`

## Consentire agli utenti di impostare una policy per la password dell'account
<a name="creds-policies-set-password-policy"></a>

Potresti fornire ad alcuni utenti le autorizzazioni per ottenere e aggiornare la [password policy](id_credentials_passwords_account-policy.md) (policy della password) del tuo Account AWS. Per visualizzare la policy di esempio, consulta [IAM: consente l'impostazione dei requisiti della password dell'account a livello di programmazione e nella console](reference_policies_examples_iam_set-account-pass-policy.md). 

## Consentire agli utenti di generare e recuperare i report delle credenziali IAM
<a name="iampolicy-generate-credential-report"></a>

Puoi concedere agli utenti il permesso di generare e scaricare un rapporto che elenca tutti gli utenti del tuo. Account AWS Il report elenca inoltre lo stato di varie credenziali utente, tra cui le password, le chiavi di accesso, i dispositivi MFA e i certificati di firma. Per ulteriori informazioni sui report delle credenziali, consultare la pagina [Genera report sulle credenziali per il tuo Account AWS](id_credentials_getting-report.md). Per visualizzare la policy di esempio, consulta [IAM: generazione e recupero di report di credenziali IAM](reference_policies_examples_iam-credential-report.md). 

## Consentire tutte le operazioni IAM (accesso amministratore)
<a name="creds-policies-all-iam"></a>

È possibile fornire ad alcuni utenti le autorizzazioni amministrative per eseguire tutte le operazioni in IAM, tra cui la gestione delle password, le chiavi di accesso, i dispositivi MFA e i certificati utente. Il seguente esempio di policy concede queste autorizzazioni: 

**avvertimento**  
Quando concedi a un utente l'accesso completo a IAM, non ci sono limiti alle autorizzazioni che l'utente può concedere a him/herself o ad altri. L'utente può creare nuove entità IAM (utenti o ruoli) e concedere a quelle entità l'accesso completo a tutte le risorse nel tuo Account AWS. Quando concedi a un utente l'accesso completo a IAM, stai concedendo effettivamente l'accesso completo a tutte le risorse nel tuo Account AWS. Questo include l'accesso a eliminare tutte le risorse. Dovresti concedere queste autorizzazioni solo agli amministratori attendibili e dovresti applicare la multi-factor authentication (MFA) per questi amministratori.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:*",
    "Resource": "*"
  }
}
```

------

# Delega temporanea IAM
<a name="access_policies-temporary-delegation"></a>

## Panoramica di
<a name="temporary-delegation-overview"></a>

La delega temporanea accelera l'onboarding e semplifica la gestione dei prodotti di Amazon and AWS Partners che si integrano con i tuoi account. AWS Invece di configurare manualmente più AWS servizi, puoi delegare autorizzazioni temporanee e limitate che consentono al fornitore del prodotto di completare le attività di configurazione per tuo conto in pochi minuti attraverso flussi di lavoro di distribuzione automatizzati. Mantieni il controllo amministrativo con requisiti di approvazione e limiti di autorizzazione, mentre le autorizzazioni dei fornitori di prodotti scadono automaticamente dopo la durata approvata senza che sia necessaria alcuna pulizia manuale. Se il prodotto richiede un accesso persistente per le operazioni in corso, il provider può utilizzare la delega temporanea per creare un ruolo IAM con un limite di autorizzazione che definisce le autorizzazioni massime del ruolo. Tutte le attività dei fornitori di prodotti vengono tracciate AWS CloudTrail per il monitoraggio della conformità e della sicurezza.

**Nota**  
Le richieste di delega temporanea possono essere create solo dai prodotti Amazon e dai AWS partner qualificati che hanno completato il processo di inserimento delle funzionalità. I clienti esaminano e approvano queste richieste ma non possono crearle direttamente. Se sei un AWS partner che desidera integrare la delega temporanea IAM nel tuo prodotto, consulta la [Partner Integration Guide](access_policies-temporary-delegation-partner-guide.md) per le istruzioni di onboarding e integrazione.

## Come funziona la delega temporanea
<a name="temporary-delegation-how-it-works"></a>

La delega temporanea consente ad Amazon and AWS Partners di richiedere un accesso temporaneo e limitato al tuo account. Dopo la tua approvazione, possono utilizzare le autorizzazioni delegate per intraprendere azioni per tuo conto. Le richieste di delega definiscono autorizzazioni specifiche per AWS i servizi e le azioni di cui il fornitore del prodotto ha bisogno per distribuire o configurare le risorse nell'account. AWS Queste autorizzazioni sono disponibili solo per un periodo di tempo limitato e scadono automaticamente dopo la durata specificata nella richiesta.

**Nota**  
La durata massima per l'accesso delegato è di 12 ore. Tuttavia, gli utenti root possono approvare solo le richieste di delega con una durata pari o inferiore a 4 ore. Se una richiesta specifica più di 4 ore, è necessario utilizzare un'identità non root per approvare la richiesta. Per i dettagli, consulta la funzionalità beta di [simulazione delle autorizzazioni](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation).

Per le attività in corso, come la lettura da un bucket Amazon S3, le richieste di delega possono includere la creazione di un ruolo IAM che consente l'accesso continuo a risorse e azioni dopo la scadenza dell'accesso temporaneo. I fornitori di prodotti devono assegnare un limite di autorizzazione a qualsiasi ruolo IAM creato tramite delega temporanea. I limiti di autorizzazione limitano le autorizzazioni massime di un ruolo, ma non concedono le autorizzazioni da soli. Puoi rivedere il limite di autorizzazione come parte della richiesta prima di approvarla. Per i dettagli, consulta Limiti delle [autorizzazioni](access_policies_boundaries.md).

Di seguito è riportato il procedimento:

1. Accedi a un prodotto Amazon o AWS Partner per integrarlo con il tuo AWS ambiente.

1. Il fornitore del prodotto avvia una richiesta di delega per tuo conto e ti reindirizza alla AWS console di gestione.

1. L'utente esamina le autorizzazioni richieste e decide se approvare, rifiutare o inoltrare la richiesta all'amministratore.

1. Una volta che tu o il tuo amministratore avete approvato la richiesta, il fornitore del prodotto può ottenere le credenziali temporanee dell'approvatore per eseguire le attività richieste.

1. L'accesso al fornitore di prodotti scade automaticamente dopo il periodo di tempo specificato. Tuttavia, qualsiasi ruolo IAM creato tramite la richiesta di delega temporanea persiste oltre questo periodo, consentendo al fornitore del prodotto di continuare ad accedere alle risorse e alle azioni per le attività di gestione in corso.

![\[alt text not found\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/delegation-flow.png)


**Nota**  
Puoi delegare le autorizzazioni a un fornitore di prodotti solo se disponi delle autorizzazioni per i servizi e le azioni inclusi nella richiesta di delega temporanea. Se non hai accesso ai servizi e alle azioni richiesti, il fornitore del prodotto non riceve queste autorizzazioni quando approvi la richiesta.

Se il controllo delle autorizzazioni mostra che è probabile che abbia esito positivo, puoi approvare la richiesta di delega temporanea e continuare con il flusso di lavoro.

Se il controllo delle autorizzazioni mostra che potresti non disporre di autorizzazioni sufficienti, inoltra la richiesta all'amministratore per l'approvazione. Ti consigliamo di informare l'amministratore in merito a questa richiesta utilizzando il tuo metodo preferito, ad esempio un'e-mail o un ticket.

Una volta che l'amministratore ha approvato la richiesta, ciò che accade dopo dipende dalla configurazione del fornitore del prodotto:
+ Se il fornitore del prodotto ha richiesto l'accesso immediato, riceve automaticamente le autorizzazioni temporanee e inizia la durata dell'accesso.
+ Se il fornitore del prodotto ha richiesto l'autorizzazione da parte del proprietario (destinatario iniziale), è necessario tornare alla richiesta di condividere esplicitamente l'accesso temporaneo all'account prima che inizi la durata dell'accesso. I fornitori di prodotti in genere utilizzano questa opzione quando hanno bisogno di input aggiuntivi da parte dell'utente, come la selezione delle risorse o i dettagli di configurazione, per completare l'attività richiesta.

# Avviare una richiesta di delega temporanea
<a name="temporary-delegation-initiate-request"></a>

Puoi avviare una richiesta di delega temporanea solo dai prodotti Amazon o AWS Partner supportati. Durante un flusso di lavoro che supporta la delega temporanea, ti verrà richiesto di concedere al fornitore del prodotto autorizzazioni temporanee e limitate per configurare le AWS risorse richieste nel tuo account. Questo approccio automatizzato offre un'esperienza più semplificata eliminando la necessità di configurare queste risorse manualmente.

Puoi esaminare i dettagli della richiesta di delega, come i ruoli, le politiche e i AWS servizi IAM specifici di cui il fornitore del prodotto ha bisogno, prima di concedere l'accesso. Puoi approvare tu stesso la richiesta se disponi di autorizzazioni sufficienti o inoltrarla all'amministratore dell'account per l'approvazione. L'accesso a tutti i fornitori di prodotti è limitato nel tempo e può essere monitorato e revocato secondo necessità.

**Per avviare una richiesta di delega temporanea**

1. Accedi alla console di un prodotto supportato da Amazon o AWS Partners che richiede l'integrazione con il tuo AWS account.

1. Seleziona *Implementa con delega temporanea IAM*. Tieni presente che il nome dell'opzione può variare tra i prodotti supportati. Per i dettagli, consulta la documentazione del fornitore del prodotto.
**Nota**  
Se non hai già effettuato l'accesso alla Console di AWS gestione, si apre una nuova finestra nella pagina di AWS accesso. Ti consigliamo di accedere al tuo AWS account prima di avviare la richiesta di delega temporanea dalla console del prodotto. Per ulteriori informazioni su come accedere in base al tipo di utente e alle AWS risorse a cui desideri accedere, consulta la Guida per [AWS l'utente di accesso](docs---aws.amazon.com.rproxy.goskope.comsignin/latest/userguide/what-is-sign-in.html).

1. Controlla i dettagli della richiesta per confermare il nome del prodotto e l' AWS account del fornitore del prodotto. Puoi anche verificare l' AWS identità che il fornitore del prodotto utilizzerà per eseguire azioni per tuo conto.

1. Controlla i *dettagli di accesso* per le autorizzazioni che verranno temporaneamente delegate approvando questa richiesta.
   + La sezione di *riepilogo delle autorizzazioni* fornisce una panoramica di alto livello generata dall'intelligenza artificiale che può aiutarti a capire a quali categorie di AWS servizi è possibile accedere e quali tipi di azioni possono essere eseguite in ciascun servizio.
   + Scegli *Visualizza JSON* per esaminare le autorizzazioni specifiche che il fornitore del prodotto deve implementare nel tuo AWS account, inclusi l'ambito di accesso e le limitazioni delle risorse.
   + Se il fornitore del prodotto crea un ruolo IAM come parte di una richiesta di delega temporanea, al ruolo deve essere associato un limite di autorizzazione. Questi ruoli IAM dispongono di autorizzazioni che continuano a consentire l'accesso a risorse e azioni dopo la scadenza della durata di accesso richiesta. Scegli *Visualizza dettagli* per esaminare il limite di autorizzazione, che definisce le autorizzazioni massime che il ruolo può avere. Il fornitore del prodotto applicherà al ruolo politiche aggiuntive durante la creazione che ne definiscono le autorizzazioni effettive. Queste politiche possono apparire più mirate o più ampie rispetto al limite, a seconda di come le definisce il fornitore del prodotto. Tuttavia, il limite di autorizzazione garantisce che le autorizzazioni effettive del ruolo non superino mai quelle visualizzate durante l'approvazione della richiesta, indipendentemente dalle politiche associate al ruolo. Per ulteriori informazioni, consulta Limiti delle [autorizzazioni](access_policies_boundaries.md).

1. Esamina i risultati della simulazione delle autorizzazioni. La funzionalità di simulazione delle autorizzazioni valuta automaticamente le autorizzazioni della tua identità rispetto a quelle incluse nella richiesta. Sulla base di questa analisi, viene visualizzato un consiglio che indica se approvare la richiesta con l'identità corrente o inoltrarla a un amministratore. Per i dettagli, consulta la funzionalità [beta di simulazione delle autorizzazioni](#temporary-delegation-permission-simulation).

1. Nella finestra di dialogo, seleziona come desideri procedere.
   + Seleziona *Consenti l'accesso* quando la tua identità dispone di autorizzazioni sufficienti per consentire al fornitore del prodotto di eseguire le procedure di onboarding per tuo conto. Quando selezioni questa opzione, la durata dell'accesso del fornitore del prodotto inizia una volta fornito l'accesso.
   + Seleziona *Richiedi approvazione* se la tua identità non dispone di autorizzazioni sufficienti per consentire al fornitore del prodotto di eseguire le procedure di onboarding per tuo conto. Quindi, scegli *Crea* richiesta di approvazione. Quando selezioni questa opzione, viene creato un link di richiesta di delega temporanea che puoi condividere con l'amministratore dell'account. L'amministratore può accedere alla console di AWS gestione o utilizzare il link di accesso per esaminare le richieste di delega temporanea per approvare la richiesta e condividere l'accesso temporaneo con il richiedente.

**Nota**  
La concessione dell'accesso al fornitore di prodotti richiede due azioni: accettare la richiesta di delega (`AcceptDelegationRequest`) e rilasciare il token di scambio (). `SendDelegatedToken` La console AWS di gestione esegue automaticamente entrambi i passaggi quando si approva una richiesta. Se si utilizza l'API AWS CLI o, è necessario eseguire entrambi i passaggi separatamente.

## Capacità di simulazione delle autorizzazioni -beta
<a name="temporary-delegation-permission-simulation"></a>

Quando ricevi una richiesta di delega temporanea, puoi approvarla personalmente o inoltrarla all'amministratore del tuo account per l'approvazione. Puoi delegare le autorizzazioni a un fornitore di prodotti solo se disponi delle autorizzazioni per i servizi e le azioni inclusi nella richiesta di delega temporanea. Se non hai accesso ai servizi e alle azioni richiesti, il fornitore del prodotto non riceverà tali autorizzazioni anche se sono incluse nella richiesta.

Ad esempio, una richiesta di delega temporanea richiede la possibilità di creare un bucket Amazon S3, avviare e arrestare istanze in EC2 Amazon e assumere un ruolo IAM. L'identità che approva la richiesta può avviare e arrestare istanze in Amazon EC2 e assumere un ruolo IAM, ma non dispone dell'autorizzazione per creare un bucket Amazon S3. Quando questa identità approva la richiesta, il fornitore del prodotto non è in grado di creare un bucket Amazon S3 anche se queste autorizzazioni sono state incluse nella richiesta di delega temporanea.

Poiché puoi delegare solo le autorizzazioni che già possiedi, è fondamentale valutare se disponi delle autorizzazioni richieste prima dell'approvazione. La funzionalità beta di simulazione delle autorizzazioni aiuta in questa valutazione confrontando le autorizzazioni dell'utente con quelle incluse nella richiesta. La valutazione indica se è possibile approvare la richiesta con la propria identità attuale o se è necessario inoltrarla a un amministratore. Se l'analisi non è in grado di confermare che disponi di autorizzazioni sufficienti, inoltra la richiesta a un amministratore per la revisione. Questa valutazione si basa su un'analisi simulata delle autorizzazioni e può differire da quella AWS dell'ambiente live, pertanto esamina attentamente le autorizzazioni richieste prima di procedere.

## Fasi successive
<a name="temporary-delegation-next-steps"></a>

Dopo aver avviato una richiesta di delega temporanea, puoi gestire e monitorare la richiesta durante il suo ciclo di vita. Le seguenti procedure consentono di tracciare, approvare e controllare l'accesso temporaneo:
+ [Rivedi le richieste di delega temporanea](temporary-delegation-review-requests.md): monitora lo stato delle richieste di accesso e visualizza informazioni dettagliate sulle richieste di approvazione o rifiuto delle richieste di delega temporanea.
+ [Revoca l'accesso temporaneo alle deleghe](temporary-delegation-revoke-access.md): interrompi immediatamente le sessioni di delega temporanea attive prima che scadano naturalmente.

# Esamina le richieste di delega temporanea
<a name="temporary-delegation-review-requests"></a>

Dopo aver avviato una richiesta di delega temporanea, puoi monitorare, approvare e rifiutare le richieste nella console IAM. La pagina Richieste di delega temporanea offre una visualizzazione centralizzata di tutte le richieste, incluse quelle in attesa di approvazione, completate o rifiutate. In qualità di amministratore, puoi esaminare queste richieste per concedere ai fornitori di prodotti l'accesso alle AWS risorse o rifiutarle in base alle politiche di sicurezza, ai requisiti aziendali o agli standard di conformità dell'organizzazione. Questa visibilità ti aiuta a tenere traccia del ciclo di vita dell'accesso dei fornitori di prodotti e a mantenere la supervisione delle autorizzazioni temporanee.

**Nota**  
È necessario disporre dell'aim: AcceptDelegationRequest autorizzazione ad approvare le richieste di delega temporanea.

**Per approvare una richiesta di delega temporanea**

1. Accedi alla console di AWS gestione e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

1. Nel riquadro di navigazione a sinistra, scegli *Richieste di delega temporanee*.

1. La pagina principale mostra un elenco delle richieste di delega temporanea con le seguenti informazioni:
   + *ID richiesta*: identificatore univoco della richiesta
   + *Stato: stato* attuale (in sospeso, approvato, rifiutato, condiviso, scaduto)
   + *Richiedente: fornitore* del prodotto associato alla richiesta
   + *Avviato da*: responsabile IAM dell'account che ha avviato la richiesta per il fornitore del prodotto
   + *Richiesta creata*: quando è stata inviata la richiesta
   + La *richiesta scade*: quando la richiesta è scaduta o scadrà

1. (Facoltativo) Utilizza le opzioni di filtro per visualizzare le richieste in base allo stato:
   + *Tutte le richieste*: visualizza tutte le tue richieste indipendentemente dallo stato
   + *In sospeso*: visualizza le richieste in attesa dell'approvazione dell'amministratore
   + *Approvato: visualizza le richieste approvate*
   + *Condiviso*: visualizza le richieste per le quali è stato condiviso l'accesso
   + *Rifiutate*: visualizza le richieste rifiutate con i motivi del rifiuto

1. Per visualizzare informazioni dettagliate su una richiesta specifica o per esaminare una richiesta di approvazione in sospeso, scegli l'ID della richiesta.

1. Rivedi le informazioni dettagliate sulla richiesta:
   + Informazioni sul fornitore del prodotto
   + Motivo e giustificazione della richiesta
   + Durata richiesta
   +  AWS Autorizzazioni richieste

1. Se sei un amministratore che esamina una richiesta in sospeso, scegli una delle seguenti opzioni:
   + *Per approvare la richiesta, scegli Approva.* Nella finestra di dialogo di approvazione, puoi visualizzare i risultati della simulazione delle autorizzazioni. Per ulteriori informazioni, consulta la funzionalità [beta di simulazione delle autorizzazioni](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation). Dopo aver confermato la durata dell'accesso e la tua AWS identità, scegli *Approva per concedere l'accesso.* Se il fornitore del prodotto ha richiesto l'accesso immediato, riceve automaticamente le autorizzazioni temporanee e inizia la durata dell'accesso. Altrimenti, informa la persona che ha avviato la richiesta di concedere l'accesso al fornitore del prodotto.
   + *Per rifiutare la richiesta, scegli Rifiuta.*
     + Nella finestra di dialogo di rifiuto, fornisci un motivo chiaro del rifiuto per aiutare il richiedente a capire perché la sua richiesta è stata rifiutata.
     + Scegli *Rifiuta per negare l'accesso*.

1. L'elenco delle richieste si aggiorna automaticamente per mostrare le informazioni sullo stato più aggiornate. Puoi anche aggiornare manualmente la pagina per verificare la presenza di aggiornamenti sullo stato.

# Revoca l'accesso temporaneo per delega
<a name="temporary-delegation-revoke-access"></a>

Sebbene le sessioni di accesso ai fornitori di prodotti siano progettate per scadere automaticamente dopo la loro durata approvata, in determinate situazioni potrebbe essere necessario interrompere immediatamente l'accesso. La revoca dell'accesso attivo al fornitore di prodotti fornisce un meccanismo di controllo di emergenza in caso di problemi di sicurezza, quando il lavoro del fornitore di prodotti viene completato in anticipo o quando i requisiti aziendali cambiano. Sia gli iniziatori delle richieste che gli amministratori possono revocare l'accesso per mantenere la sicurezza e il controllo operativo.

**Per revocare l'accesso temporaneo alla delega**

1. Accedi alla console di AWS gestione e apri la console IAM all'indirizzo. https://console.aws.amazon.com/iam/

1. Nel riquadro di navigazione a sinistra, scegli *Richieste di delega temporanee*.

1. Individua l'ID della richiesta per la sessione di accesso che desideri revocare.

1. Scegli *Azioni*, quindi scegli *Revoca* accesso.

1. Nella finestra di dialogo, scegli *Revoca accesso* per confermare che desideri interrompere immediatamente la sessione di accesso.

Dopo la revoca dell'accesso, il fornitore del prodotto non sarà più in grado di accedere alle tue risorse. AWS La revoca viene registrata a fini di controllo. AWS CloudTrail 

**Importante**  
La revoca dell'accesso interrompe immediatamente la sessione di accesso al fornitore del prodotto. Qualsiasi lavoro o processo in corso che utilizza l'accesso verrà interrotto. Assicurati che la revoca non interrompa le operazioni critiche.

**Nota**  
Non è possibile revocare l'accesso per le richieste approvate utilizzando un utente root. AWS consiglia di evitare di utilizzare un utente root per approvare le richieste di delega. Utilizza invece un ruolo IAM con autorizzazioni appropriate.

## Gestione delle autorizzazioni per le richieste di delega
<a name="temporary-delegation-managing-permissions"></a>

Gli amministratori possono concedere ai dirigenti IAM le autorizzazioni per gestire le richieste di delega dei fornitori di prodotti. Ciò è utile quando si desidera delegare l'autorità di approvazione a utenti o team specifici dell'organizzazione o quando è necessario controllare chi può eseguire azioni specifiche sulle richieste di delega.

Le seguenti autorizzazioni IAM sono disponibili per la gestione delle richieste di delega:


| Autorizzazione | Description | 
| --- | --- | 
| sono: AssociateDelegationRequest | Associa una richiesta di delega non assegnata al tuo account AWS  | 
| Sono: GetDelegationRequest | Visualizza i dettagli di una richiesta di delega | 
| sono: UpdateDelegationRequest | Inoltra una richiesta di delega a un amministratore per l'approvazione | 
| Sono: AcceptDelegationRequest | Approva una richiesta di delega | 
| Obiettivo: SendDelegationToken | Rilascia il token di scambio al fornitore del prodotto dopo l'approvazione | 
| scopo: RejectDelegationRequest | Rifiuta una richiesta di delega | 
| Sono: ListDelegationRequests | Elenca le richieste di delega per il tuo account | 

**Nota**  
Per impostazione predefinita, ai responsabili IAM che avviano una richiesta di delega vengono automaticamente concesse le autorizzazioni per gestire quella richiesta specifica. Possono associarla al proprio account, visualizzare i dettagli della richiesta, rifiutare una richiesta, inoltrarla a un amministratore per l'approvazione, rilasciare il token di scambio al fornitore del prodotto dopo l'approvazione dell'amministratore ed elencare le richieste di delega di loro proprietà.

# Notifications
<a name="temporary-delegation-notifications"></a>

La delega temporanea IAM si integra con le notifiche AWS utente per aiutarti a rimanere informato sulle modifiche allo stato delle richieste di delega. Le notifiche sono particolarmente utili per gli amministratori che devono esaminare e approvare le richieste di delega.

Con AWS User Notifications, puoi configurare gli avvisi da inviare tramite più canali, tra cui e-mail, Amazon Simple Notification Service (SNS), AWS Chatbot per Slack o Microsoft Teams e Console Mobile Application. AWS Ciò garantisce che le persone giuste vengano avvisate al momento giusto, consentendo una risposta più rapida alle approvazioni in sospeso o la consapevolezza delle modifiche di accesso. Puoi anche personalizzare gli eventi che attivano le notifiche in base alle esigenze e ai requisiti di sicurezza della tua organizzazione.

## Eventi di notifica disponibili
<a name="temporary-delegation-notification-events"></a>

Puoi iscriverti per ricevere notifiche per i seguenti eventi di delega temporanea IAM:
+ Richiesta di delega temporanea IAM creata
+ Richiesta di delega temporanea IAM assegnata
+ Richiesta di delega temporanea IAM in attesa di approvazione
+ Richiesta di delega temporanea IAM rifiutata
+ Richiesta di delega temporanea IAM accettata
+ Richiesta di delega temporanea IAM completata
+ Richiesta di delega temporanea IAM scaduta

## Configurazione delle notifiche
<a name="temporary-delegation-configuring-notifications"></a>

Per configurare le notifiche per gli eventi di delega temporanea IAM:

1. Apri la console AWS User Notifications

1. Crea o aggiorna una configurazione di notifica

1. Seleziona AWS IAM come servizio

1. Scegli per quali eventi di richiesta di delega desideri ricevere notifiche

1. Configura i tuoi canali di distribuzione (email, AWS Chatbot, ecc.)

Per istruzioni dettagliate sulla configurazione delle notifiche AWS utente, inclusa la configurazione dei canali di consegna e la gestione delle regole di notifica, consulta la documentazione sulle notifiche AWS utente.

# CloudTrail
<a name="temporary-delegation-cloudtrail"></a>

Tutte le azioni eseguite dai fornitori di prodotti che utilizzano l'accesso delegato temporaneo vengono registrate automaticamente. AWS CloudTrail Ciò garantisce la visibilità e la verificabilità complete dell'attività dei fornitori di prodotti nell'account dell'utente. AWS Puoi identificare quali azioni sono state intraprese dai fornitori di prodotti, quando si sono verificate e quale account del fornitore di prodotti le ha eseguite.

Per aiutarvi a distinguere tra le azioni intraprese dai vostri responsabili IAM e quelle intraprese dai fornitori di prodotti con accesso delegato, CloudTrail gli eventi includono un nuovo campo chiamato `invokedByDelegate` sotto l'`userIdentity`elemento. Questo campo contiene l'ID dell' AWS account del fornitore del prodotto, semplificando il filtraggio e il controllo di tutte le azioni delegate.

## CloudTrail Struttura dell'evento
<a name="temporary-delegation-cloudtrail-event-structure"></a>

L'esempio seguente mostra un CloudTrail evento relativo a un'azione eseguita da un fornitore di prodotti utilizzando l'accesso delegato temporaneo:

```
{
    "eventVersion": "1.09",		 	 	 
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
        "arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
        "accountId": "111122223333",
        "accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-09-09T17:50:16Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedByDelegate": {
            "accountId": "444455556666"
        }
    },
    "eventTime": "2024-09-09T17:51:44Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "GetUserPolicy",
    "awsRegion": "us-east-1",
    "requestParameters": {
        "userName": "ExampleIAMUserName",
        "policyName": "ExamplePolicyName"
    },
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}
```

Il `invokedByDelegate` campo contiene l'ID AWS account del fornitore del prodotto che ha eseguito l'azione utilizzando l'accesso delegato. In questo esempio, l'account 444455556666 (il fornitore del prodotto) ha eseguito un'azione nell'account 111122223333 (l'account cliente).

# Delega temporanea IAM per AWS i partner
<a name="access_policies-temporary-delegation-partner-guide"></a>

## Panoramica di
<a name="temporary-delegation-partner-overview"></a>

La delega temporanea IAM consente AWS ai clienti di and/or integrare senza problemi i prodotti AWS Partner nel loro AWS ambiente attraverso flussi di lavoro interattivi e guidati. I clienti possono concedere ai AWS partner un accesso limitato e temporaneo per configurare AWS i servizi richiesti, riducendo le difficoltà legate all'onboarding e accelerando il time-to-value.

La delega temporanea IAM consente ai partner di:
+ Semplifica l'onboarding dei clienti con il provisioning automatico delle risorse
+ Riduci la complessità dell'integrazione eliminando le fasi di configurazione manuali
+ Crea fiducia attraverso autorizzazioni trasparenti e approvate dal cliente
+ Abilita le operazioni continue con modelli di accesso a lungo termine utilizzando limiti di autorizzazione

## Come funziona
<a name="temporary-delegation-how-it-works"></a>

1. *Il partner crea una richiesta di delega*: i partner creano una richiesta specificando di quali autorizzazioni hanno bisogno e per quanto tempo

1. *Recensioni dei clienti su AWS Console*: il cliente vede esattamente quali autorizzazioni richiede il partner e perché

1. *Il cliente approva*: il cliente approva la richiesta e rilascia un token di scambio. Il token viene inviato al partner su questo argomento SNS specificato.

1. *Il partner riceve credenziali temporanee*: i partner scambiano il token con credenziali temporanee AWS 

1. *Il partner configura le risorse*: i partner utilizzano le credenziali per configurare le risorse necessarie nell'account del cliente

## Qualifica del partner
<a name="temporary-delegation-partner-qualification"></a>

Per qualificarsi per l'integrazione con delega temporanea, un partner deve soddisfare i seguenti requisiti:
+ *Partecipazione a ISV Accelerate*: devi essere iscritto al programma [ISV Accelerate (ISVA](https://aws.amazon.com/partners/programs/isv-accelerate/)).
+ *AWS Inserzione nel Marketplace*: il tuo prodotto deve essere pubblicato nel AWS Marketplace con il badge «Deployed on AWS».

## Processo di onboarding
<a name="temporary-delegation-onboarding-process"></a>

Completa i seguenti passaggi per integrare la delega temporanea nel tuo prodotto:

1. *Fase 1: Rivedere i requisiti*

   Consulta questa documentazione per comprendere i requisiti di qualificazione e completa il questionario per i partner riportato di seguito.

1. *Fase 2: Invia la richiesta di onboarding*

   Invia un'e-mail a aws-iam-partner-onboarding @amazon .com o contatta il tuo AWS rappresentante. Includi il questionario per i partner compilato con tutti i campi obbligatori della tabella seguente.

1. *Fase 3: AWS convalida e revisione*

   AWS provvederà a:
   + Conferma di soddisfare i criteri di qualificazione
   + Rivedi i modelli di policy e i limiti di autorizzazione
   + Fornisci un feedback sugli artefatti inviati

1. *Fase 4: Perfeziona le tue politiche*

   Rispondi al AWS feedback e invia modelli di policy o limiti di autorizzazione aggiornati, se necessario.

1. *Fase 5: Completa la registrazione*

   Una volta approvato, AWS dovrà:
   + Abilita l'accesso all'API per gli account specificati
   + Condividi in ARNs base al modello di policy e al limite delle autorizzazioni (se applicabile)

   Riceverai una conferma al termine dell'onboarding. Potrai quindi accedere alla APIs delega temporanea CreateDelegationRequest e GetDelegatedAccessToken dai tuoi account registrati e iniziare a integrare i flussi di lavoro di richiesta di delega nel tuo prodotto.

## Questionario per i partner
<a name="temporary-delegation-partner-questionnaire"></a>

La tabella seguente elenca le informazioni richieste per l'onboarding dei partner:


| Informazioni | Description | Richiesto | 
| --- | --- | --- | 
| AccountID di Partner Central | ID account dell' AWS account registrato su [AWS Partner Central](https://partnercentral.awspartner.com/partnercentral2/s/login). | Sì | 
| PartnerId | ID partner fornito da [AWS Partner Central](https://partnercentral.awspartner.com/partnercentral2/s/login). | No | 
| AWS ID prodotto Marketplace | ID del prodotto fornito da [AWS Partner Central](https://partnercentral.awspartner.com/partnercentral2/s/login). | Sì | 
| AWS accountIDs | L'elenco del tuo AWS account IDs che desideri utilizzare per chiamare una delega temporanea APIs. Questo dovrebbe includere sia i tuoi account di produzione che quelli non di produzione/test. | Sì | 
| Nome del partner | Questo nome viene visualizzato ai clienti nella console di AWS gestione quando esaminano la richiesta di delega temporanea. | Sì | 
| E-mail di contatto | Uno o più indirizzi e-mail che possiamo utilizzare per contattarti in merito alla tua integrazione. | Sì | 
| Richiedente o dominio | Il tuo dominio (ad esempio, www.example.com) | Sì | 
| Integration description (Descrizione dell'integrazione) | Breve descrizione del caso d'uso che desideri risolvere utilizzando questa funzionalità. Puoi includere link di riferimento alla tua documentazione o ad altro materiale pubblico. | Sì | 
| Diagramma architetturale | Diagramma dell'architettura che illustra i casi d'uso dell'integrazione. | No | 
| Modello di policy | È necessario registrare almeno un modello di policy per questa funzionalità. Il modello di policy definisce le autorizzazioni temporanee che desideri richiedere negli account dei clienti AWS . Per ulteriori informazioni, consulta la sezione Modello di policy. | Sì | 
| Nome del modello di policy | Nome del modello di policy che si desidera registrare. | Sì | 
| Limite delle autorizzazioni | Se desideri creare ruoli IAM negli account dei clienti utilizzando autorizzazioni temporanee, devi registrare un limite di autorizzazione con IAM. I limiti di autorizzazione verranno assegnati ai ruoli IAM che crei per limitare le autorizzazioni massime per il ruolo. Puoi utilizzare politiche AWS gestite selezionate come limite di autorizzazione o registrare un nuovo limite di autorizzazione personalizzato (JSON). Per ulteriori informazioni, consulta la sezione Limiti delle autorizzazioni. | No | 
| Nome del limite di autorizzazione | Il nome del limite di autorizzazione. <partner\$1domain><policy\$1name><date>Il formato è: arn:aws:iam: :partner:policy/permission\$1boundary//\$1 Il nome della policy deve includere la data di creazione come suffisso. Il nome non può essere aggiornato una volta creato il limite di autorizzazione. Se utilizzi una policy AWS gestita esistente, fornisci invece l'ARN della policy gestita. | No | 
| Descrizione del limite dell'autorizzazione | Descrizione del limite di autorizzazione. Questa descrizione non può essere aggiornata una volta creato il limite di autorizzazione. | No | 

# Comprendere la tua integrazione
<a name="temporary-delegation-understanding-integration"></a>

Dopo aver completato il processo di onboarding, puoi creare la tua integrazione con la delega temporanea IAM. Un'integrazione completa prevede in genere tre categorie principali di lavoro:

## 1. Esperienza utente e progettazione del flusso di lavoro
<a name="temporary-delegation-user-experience"></a>

Crea un'esperienza front-end nell'applicazione partner che guidi i clienti attraverso il flusso di lavoro di delega temporanea. L'applicazione partner deve:
+ Presentare un flusso di onboarding o configurazione chiaro in cui i clienti possano concedere un accesso temporaneo. Etichetta chiaramente questa azione, ad esempio «Implementa con delega temporanea IAM».
+ Reindirizza i clienti alla console di AWS gestione per esaminare e approvare la richiesta di delega utilizzando il collegamento alla console restituito dall'API CreateDelegationRequest 
+ Fornisci messaggi appropriati su quali autorizzazioni vengono richieste e perché. I clienti possono visualizzare questo messaggio nella pagina dei dettagli della richiesta di delega.
+ Gestisci il ritorno del cliente alla tua applicazione dopo aver completato l'approvazione in AWS.

## 2. Integrazione delle API
<a name="temporary-delegation-api-integration"></a>

Utilizza la APIs delega temporanea IAM per inviare e gestire le richieste di delega. Una volta registrati AWS gli account, puoi accedere a quanto segue APIs:
+ *IAM CreateDelegationRequest*: crea una richiesta di delega per l' AWS account di un cliente. Questa API restituisce un collegamento alla console a cui reindirizzi i clienti per la revisione e l'approvazione della richiesta.
+ *AWS STS GetDelegatedAccessToken*— Recupera AWS le credenziali temporanee dopo che un cliente ha approvato la richiesta di delega. Utilizza queste credenziali per eseguire azioni nell'account del cliente.

L'integrazione dovrebbe gestire l'intero ciclo di vita delle richieste di delega, inclusa la creazione di richieste, il monitoraggio del loro stato e il recupero delle credenziali temporanee una volta approvate.

## 3. Configurazione e orchestrazione delle risorse
<a name="temporary-delegation-resource-configuration"></a>

Una volta ottenute le credenziali temporanee, orchestrate i flussi di lavoro necessari per configurare le risorse nell'account del cliente. AWS Ciò può includere:
+ Chiamare APIs direttamente il AWS servizio per creare e configurare risorse
+ Implementazione dell'infrastruttura tramite modelli AWS CloudFormation 
+ Creazione di ruoli IAM per l'accesso continuo (richiede l'utilizzo dei limiti di autorizzazione)

La logica di orchestrazione deve essere idempotente e gestire gli errori con garbo, poiché i clienti potrebbero dover riprovare o modificare le approvazioni delle deleghe.

# Informazioni sulle autorizzazioni
<a name="temporary-delegation-understanding-permissions"></a>

Come parte del processo di onboarding delle funzionalità, dovrai registrare delle politiche con IAM che definiscano le autorizzazioni che desideri richiedere negli account dei clienti. AWS Il processo di registrazione offre un'esperienza più coerente per i clienti e aiuta a evitare gli errori più comuni nella redazione delle policy.

Durante la registrazione, AWS valuta le tue politiche rispetto a una serie di convalide. Queste convalide hanno lo scopo di standardizzare la formattazione e la struttura delle politiche e fornire protezioni di base contro gli anti-modelli noti. Le convalide riducono inoltre il rischio di aumento dei privilegi, di accessi involontari tra account e di ampio accesso a risorse di alto valore negli account dei clienti.

## Tipi di autorizzazione
<a name="temporary-delegation-permission-types"></a>

AWS prenderà in considerazione due categorie di autorizzazioni: temporanee e a lungo termine.

### Autorizzazioni temporanee
<a name="temporary-delegation-temporary-permissions"></a>

Le autorizzazioni temporanee limitano le autorizzazioni assegnate a qualsiasi sessione temporanea di accesso delegato. Le autorizzazioni temporanee sono descritte nei modelli di policy applicati alla sessione delegata. I modelli supportano i parametri forniti quando si crea una richiesta di delega. Questi valori dei parametri vengono quindi associati alla sessione. Le autorizzazioni temporanee funzionano allo stesso modo delle politiche di sessione disponibili AWS STS oggi: le politiche limitano la capacità dell'utente sottostante, ma non garantiscono alcun accesso aggiuntivo. Per ulteriori informazioni, consulta la AWS STS documentazione sulle politiche di sessione.

### Autorizzazioni a lungo termine
<a name="temporary-delegation-long-term-permissions"></a>

Le autorizzazioni a lungo termine limitano le autorizzazioni di tutti i ruoli creati o gestiti tramite accesso temporaneo. Le autorizzazioni a lungo termine sono implementate come limiti delle autorizzazioni IAM. Puoi specificare uno o più limiti di autorizzazione AWS come parte dell'onboarding. Una volta approvata, AWS condividerà con te un ARN della politica a cui puoi fare riferimento nelle tue politiche.

Queste politiche delimitative hanno due caratteristiche degne di nota. Innanzitutto, sono immutabili. Se desideri aggiornare le autorizzazioni, puoi registrare un nuovo limite di autorizzazioni. Puoi quindi collegare il nuovo limite di autorizzazioni ai ruoli dei tuoi clienti inviando una nuova richiesta di delega. In secondo luogo, le politiche non sono basate su modelli. Poiché la stessa politica di confine è condivisa a livello globale, non può essere modificata in base al cliente.

**Importante**  
I limiti di autorizzazione hanno un limite di dimensione massima di 6.144 caratteri.

**Nota**  
Se desideri aggiornare un limite di autorizzazione o un modello di policy, contatta IAM all'indirizzo aws-iam-partner-onboarding @amazon .com. Una volta registrato il nuovo limite di autorizzazione, puoi inviare una richiesta di delega ai clienti per aggiornare il ruolo IAM e allegare il limite di autorizzazione appena registrato. Consulta la sezione Esempi per maggiori dettagli.

## Caso d'uso di esempio: carico di lavoro per l'elaborazione dei dati
<a name="temporary-delegation-example-use-case"></a>

Prendiamo in considerazione un fornitore di prodotti che esegua un carico di lavoro di elaborazione dei dati negli account dei clienti. Il provider deve configurare l'infrastruttura durante l'onboarding iniziale, ma richiede anche un accesso continuo per gestire il carico di lavoro.

*Autorizzazioni temporanee (per la configurazione iniziale):*
+ Crea EC2 istanze Amazon, VPC e gruppi di sicurezza
+ Crea un bucket Amazon S3 per i dati elaborati
+ Crea un ruolo IAM per le operazioni in corso
+ Associa un limite di autorizzazione al ruolo IAM

*Autorizzazioni a lungo termine (ruolo IAM con limite di autorizzazione per le operazioni in corso):*
+ Avvia e arresta EC2 le istanze Amazon per eseguire processi di elaborazione
+ Leggi i dati di input dal bucket Amazon S3
+ Scrivi i risultati elaborati nel bucket Amazon S3

Le autorizzazioni temporanee vengono utilizzate una sola volta durante l'onboarding per configurare l'infrastruttura. Il ruolo IAM creato durante questo processo ha un limite di autorizzazione che limita le autorizzazioni massime solo alle operazioni necessarie per la gestione continua del carico di lavoro. Ciò garantisce che, anche se le politiche del ruolo vengono modificate, non possano superare le autorizzazioni definite nel limite.

# Linee guida di valutazione delle politiche
<a name="temporary-delegation-policy-evaluation-guidelines"></a>

AWS valuterà le politiche inviate rispetto a una serie di linee guida. Le stesse linee guida di valutazione si applicano sia ai modelli di policy che ai limiti di autorizzazione, con lievi differenze, laddove opportuno, segnalate.

Ai fini della valutazione, separiamo i servizi in gruppi distinti. La distinzione più importante riguarda i servizi sensibili alla sicurezza, che gestiscono l'accesso, le credenziali e le chiavi. Le politiche che garantiscono l'accesso a questi servizi devono essere strettamente incentrate sul lavoro svolto. I servizi sensibili alla sicurezza includono: AWS Identity and Access Management (IAM), AWS Key Management Service (KMS), Resource Access Manager AWS (RAM), IAM AWS Identity Center, AWS Organizations e Secrets Manager. AWS 

Una distinzione secondaria sono i servizi che possono accedere ai dati attraverso i confini degli account. Le politiche relative a questi servizi devono includere protezioni per impedire accessi involontari tra account.

## Convalide comuni
<a name="temporary-delegation-common-validations"></a>

Tutte le dichiarazioni politiche devono seguire queste linee guida:
+ Tutte le istruzioni devono includere i campi Effetto, Azione (o NotAction), Risorsa e Condizione in quest'ordine
+ Tutte le azioni all'interno di una singola istruzione devono essere elencate in ordine alfabetico
+ Tutte le informazioni ARNs incluse nella politica devono seguire la sintassi definita nella documentazione pubblica per i servizi pertinenti
+ NotAction i campi possono essere utilizzati solo nelle dichiarazioni Deny
+ Le azioni nelle istruzioni Allow devono includere un codice di servizio. I caratteri jolly generici («\$1») non sono consentiti

## Restrizioni relative ai servizi sensibili alla sicurezza
<a name="temporary-delegation-security-sensitive-restrictions"></a>

Le seguenti restrizioni si applicano ai servizi sensibili alla sicurezza sopra menzionati:
+ Le azioni nelle istruzioni Allow devono essere più specifiche di [service] :\$1
+ Le azioni nelle istruzioni Allow per i modelli di policy di accesso temporaneo non devono contenere caratteri jolly
+ Le azioni sensibili, come iam: PassRole o iam:CreateServiceLinkedRole, richiedono un ambito aggiuntivo, come risorse specifiche o controlli condizionali. Queste azioni includono:
  + Passaggio di ruoli IAM
  + Azioni di modifica del ruolo IAM
  + Azioni di modifica delle politiche IAM
  + AWS Operazioni di scrittura o crittografia KMS
  + AWS Operazioni di scrittura o condivisione della RAM
  + AWS Operazioni di Secrets Manager per il recupero o la modifica dei segreti o la modifica delle politiche delle risorse
+ Altre azioni possono utilizzare una risorsa wildcard, come iam: o iam: ListUsers GetPolicy
+ Le azioni che gestiscono le credenziali, come iam:CreateAccessKey, sono bloccate

## Restrizioni specifiche di IAM
<a name="temporary-delegation-iam-specific-restrictions"></a>

Per IAM:
+ Per i ruoli e le policy IAM sono consentite solo operazioni di scrittura limitate. Non puoi richiedere autorizzazioni su altre risorse IAM come utenti, gruppi e certificati.
+ Le azioni di allegamento delle policy o di gestione delle policy in linea sono limitate ai ruoli con un limite di autorizzazione. I limiti di autorizzazione devono essere forniti dai partner o inclusi in un elenco di politiche gestite consentite. AWS AWS le politiche gestite possono essere consentite se non concedono autorizzazioni amministrative o altamente privilegiate. Ad esempio, le politiche AWS gestite per funzioni lavorative specifiche o la SecurityAudit politica possono essere accettabili. AWS esaminerà ogni politica AWS gestita su case-by-case base regolare durante il processo di onboarding.
+ La gestione delle policy è consentita solo per le policy con un percorso specifico per i partner: arn:aws:iam: :@ \$1\$1 :policy/partner\$1domain.com/ [feature] \$1 AccountId
+ I tag possono essere applicati solo durante la creazione delle risorse e solo per ruoli e politiche
+ iam: PassRole i controlli devono corrispondere a un nome o a un prefisso di percorso specifico

## AWS STS-restrizioni specifiche
<a name="temporary-delegation-sts-specific-restrictions"></a>

Per AWS STS:
+ sts: AssumeRole deve essere limitato a un ruolo specifico ARN, prefisso ARN del ruolo o limitato a un set di account o unità organizzative ID/organizational 

## Restrizioni di IAM Identity Center
<a name="temporary-delegation-identity-center-restrictions"></a>

Per AWS IAM Identity Center, le seguenti azioni sono bloccate:
+ Tutte le azioni relative alla gestione delle autorizzazioni (ad esempio, sso:) AttachCustomerManagedPolicyReferenceToPermissionSet
+ Modifiche a utenti, gruppi e appartenenze per Identity Store AWS 
+ Gestione dei tag

## AWS Restrizioni delle Organizzazioni
<a name="temporary-delegation-organizations-restrictions"></a>

Per AWS Organizations, saranno consentite solo le azioni di lettura.

## Validazioni aggiuntive specifiche del servizio
<a name="temporary-delegation-additional-service-validations"></a>
+ Le azioni che acquisiscono segreti o credenziali, come glue: GetConnection o redshift:GetClusterCredentials, devono avere condizioni che corrispondano a full, ai prefissi ARNs ARN o ai tag
+ Per Amazon Redshift: redshift: GetClusterCredentials è consentito solo su un nome di database specifico e redshift: GetClusterCredentialsWith IAM è consentito solo su un nome di gruppo di lavoro specifico

**Nota**  
Quando gestisci le risorse IAM nell'account, ti consigliamo di utilizzare un percorso che indichi il tuo nome, ad esempio arn:aws:iam: :111122223333:. role/partner.com/rolename Ciò contribuirà a differenziare le risorse associate all'integrazione e a semplificare l'individuazione, l'audit e l'analisi per i clienti.

## Requisiti di accesso a più account
<a name="temporary-delegation-cross-account-requirements"></a>

Le dichiarazioni che potenzialmente consentono l'accesso su più account devono includere almeno uno dei seguenti elementi:
+ Una condizione che specifica l'account o l'organizzazione per la risorsa (ad esempio, aws: ResourceOrgId corrispondenza di uno o più valori previsti)
+ Un campo Resource che include un account specifico (ad esempio, arn:aws:sqs: \$1:111122223333: \$1)
+ Un campo Resource che include un account non jolly e un nome completo di risorsa (ad esempio, arn:aws:s3:::) full-bucket-name

**Nota**  
L'accesso tra account diversi è una funzionalità delicata che richiede una chiara giustificazione aziendale. AWS esaminerà attentamente la necessità di accedere a più account durante il processo di onboarding.

# Modelli di policy
<a name="temporary-delegation-policy-templates"></a>

I modelli di policy sono un nuovo costrutto IAM progettato per definire le autorizzazioni temporanee che i partner richiedono negli account dei clienti. Come le normali policy IAM, definiscono le autorizzazioni utilizzando istruzioni con elementi Effect, Action, Resource e Condition. La differenza principale è che i modelli di policy includono parametri (come @ \$1bucketName\$1) che vengono sostituiti con valori effettivi quando si crea una richiesta di delega.

## Come funzionano i modelli di policy
<a name="temporary-delegation-how-policy-templates-work"></a>

Come parte del processo di onboarding, registri i tuoi modelli di polizza con. AWS AWS assegna a ogni modello un ARN univoco a cui si fa riferimento durante la creazione delle richieste di delega.

Quando si crea una richiesta di delega, si specifica:
+ Il modello di policy ARN
+ Valori dei parametri da sostituire nel modello

AWS combina il modello con i valori dei parametri per generare una policy IAM standard. I clienti esaminano questa politica finale renderizzata al momento dell'approvazione della richiesta di delega, per vedere esattamente quali autorizzazioni verranno concesse.

**Nota**  
La politica renderizzata finale ha un limite di dimensione massima di 2048 caratteri.

Ecco un semplice esempio che mostra come funziona la sostituzione dei modelli.

Modello di policy:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::@{bucketName}/*"
        }
    ]
}
```

Parametri forniti nella richiesta di delega:

```
{
    "Name": "bucketName",
    "Values": ["customer-data-bucket"],
    "Type": "String"
}
```

Politica finale visualizzata (cosa vedono i clienti):

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::customer-data-bucket/*"
        }
    ]
}
```

## Sintassi del modello
<a name="temporary-delegation-template-syntax"></a>

I modelli di policy utilizzano due funzionalità chiave per garantire flessibilità: la sostituzione dei parametri e le istruzioni condizionali. La sostituzione dei parametri consente di definire segnaposti nel modello che vengono sostituiti con valori effettivi durante la creazione di una richiesta di delega. Le istruzioni condizionali consentono di includere o escludere intere dichiarazioni di policy basate sui valori dei parametri.

### Sostituzione e tipi di parametri
<a name="temporary-delegation-parameter-substitution"></a>

Utilizzate la sintassi @ \$1parameterName\$1 per definire i parametri nel modello di policy. Quando si crea una richiesta di delega, è necessario specificare il tipo di ciascun parametro.

#### Stringa
<a name="temporary-delegation-string-type"></a>

Un singolo valore che viene sostituito direttamente nel modello.

Modello:

```
"Resource": "arn:aws:s3:::@{bucketName}/*"
```

Parametri:

```
{
    "Name": "bucketName",
    "Values": ["my-bucket"],
    "Type": "String"
}
```

Risultato renderizzato:

```
"Resource": "arn:aws:s3:::my-bucket/*"
```

#### StringList
<a name="temporary-delegation-stringlist-type"></a>

Valori multipli che generano più voci di risorse. Quando un StringList parametro viene utilizzato in un ARN di risorse, si espande per creare voci di risorse separate per ogni valore.

Modello:

```
"Resource": "arn:aws:s3:::@{bucketNames}/*"
```

Parametri:

```
{
    "Name": "bucketNames",
    "Values": ["bucket-1", "bucket-2"],
    "Type": "StringList"
}
```

Risultato renderizzato:

```
"Resource": [
    "arn:aws:s3:::bucket-1/*",
    "arn:aws:s3:::bucket-2/*"
]
```

#### Comportamento tra prodotti
<a name="temporary-delegation-cross-product-behavior"></a>

Quando vengono utilizzati più parametri nella stessa risorsa ARN, StringList i parametri creano un prodotto incrociato di tutte le combinazioni.

Modello:

```
"Resource": "arn:aws:s3:::@{bucketNames}/@{prefix}/*"
```

Parametri:

```
[
    {
        "Name": "bucketNames",
        "Values": ["bucket-1", "bucket-2"],
        "Type": "StringList"
    },
    {
        "Name": "prefix",
        "Values": ["data"],
        "Type": "String"
    }
]
```

Risultato renderizzato:

```
"Resource": [
    "arn:aws:s3:::bucket-1/data/*",
    "arn:aws:s3:::bucket-2/data/*"
]
```

### Dichiarazioni condizionali
<a name="temporary-delegation-conditional-statements"></a>

Utilizzate la direttiva @Enabled per includere o escludere in modo condizionale intere istruzioni basate sui valori dei parametri.

Sintassi:
+ @Enabled: «ParameterName» - Include l'istruzione quando il valore del parametro è «True»
+ @Enabled: «\$1 ParameterName» - Include l'istruzione quando il valore del parametro NON è «True» (negazione)

Modello:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject"],
            "Resource": "*"
        },
        {
            "@Enabled": "ENABLE_S3_WRITE",
            "Effect": "Allow",
            "Action": ["s3:PutObject"],
            "Resource": "arn:aws:s3:::@{bucketName}/*"
        }
    ]
}
```

Parametri (quando ENABLE\$1S3\$1WRITE è «True»):

```
[
    {
        "Name": "bucketName",
        "Values": ["my-bucket"],
        "Type": "String"
    },
    {
        "Name": "ENABLE_S3_WRITE",
        "Values": ["True"],
        "Type": "String"
    }
]
```

Risultato renderizzato:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject"],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": ["s3:PutObject"],
            "Resource": "arn:aws:s3:::my-bucket/*"
        }
    ]
}
```

Parametri (quando ENABLE\$1S3\$1WRITE è «False»):

```
[
    {
        "Name": "bucketName",
        "Values": ["my-bucket"],
        "Type": "String"
    },
    {
        "Name": "ENABLE_S3_WRITE",
        "Values": ["False"],
        "Type": "String"
    }
]
```

Risultato renderizzato:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject"],
            "Resource": "*"
        }
    ]
}
```

Quando ENABLE\$1S3\$1WRITE è impostato su «True», viene inclusa l'istruzione condizionale. Quando è impostata su «False», l'istruzione viene esclusa dalla politica renderizzata.

## Esempi aggiuntivi
<a name="temporary-delegation-additional-examples"></a>

Gli esempi seguenti mostrano modelli comuni per l'utilizzo dei modelli di policy nella delega temporanea. Si concentrano sulla creazione di ruoli IAM con limiti di autorizzazione per l'accesso a lungo termine e mostrano diverse strategie per l'ambito delle autorizzazioni a risorse specifiche. Questi esempi illustrano come bilanciare flessibilità e sicurezza utilizzando tecniche come prefissi ARN, codifica delle risorse e aggiornamenti dei limiti delle autorizzazioni.

### Esempio 1: concessione dell'accesso a lungo termine a risorse specifiche
<a name="temporary-delegation-example-1"></a>

Il seguente limite di autorizzazione viene inviato come "SQSAccessorLimite» per «partner.com»:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:DeleteMessage",
        "sqs:ReceiveMessage",
        "sqs:SendMessage"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}
```

**Nota**  
Ciò include la condizione dello stesso account per evitare di concedere l'accesso alle code di altri account con politiche relative alle risorse aperte. Non è possibile includere un riferimento diretto all'ID dell'account del cliente perché il limite è condiviso tra tutti i clienti e non può essere modellato.

Poiché questa è la prima versione di questa politica, il suo ARN è arn:aws:iam: :partner: \$12025\$101\$115 policy/permissions-boundary/partner.com/SQSAccessorBoundary

Il seguente modello di policy viene inviato per le autorizzazioni di accesso temporanee:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sqs:ListQueues"
            ],
            "Resource": "arn:aws:sqs:*:*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePermissionsBoundary",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
            "Condition": {
                "StringEquals": {
                    "iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_15"
                }
            }
        }
    ]
}
```

### Esempio 2: utilizzo dei prefissi ARN
<a name="temporary-delegation-example-2"></a>

Il limite di autorizzazione può specificare un prefisso ARN della risorsa per limitare l'accesso:

```
"Resource": "arn:aws:sqs:*:@{AccountId}:PartnerPrefix*"
```

Ciò limita l'accesso solo alle risorse con quel prefisso, riducendo l'ambito delle risorse accessibili.

### Esempio 3: utilizzo dei tag per il controllo dell'accesso alle risorse
<a name="temporary-delegation-example-3"></a>

È possibile etichettare le risorse durante l'accesso delegato temporaneo e fare affidamento su tali tag per il controllo degli accessi a lungo termine.

Limite di autorizzazione che consente l'accesso alle risorse contrassegnate:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:DeleteMessage",
        "sqs:ReceiveMessage",
        "sqs:SendMessage"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "Null": {
            "aws:ResourceTag/ManagedByPartnerDotCom": "false"
        },
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}
```

Modello di policy per etichettare nuove code al momento della creazione:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:CreateQueue",
        "sqs:TagQueue"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "Null": {
            "aws:RequestTag/ManagedByPartnerDotCom": "false"
        }
    }
}
```

Modello di policy per etichettare le code preesistenti e creare il ruolo:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sqs:TagQueue"
            ],
            "Resource": "arn:aws:sqs:*:@{AccountId}:@{QueueName}",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "ManagedByPartnerDotCom"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePermissionsBoundary",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
            "Condition": {
                "StringEquals": {
                    "iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_15"
                }
            }
        }
    ]
}
```

Questo approccio consente ai clienti di confermare esplicitamente a quali risorse specifiche è possibile accedere a lungo termine.

### Esempio 4: aggiornamento del limite di autorizzazione
<a name="temporary-delegation-example-4"></a>

Per aggiornare un limite di autorizzazione, registra una nuova versione con un nuovo suffisso di data e richiedi l'autorizzazione per sostituirlo.

Limite di autorizzazione aggiornato con autorizzazioni aggiuntive:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:DeleteMessage",
        "sqs:PurgeQueue",
        "sqs:ReceiveMessage",
        "sqs:SendMessage"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}
```

Come seconda versione, questa politica ha l'ARN: arn:aws:iam: :partner: \$12025\$101\$120 policy/permissions-boundary/partner.com/SQSAccessorBoundary

Modello di policy per aggiornare il limite di autorizzazione sul ruolo esistente:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePermissionsBoundary"
            ],
            "Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
            "Condition": {
                "StringEquals": {
                    "iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_20"
                }
            }
        }
    ]
}
```

I clienti devono approvare questa richiesta di delega per aggiornare il limite di autorizzazione sul ruolo esistente.

# Sviluppa la tua integrazione
<a name="temporary-delegation-building-integration"></a>

## Comprensione del ciclo di vita delle richieste
<a name="temporary-delegation-request-lifecycle"></a>

Prima di creare l'integrazione, è importante capire in che modo le richieste di delega procedono dalla creazione al completamento.

### Stati della richiesta
<a name="temporary-delegation-request-states"></a>

Una richiesta di delega procede attraverso i seguenti stati:


| Stato | Description | 
| --- | --- | 
| Non assegnato | Richiesta creata ma non ancora associata a un account cliente e a un responsabile IAM. La richiesta potrebbe essere stata creata senza specificare un account di destinazione o con un ID di account di destinazione ma non essere stata ancora richiesta dal proprietario dell'account. | 
| Assegnato | Richiesta associata a un account cliente e in attesa di revisione | 
| In attesa di approvazione | Il cliente ha inoltrato la richiesta a un amministratore per l'approvazione | 
| Accettato | Richiesta approvata dal cliente ma il token di scambio non è ancora stato rilasciato | 
| Finalizzato | Token di scambio rilasciato al fornitore del prodotto. Il periodo di delega (validità del token di scambio) inizia quando la richiesta raggiunge lo stato Finalizzato | 
| Rifiutato | Richiesta rifiutata dal cliente | 
| Scaduto | Richiesta scaduta per inattività o timeout | 

### Transizioni di stato
<a name="temporary-delegation-state-transitions"></a>

*Flusso normale (percorso di approvazione)*
+ Non assegnato → Assegnato: il cliente associa la richiesta al proprio account
+ Assegnato → Accettato OPPURE Assegnato → In attesa di approvazione: il cliente approva la richiesta direttamente OPPURE la inoltra all'amministratore per la revisione
+ Approvazione in sospeso → Accettata: l'amministratore approva la richiesta
+ Accettato → Finalizzato: il cliente rilascia il token di scambio

*Percorso di rifiuto*
+ Assegnato → Rifiutato: il cliente rifiuta la richiesta
+ Approvazione in sospeso → Rifiutata: l'amministratore rifiuta la richiesta
+ Accettata → Rifiutata: il cliente revoca l'approvazione prima di rilasciare il token

*Percorso di scadenza*

Le richieste scadono automaticamente se non viene intrapresa alcuna azione entro il periodo di tempo specificato:
+ Non assegnato → Scaduto (1 giorno)
+ Assegnato → Scaduto (7 giorni)
+ In attesa di approvazione → Scaduto (7 giorni)
+ Accettato → Scaduto (7 giorni)
+ Rifiutato → Scaduto (7 giorni)
+ Finalizzato → Scaduto (7 giorni)

*Stati terminali*

I seguenti stati sono terminali (senza ulteriori transizioni):
+ Finalizzato: Exchange Token inviato
+ Rifiutata: la richiesta è stata rifiutata
+ Scaduta: la richiesta è scaduta o il periodo di delega è terminato

Le richieste scadute vengono infine eliminate dal sistema dopo il periodo di conservazione.

### Gestione degli stati delle richieste di delega nell'applicazione
<a name="temporary-delegation-managing-states"></a>

In qualità di partner, dovete tenere traccia degli stati delle richieste di delega nel sistema e comunicarli ai clienti. Quando ricevi notifiche SNS sui cambiamenti di stato, archivia questi aggiornamenti nel tuo backend e inseriscili nell'interfaccia utente rivolta ai clienti. Presta particolare attenzione allo stato In sospeso di approvazione: quando un cliente inoltra una richiesta a un amministratore per la revisione, ti invia una notifica di approvazione in sospeso. AWS Le richieste possono rimanere in questo stato per un massimo di 7 giorni in attesa dell'intervento dell'amministratore. Durante questo periodo, mostra ai clienti che la loro richiesta è in attesa dell'approvazione dell'amministratore nella tua applicazione. Prendi in considerazione la possibilità di fornire un collegamento diretto alla AWS Console in cui i clienti possano verificare lo stato della richiesta o contattare l'amministratore. Gestire correttamente la macchina a stati nel backend e fornire ai clienti le informazioni corrette sullo stato in ogni fase sono importanti per una buona esperienza di integrazione.

![\[alt text not found\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/delegation-states.png)


## Configurazione delle notifiche
<a name="temporary-delegation-configuring-notifications"></a>

IAM utilizza Amazon Simple Notification Service (SNS) per comunicarti le modifiche allo stato della richiesta di delega. Quando crei una richiesta di delega, devi fornire un ARN per argomento SNS dal tuo AWS account registrato. IAM pubblicherà messaggi su questo argomento per eventi importanti, incluso quando i clienti approvano o rifiutano le richieste e quando il token di scambio è pronto.

**Nota**  
Gli argomenti SNS non possono essere inclusi nelle regioni che accettano l'adesione. AWS L'argomento SNS deve trovarsi in una AWS regione abilitata per impostazione predefinita. Per un elenco delle regioni che hanno aderito, consulta Gestione delle AWS regioni nella guida alla gestione degli AWS account.

### Configurazione dell'argomento SNS
<a name="temporary-delegation-sns-topic-configuration"></a>

Per ricevere notifiche di richiesta di delega, devi configurare l'argomento SNS in modo da concedere a IAM le autorizzazioni per pubblicare messaggi su di esso. Aggiungi la seguente dichiarazione politica alla tua policy tematica SNS:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowIAMServiceToPublish",
            "Effect": "Allow",
            "Principal": {
                "Service": "iam.amazonaws.com"
            },
            "Action": "SNS:Publish",
            "Resource": "arn:aws:sns:REGION:ACCOUNT-ID:TOPIC-NAME"
        }
    ]
}
```

**Importante**  
L'argomento SNS deve trovarsi in uno dei tuoi account registrati AWS . IAM non accetterà argomenti SNS da altri account. Se la policy dell'argomento non è configurata correttamente, non riceverai le notifiche di modifica dello stato o il token di scambio.

### Tipi di notifica
<a name="temporary-delegation-notification-types"></a>

IAM invia due tipi di notifiche:

*StateChange Notifiche*

Inviata quando una richiesta di delega passa a un nuovo stato (Assegnata, In attesa di approvazione, Accettata, Finalizzata, Rifiutata, Scaduta).

*ExchangeToken Notifiche*

Inviato quando un cliente rilascia il token di delega (stato Finalizzato). Questa notifica include il token di scambio necessario per ottenere le credenziali.

### Stati di notifica
<a name="temporary-delegation-notification-states"></a>

Riceverai notifiche per i seguenti stati di richiesta di delega:


| Stato | Tipo di notifica | Description | 
| --- | --- | --- | 
| ASSEGNATO | StateChange | La richiesta è stata associata a un account cliente | 
| IN ATTESA DI APPROVAZIONE | StateChange | Il cliente ha inoltrato la richiesta a un amministratore per l'approvazione | 
| ACCETTATI | StateChange | Il cliente ha approvato la richiesta ma non ha ancora rilasciato il token | 
| FINALIZZATI | StateChange | Il cliente ha rilasciato il token di scambio | 
| FINALIZZATI | ExchangeToken | Questa notifica contiene l'Exchange Token | 
| REJECTED | StateChange | Il cliente ha rifiutato la richiesta | 
| SCADUTO | StateChange | La richiesta è scaduta prima del completamento | 

### Formato del messaggio di notifica
<a name="temporary-delegation-notification-message-format"></a>

IAM pubblica notifiche SNS standard. Le informazioni sulla richiesta di delega sono contenute nel campo Messaggio come stringa JSON.

*Campi comuni (tutte le notifiche)*


| Campo | Tipo | Description | 
| --- | --- | --- | 
| Tipo | Stringa | O "StateChange" o "ExchangeToken» | 
| RequestId | Stringa | L'ID della richiesta di delega IAM | 
| RequestorWorkflowId | Stringa | L'ID del flusso di lavoro che hai fornito durante la creazione della richiesta | 
| Stato | Stringa | Stato attuale della richiesta | 
| OwnerAccountId | Stringa | ID dell' AWS account del cliente | 
| UpdatedAt | Stringa | Timestamp in cui lo stato è cambiato (formato ISO 8601) | 

*Campi aggiuntivi (solo notifiche) ExchangeToken *


| Campo | Tipo | Description | 
| --- | --- | --- | 
| ExchangeToken | Stringa | Il token da scambiare con le credenziali tramite l'API AWS STS GetDelegatedAccessToken  | 
| ExpiresAt | Stringa | Alla scadenza dell'accesso delegato (formato ISO 8601) | 

### Esempi di notifiche
<a name="temporary-delegation-example-notifications"></a>

*StateChange Notifica*

```
{
  "Type": "Notification",
  "MessageId": "61ee8ad4-6eec-56b5-8f3d-eba57556aa13",
  "TopicArn": "arn:aws:sns:us-east-1:123456789012:partner-notifications",
  "Message": "{\"RequestorWorkflowId\":\"workflow-12345\",\"Type\":\"StateChange\",\"RequestId\":\"dr-abc123\",\"State\":\"ACCEPTED\",\"OwnerAccountId\":\"111122223333\",\"UpdatedAt\":\"2025-01-15T10:30:00.123Z\"}",
  "Timestamp": "2025-01-15T10:30:00.456Z",
  "SignatureVersion": "1",
  "Signature": "...",
  "SigningCertURL": "...",
  "UnsubscribeURL": "..."
}
```

*ExchangeToken Notifica*

```
{
  "Type": "Notification",
  "MessageId": "e44e5435-c72c-5333-aba3-354406782f5b",
  "TopicArn": "arn:aws:sns:us-east-1:123456789012:partner-notifications",
  "Message": "{\"RequestId\":\"dr-abc123\",\"RequestorWorkflowId\":\"workflow-12345\",\"State\":\"FINALIZED\",\"OwnerAccountId\":\"111122223333\",\"ExchangeToken\":\"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...\",\"ExpiresAt\":\"2025-01-15T18:30:00.123Z\",\"UpdatedAt\":\"2025-01-15T10:30:00.456Z\",\"Type\":\"ExchangeToken\"}",
  "Timestamp": "2025-01-15T10:30:00.789Z",
  "SignatureVersion": "1",
  "Signature": "...",
  "SigningCertURL": "...",
  "UnsubscribeURL": "..."
}
```

## Token di scambio
<a name="temporary-delegation-exchange-tokens"></a>

Un token di scambio o un token di permuta viene emesso da IAM quando un cliente accetta e finalizza una richiesta di delega. Il fornitore del prodotto utilizza questo token di scambio o permuta per chiamare l' AWS AWS STS GetDelegatedAccessToken API e ottenere AWS credenziali temporanee con le autorizzazioni approvate dai clienti. Il token di scambio in sé non garantisce l'accesso alle AWS risorse dell'utente; deve essere scambiato con credenziali effettive tramite STS. AWS 

Il token di scambio può essere riscattato solo dall'account del fornitore del prodotto che ha creato la richiesta di delega. L'account richiedente è incorporato nel token, garantendo che solo il fornitore del prodotto autorizzato possa ottenere le credenziali per accedere all'account del cliente.

### Durata dell'accesso
<a name="temporary-delegation-access-duration"></a>

Il periodo di delega inizia quando il cliente rilascia il token di scambio, non quando il fornitore del prodotto lo riscatta. Una volta che il cliente ha rilasciato il token:
+ Il fornitore del prodotto riceve il token tramite notifica SNS
+ Possono scambiarlo immediatamente con credenziali
+ Le credenziali scadono a: data di rilascio \$1 durata approvata
+ Il fornitore del prodotto può scambiare il token più volte prima della scadenza per ottenere nuove credenziali, se necessario

### Rimborsi multipli
<a name="temporary-delegation-multiple-redemptions"></a>

I fornitori di prodotti possono scambiare il token più volte durante il periodo di validità per ottenere nuove credenziali. Tuttavia, tutte le credenziali ottenute dallo stesso token di scambio scadono contemporaneamente, in base a quando è stato rilasciato il token.

Esempio: se approvi una richiesta di delega di 2 ore e rilasci il token alle 10:00:


| Ora di rilascio del token | Ora di scambio dei token | Scadenza delle credenziali | Tempo utilizzabile | 
| --- | --- | --- | --- | 
| 10:00 | ore 10:00 | 12:00 | 2 ore | 
| ore 10:00 | ore 10:20 | 12:00 | 1 ora e 40 minuti | 
| 10:00 | 11:40 | 12:00 | 20 minuti | 
| ore 10:00 | 12:10 | Fallito (token scaduto) | 0 minuti | 

Come mostrato nella tabella, lo scambio del token in una fase successiva del periodo di validità comporta una riduzione del tempo di utilizzo per il fornitore del prodotto.